O recente ataque cibernético ao gigante de faturação e pagamento Change Healthcare revelou a gravidade das vulnerabilidades em todo o sistema de saúde dos EUA e alertou os líderes da indústria e os decisores políticos para a necessidade urgente de uma melhor segurança digital.
Hospitais, seguradoras de saúde, clínicas médicas e outros do setor têm sido cada vez mais alvo de grandes ataques, culminando no ataque à Change, uma unidade do gigante UnitedHealth Group, em 21 de fevereiro.
O ataque de ransomware à maior câmara de compensação do país, que gere um terço de todos os registos de pacientes, teve efeitos generalizados. Soluções alternativas e alternativas aliviaram algumas dificuldades, mas os provedores ainda não conseguem arrecadar bilhões de dólares em pagamentos. Muitos hospitais e consultórios médicos mais pequenos ainda lutam para receber pagamentos mais de um mês depois de a Change ter sido forçada a encerrar muitos dos seus sistemas.
Mesmo agora, muito pouca informação foi revelada sobre a natureza exata e a extensão do ataque. A UnitedHealth disse que adiantou mais de US$ 3 bilhões para provedores em dificuldades e espera disponibilizar mais serviços Change nos próximos anos. semanas pois colocou os sistemas novamente online.
O FBI e o Departamento de Saúde e Serviços Humanos estão investigando o hack do Change, incluindo se os registros dos pacientes e informações pessoais foram comprometidos. Como a rede Change atua como um painel digital que conecta informações da primeira consulta médica de um paciente com um diagnóstico como câncer ou depressão e, em seguida, o tratamento subsequente a uma seguradora de saúde para benefícios e pagamentos, existe o risco de o histórico médico das pessoas ficar exposto por anos . .
O ataque à Mudança é apenas o exemplo mais abrangente do que se tornou quase vulgar no setor de saúde. Os ataques de ransomware, nos quais os criminosos desligam os sistemas informáticos, a menos que os proprietários paguem aos hackers, afetaram 46 sistemas hospitalares. o ano passado, acima dos 25 em 2022, de acordo com a empresa de segurança de dados Emsisoft. Os hackers também derrubaram empresas que prestam serviços como transcrição médica e cobrança nos últimos anos.
Quão grande é o problema?
Consultores de segurança cibernética e funcionários governamentais identificaram consistentemente os cuidados de saúde como o setor da economia dos EUA mais suscetível a ataques e como uma parte tão importante da infraestrutura crítica do país como a energia e a água.
“Todos deveríamos estar aterrorizados”, disse DJ Patil, diretor de tecnologia da seguradora Devoted Health e ex-cientista-chefe de dados do Escritório Federal de Política Científica e Tecnológica. Ele e outros enfatizaram as proteções inadequadas dos sistemas de saúde dos EUA, apesar de eventos dramáticos como o ataque de ransomware de 2017, que bloqueou registos médicos do Serviço Nacional de Saúde da Grã-Bretanha, causando perturbações massivas para os pacientes.
“Toda a indústria tem poucos recursos quando se trata de segurança cibernética e segurança da informação”, disse Errol Weiss, diretor de segurança do Centro de Análise e Compartilhamento de Informações de Saúde, que ele descreveu como uma vigilância virtual da vizinhança para a indústria.
O ataque Change trouxe muito mais atenção do governo para o problema. A Casa Branca e as agências federais realizaram diversas reuniões com autoridades do setor. Os legisladores do Congresso também iniciaram investigações e os senadores intimaram o CEO da UnitedHealth, Andrew Witty, a testemunhar nesta primavera.
O sector financeiro tem trabalhado para identificar e fortalecer áreas vulneráveis para torná-las menos propensas a ataques sistémicos. Mas “os cuidados de saúde não passaram por um exercício de mapeamento para compreender” exatamente onde estão os maiores pontos críticos que correm risco de ataques, disse Erik Decker, diretor de segurança da informação da Intermountain Health, um importante sistema de saúde regional com sede em Salt Lake. Cidade.
“Aprendemos uma lição: temos que fazer isso”, disse Decker, que também atua como presidente de um grupo de trabalho do setor privado sobre segurança cibernética na saúde que assessora o governo federal.
Wall Street e o sistema bancário do país tiveram fortes incentivos financeiros para reforçar as suas defesas porque um hacker poderia roubar o seu dinheiro, e o sector enfrenta uma regulamentação governamental mais rigorosa.
Os ataques aos cuidados de saúde podem ter consequências mortais.
Estudos mostraram que aumenta a mortalidade hospitalar depois de um ataque. Os médicos não podem rever cuidados médicos anteriores, comunicar notas aos colegas ou verificar as alergias dos pacientes, por exemplo.
As cirurgias programadas são canceladas e as ambulâncias são por vezes desviadas para outros hospitais, mesmo em casos de emergência, porque o ataque cibernético interrompeu as comunicações electrónicas ou os registos médicos e outros sistemas. A pesquisa sugere que os hacks têm um efeito cascata, reduzindo a qualidade do atendimento em hospitais próximos forçado a aceitar pacientes adicionais.
“A segurança cibernética tornou-se uma questão de segurança dos pacientes”, disse Steve Cagle, CEO da Clearwater, uma empresa de conformidade na área da saúde.
Em alguns casos, os hackers tornaram públicos dados confidenciais de saúde dos pacientes. A Lehigh Valley Health Network recusou-se a pagar o resgate exigido pela mesma entidade suspeita do ataque Change Healthcare. Os hackers então postaram fotos nuas de pacientes recebendo tratamento para câncer de mama online, de acordo com uma demanda apresentado por uma das vítimas. Centenas de fotos de pacientes foram roubadas.
Por que o setor de saúde é um alvo?
Os registros médicos podem exigir várias vezes a quantidade de dinheiro gerada por um cartão de crédito roubado. E, diferentemente de um cartão de crédito, que pode ser cancelado rapidamente, as informações médicas de uma pessoa não podem ser alteradas.
“Não podemos cancelar o seu diagnóstico e enviar-lhe um novo”, disse John Riggi, consultor nacional de segurança cibernética e risco da American Hospital Association, um grupo comercial.
Mas ele também disse que os registros tinham valor “porque é fácil cometer fraudes na área de saúde”. As seguradoras de saúde, ao contrário dos bancos, muitas vezes não utilizam métodos elaborados para detectar fraudes, facilitando a apresentação de reclamações falsas.
Pessoas preocupadas com o roubo de números de Segurança Social e outras informações financeiras podem inscrever-se numa agência de monitorização de crédito, mas os pacientes têm poucos recursos se as suas informações pessoais de saúde forem roubadas.
As redes hospitalares e outros grupos de saúde também têm sido rápidos em pagar resgates para tentar limitar a exposição dos pacientes, uma decisão que apenas recompensa e incentiva os hackers. O FBI aconselha os alvos de ataques de ransomware a não pagarem, mas a maioria dos hospitais o faz porque os riscos são muito altos. No caso da Change Healthcare, a empresa teria pago um resgate de US$ 22 milhões, de acordo com um relatório da cabeamento.
Por que os hospitais e os médicos não fazem mais?
Apesar do risco, os hospitais e consultórios médicos mais pequenos muitas vezes não têm dinheiro para pagar medidas de segurança reforçadas ou conhecimentos especializados para examinar ameaças graves.
E a tecnologia mais antiga raramente é compatível com os mais recentes padrões de segurança cibernética; Uma miscelânea de produtos e fornecedores conectados deixa portas digitais abertas, atraindo hackers. Dado que os ataques tinham como alvo em grande parte sistemas hospitalares individuais antes da Mudança ser dificultada, os grupos subestimaram o seu risco.
Jacki Monson, vice-presidente sênior da Sutter Health e presidente do Comitê Nacional de Estatísticas Vitais e de Saúde, disse: “As pessoas têm que decidir em que vão investir e a segurança cibernética geralmente não está no topo da lista. “
Qual é a resposta do governo?
O quadro regulamentar também é antigo e fragmentado. Os hospitais podem escolher entre uma variedade de padrões de segurança e não há auditoria prévia de sua conformidade.
A segurança digital está dividida entre diferentes escritórios dentro do HHS, e grande parte do poder regulatório da agência ainda depende de uma lei de 1996, escrita antes do desenvolvimento de sistemas de saúde digitais modernos ou do aumento do hacking de ransomware. O foco regulatório do governo concentrou-se na privacidade e na conformidade, em vez de no endurecimento contra ataques.
A regulamentação da segurança de dados das seguradoras é ainda mais irregular, uma vez que as seguradoras de saúde são amplamente regulamentadas a nível estatal. Muitos fornecedores como a Change, que prestam serviços digitais a hospitais mas não são prestadores de cuidados de saúde, também podem escapar a falhas regulamentares, disse Monson.
Isso pode mudar. A administração Biden apela ao HHS para garantir que os hospitais tenham proteção adequada. A administração também está considerando avaliações às regulamentações sobre como os dados de saúde são compartilhados e pode impor regras mais claras para medidas de segurança digital para hospitais.
O senador Ron Wyden, do Oregon, presidente democrata do Comitê de Finanças do Senado, manifestou interesse em estabelecer regras novas e mais rígidas.
“Hoje, não existem padrões técnicos de segurança cibernética exigidos pelo governo federal para o setor de saúde, embora as pessoas falem sobre isso há anos, quase décadas”, disse ele durante uma audiência recente sobre o orçamento do presidente dos EUA. “Quero ser claro: isso deve mudar agora.”
A atualização geral dos sistemas pode ser cara, especialmente para organizações menores que operam com orçamentos apertados. Quando o governo exigiu que os hospitais cumprissem as normas de segurança cibernética para estabelecer registos de saúde eletrónicos, há 20 anos, combinou regras rigorosas com incentivos financeiros significativos.
A administração Biden solicitou um montante inicial de 800 milhões de dólares para ajudar a melhorar os sistemas hospitalares como parte da sua recente proposta orçamental. Mas não está claro se o Congresso será capaz ou estará disposto a fornecer financiamento para a modernização hoje.
E alguns hospitais continuarão a gastar dinheiro com a mais recente tecnologia de ressonância magnética ou com mais enfermeiros, em vez de proteções digitais rigorosas.
“Sem recursos adicionais para elevar a fasquia, os prestadores de cuidados de saúde e os pagadores de cuidados de saúde continuarão a tomar decisões entre pagar pelo tratamento ou pela segurança cibernética”, disse Iliana Peters, ex-funcionária federal de saúde especializada em segurança de dados e que agora é advogada de Polsinelli. um escritório de advocacia em Washington, D.C.