Como qualquer grande empresa, um hospital moderno tem centenas - até milhares - de funcionários usando incontáveis ​​computadores, smartphones e outros dispositivos eletrônicos que são vulneráveis ​​a violações de segurança, furtos de dados e ataques de ransomware. Mas os hospitais são diferentes de outras empresas em dois aspectos importantes. Eles mantêm registros médicos, que estão entre os dados mais confidenciais sobre as pessoas. E muitos aparelhos eletrônicos hospitalares ajudam a manter os pacientes vivos, monitorando os sinais vitais, administrar medicamentos, e até mesmo respirar e bombear sangue para aqueles que estão nas condições mais terríveis.

Uma violação de dados de 2013 no grupo médico da University of Washington Medicine comprometeu cerca de 90, Registros de 000 pacientes e resultaram em US $ 750, Multa de 000 de reguladores federais. Em 2015, o sistema de saúde da UCLA, que inclui vários hospitais, revelou que os invasores acessaram uma parte de sua rede que manipulava informações de 4,5 milhões de pacientes. Ataques cibernéticos podem interromper dispositivos médicos, feche salas de emergência e cancele cirurgias. O ataque WannaCry, por exemplo, perturbou um terço das organizações do Serviço Nacional de Saúde do Reino Unido, resultando no cancelamento de compromissos e operações. Esses tipos de problemas são uma ameaça crescente no setor de saúde.

Proteger as redes de computadores dos hospitais é crucial para preservar a privacidade do paciente - e até mesmo a própria vida. No entanto, pesquisas recentes mostram que o setor de saúde está atrás de outros setores na proteção de seus dados.

Sou um cientista de sistemas na MIT Sloan School of Management, interessado em compreender sistemas sociotécnicos complexos, como a cibersegurança nos cuidados de saúde. Um ex-aluno, Jessica Kaiser, e entrevistei funcionários do hospital responsáveis ​​pela segurança cibernética e especialistas do setor, para identificar como os hospitais gerenciam questões de segurança cibernética. Descobrimos que, apesar da preocupação generalizada com a falta de financiamento para a segurança cibernética, dois fatores surpreendentes determinam mais diretamente se um hospital está bem protegido contra um ataque cibernético:o número e a variedade de dispositivos eletrônicos em uso e como as funções dos funcionários se alinham aos esforços de segurança cibernética.

Uma ampla gama de dispositivos

Um grande desafio na segurança cibernética dos hospitais é o enorme número de dispositivos com acesso à rede de uma instalação. Tal como acontece com muitas empresas, isso inclui telefones celulares, tablets, computadores desktop e servidores. Mas eles também têm um grande número de pacientes e visitantes que vêm com seus próprios dispositivos, também - incluindo dispositivos médicos em rede para monitorar sua saúde e se comunicar com a equipe médica. Cada um desses itens é uma rampa potencial para injetar malware na rede do hospital.

Funcionários do hospital podem usar software para garantir que apenas dispositivos autorizados possam se conectar. Mas mesmo assim, seus sistemas permaneceriam vulneráveis ​​a atualizações de software e novos dispositivos. Outro ponto fraco vem de equipamentos médicos oferecidos como amostras grátis por fabricantes de dispositivos que operam em um mercado competitivo. Freqüentemente, eles não são testados quanto à segurança adequada antes de serem conectados à rede do hospital. Um de nossos entrevistados mencionou:"Em hospitais ... há todo um processo de aquisição subterrâneo por meio do qual os fornecedores de dispositivos médicos abordam os médicos e dão a eles um monte de coisas de graça que eventualmente chegam aos nossos andares, e, um ano depois, recebemos uma conta por ele. "

Quando as novas tecnologias contornam os processos regulares de compra e avaliação de risco, eles não são verificados quanto a vulnerabilidades, portanto, eles apresentam ainda mais oportunidades de ataque. Claro, os administradores hospitalares devem equilibrar essas preocupações com as melhorias no atendimento ao paciente que os novos sistemas podem trazer. Nossa pesquisa sugere que os hospitais precisam de processos e procedimentos mais fortes para gerenciar todos esses dispositivos.

Compromisso da equipe

Fazer com que os administradores de hospitais entendam a importância da cibersegurança é bastante simples:eles nos disseram que estão preocupados com os custos, reputação institucional e penalidades regulatórias. Conseguir o envolvimento da equipe médica pode ser muito mais difícil:eles disseram que estão focados no atendimento ao paciente e não têm tempo para se preocupar com a segurança cibernética.

As pessoas normalmente tratam as proteções de segurança cibernética como secundárias em relação ao que estão tentando fazer. Uma pessoa que entrevistamos descreveu por que alguns funcionários cometeram o pecado capital da segurança cibernética de compartilhar uma senha:"Para usar uma máquina de ultrassom [você precisa de uma senha, que] deve mudar a cada 90 dias. [Equipe] só quer usar a máquina de ultrassom. Ele não contém muitos dados do paciente ... então, eles criam um login compartilhado para que possam fornecer atendimento ao paciente. "

As necessidades podem variar amplamente em um hospital, de maneiras que podem ser surpreendentes - como acesso a sites que provavelmente contêm software malicioso. Um diretor de informações de um hospital de pesquisa nos disse:"Pessoalmente, acredito que a pornografia pesada não tem propósito em dispositivos hospitalares. O que eu fiz há cinco anos? Coloquei filtros de conteúdo da Internet que impediam as pessoas de navegar até a pornografia. Em cinco minutos, o diretor de psiquiatria me liga para dizer que temos uma bolsa para estudar pornografia em um contexto médico [então tivemos que modificar nossos filtros]. "

Essas experiências são a razão pela qual concluímos que as limitações de orçamento não são tão cruciais para a segurança cibernética do hospital quanto o envolvimento dos funcionários. Um hospital pode comprar quantas peças de hardware e software quiser. Se os trabalhadores não estiverem seguindo os procedimentos organizacionais, a tecnologia não manterá os hospitais seguros. Nossa pesquisa sugere que a segurança cibernética envolve tanto o gerenciamento de pessoas quanto a tecnologia.

Conformidade não é segurança

A ameaça é nacional, e fica cada vez mais difícil de se defender, como nos disse um diretor de segurança da informação:"A natureza dos ataques está cada vez mais sofisticada. Minha maior ameaça costumava ser ... estudantes. Hoje, são ataques patrocinados pelo estado, terrorismo e crime organizado. São mais ameaças do que nunca de natureza mais séria. "

Infelizmente, muitos administradores de hospitais parecem acreditar que proteger os dados é tão simples quanto cumprir os regulamentos estaduais e federais. Mas esses são padrões mínimos que não tratam adequadamente da ameaça. Como disse um de nossos entrevistados, "Conformidade é uma barreira baixa. Garanto que pequenas organizações de saúde e hospitais não fariam nada (sem regulamentação). Eles teriam um pedaço de papel em uma prateleira chamado sua política de segurança. É necessário como uma barreira para que as empresas pelo menos pensem sobre isso. Mas estar em conformidade não resolve o problema maior de gerenciamento de risco. "

Nossa pesquisa mostra que os hospitais precisam pensar além da conformidade. Também, com tão poucos hospitais bem protegidos contra ataques cibernéticos, todos os hospitais parecem mais atraentes como alvos potenciais. Em nossa visão, não é suficiente para os hospitais melhorarem suas próprias defesas - nem para os reguladores elevarem os padrões. Eles devem gerenciar, e avaliar a segurança de, os dispositivos em suas redes e garantem que a equipe médica compreenda como uma boa higiene cibernética pode apoiar um bom atendimento ao paciente. Avançar, formuladores de políticas, Os líderes de saúde e os próprios hospitais devem trabalhar juntos para tornar o setor como um todo menos suscetível a ataques que ameaçam a privacidade das pessoas e suas próprias vidas.

Este artigo foi publicado originalmente em The Conversation. Leia o artigo original.