Proteger o acesso remoto para trabalhadores da área de saúde
Três considerações para proteger práticas médicas híbridas
Muitas organizações de saúde contrataram mais trabalhadores remotos nos últimos anos, mas têm dificuldade em manter suas defesas de segurança cibernética atualizadas. Em meio a pressões financeiras e escassez de funcionários, elas tiveram que contar com “correções” de curto prazo para proteger a força de trabalho híbrida contra ataques cada vez mais intensos.
Por exemplo, durante a pandemia global, quando mais funcionários começaram a trabalhar remotamente, 51% dos consultórios médicos gastaram menos de US$ 5 mil configurando seu consultório híbrido ou remoto. Exemplos comuns de segurança cibernética na área da saúde incluem a adoção de mais redes privadas virtuais (VPNs) e a migração de alguns aplicativos (mas não todas as funções de segurança) para a nuvem.
Mas essas correções de curto prazo tornam as organizações de saúde mais vulneráveis a ataques cibernéticos. Para aqueles que continuam a adotar um modelo de trabalho híbrido e seus benefícios (que incluem melhor moral da equipe, redução do esgotamento e aumento da produtividade), uma estratégia de segurança de longo prazo é necessária.
Três dos principais riscos de “trabalhar de qualquer lugar” para os trabalhadores remotos da área de saúde incluem a dependência de VPNs, phishing multicanal e TI invisível. Veja abaixo como uma abordagem Zero Trust moderna trata esses riscos de uma forma mais sustentável.
Desvantagens das VPNs
Tradicionalmente, as organizações de saúde confiam no modelo de segurança “castelo e fosso”, que se concentra na proteção do perímetro de rede. Em um contexto de trabalho híbrido, isso significa usar VPNs e software de desktop remoto para verificar as credenciais dos usuários remotos e criptografar o tráfego entre usuários e os vários aplicativos ou dispositivos no ambiente corporativo central.
No entanto, os riscos de VPN, como as vulnerabilidades de dia zero em certos produtos da Ivanti e da Palo Alto Networks e as tentativas de quebra de senha com força bruta contra as soluções de VPN da Cisco, ilustram as falhas inerentes de uma abordagem baseada em perímetro. O acesso por VPN é:
Arriscado demais: conforme ilustrado pelas falhas de dia zero encontradas em várias VPNs (mais exemplos aqui e aqui), a segurança das VPNs não é confiável. O acesso no nível de rede e a confiança padrão concedida pelas VPNs também convidam à possibilidade de movimento lateral.
Muito lento: com o acesso dependendo da localização, dispositivo, função e provedor de identidade do usuário, o usuário de VPN pode experimentar latência.
Muito ineficientes: as VPNs podem retardar a integração de usuários, atrasar o lançamento de novos aplicativos e desperdiçar um tempo precioso de TI quando não funcionam.
É compreensível que as organizações de saúde, lidando com ventos financeiros contrários sem precedentes e escassez de pessoal de TI, inicialmente tenham recorrido às VPNs durante a pandemia. No entanto, está claro que as VPNs (que foram projetadas para conexões de curto prazo por um pequeno número de sistemas) não são sustentáveis para o escopo de expansão do trabalho remoto de saúde.
A abordagem mais eficaz e sustentável é a segurança Zero Trust. Ao contrário das VPNs arriscadas, os serviços Zero Trust exigem verificação de identidade rigorosa para todas as pessoas e dispositivos que tentam acessar recursos em uma rede privada, independentemente da localização.
Por exemplo, as tecnologias Zero Trust permitem que as organizações de saúde:
Verifiquem cada solicitação de acesso a aplicativos com base em mais do que apenas identidade: geolocalização, postura de segurança do dispositivo, padrões de segurança corporativa, uma avaliação contínua de risco/confiança e outros fatores são considerados antes que alguém receba acesso a um recurso.
Inspecionem e filtrem todo o tráfego de internet dos funcionários: onde quer que os funcionários trabalhem, sua navegação na internet é suscetível a ataques de phishing, malware, ransomware e outros. Ao contrário de uma VPN, o Zero Trust oferece a capacidade de bloquear ataques baseados em navegador. Também pode evitar que os funcionários visitem ou interajam com sites suspeitos.
Ataques de phishing
Mais prontuários de pacientes são comprometidos por meio de golpes de phishing do que qualquer outro motivo, de acordo com um estudo sobre violações de dados relacionados à área de saúde de 2015 a 2020.
Por exemplo, o phishing foi a causa raiz de um ataque de ransomware contra a University of Vermont (UVM) Health Network. Tudo começou quando um funcionário em viagem usou seu notebook de trabalho para verificar e-mails pessoais. Um e-mail, que parecia ser da associação de proprietários de imóveis dos funcionários, lançou um malware que permitiu que os invasores se movessem lateralmente para acessar os sistemas da UVM Health Network. O ataque interrompeu as operações durante semanas: centenas de funcionários ficaram impedidos de trabalhar, procedimentos de pacientes foram adiados e a organização sofreu mais de US$ 63 milhões em perdas.
O phishing altamente direcionado e sem malware de comprometimento de e-mail empresarial (BEC) também está em ascensão. Em junho de 2024, o FBI e o Departamento de Saúde e Serviços Humanos dos EUA emitiram um alerta sobre invasores que obtiveram acesso às contas de e-mail de funcionários da área de saúde e, em seguida, usaram as informações de login para desviar pagamentos de desembolsos de seguros.
Para as forças de trabalho modernas, o trabalho e os dados não ficam apenas no e-mail. Por exemplo, o SMS (mensagens de texto) e os aplicativos de mensagens públicas e privadas são vetores de ataque que aproveitam a capacidade de enviar links por esses canais e também a forma como as pessoas consomem informações e trabalham. Há colaboração em nuvem, onde os invasores usam links, arquivos e phishing de BEC em ferramentas como Google Workspace, Atlassian e Microsoft Office 365. Além disso, existe o phishing nas redes sociais e na web direcionado a pessoas no LinkedIn e em outras plataformas.
Para evitar esses ataques "multicanal", os provedores da área de saúde podem usar uma abordagem multicamadas que primeiro proteja o e-mail e, em seguida, estenda o Zero Trust a outros tráfegos baseados na web.
Com uma abordagem Zero Trust para combater phishing, as organizações podem:
Isolar automaticamente links de e-mail suspeitos e evitar que os dispositivos dos funcionários sejam expostos a conteúdo malicioso da web
Limitar as interações dos usuários com sites suspeitos e evitar que scripts maliciosos incorporados em páginas web sejam executados localmente no dispositivo do trabalhador.
Bloquear o acesso a sites de alto risco (como aqueles que já são conhecidos por participarem de phishing)
Restringir o que pode ser carregado, digitado ou copiado e colado em aplicativos de terceiros; os trabalhadores também podem ser impedidos de fazer upload de dados proprietários em ferramentas de IA generativa de terceiros
Riscos da TI invisível
Ambientes de trabalho híbridos aumentam o risco de "TI invisível", o uso não autorizado de softwares, hardwares ou outros sistemas. De acordo com uma pesquisa de 2024, a maioria (81%) dos líderes de TI dos sistemas de saúde dos EUA relata compras de software de TI invisível. E quase metade (48%) não auditou o software de sua organização no ano passado.
A TI invisível é uma ameaça particularmente séria para as organizações de saúde. Isso prejudica a capacidade da TI de proteger e monitorar sistemas críticos, colocando em risco os dados dos pacientes. Aplicativos SaaS não sancionados, por exemplo, tornam praticamente impossível a verificação da conformidade com a HIPAA de informações protegidas de saúde (PHI) e aumentam o risco de explorações de dia zero e violações de dados.
As organizações devem checar usuário por usuário, arquivo por arquivo, aplicativo SaaS por aplicativo SaaS e analisar tudo para ver o que poderia ser potencialmente problemático? Para a maioria das organizações, isso não é prático.
Para ajudar a reduzir o uso de aplicativos não autorizados, implemente treinamento contínuo de gerenciamento de riscos para os funcionários e uma cultura “isenta de culpa” (para aqueles que já adotaram a TI invisível).
Essas abordagens também devem ser ampliadas com controles técnicos Zero Trust que:
Fornecem visibilidade dos aplicativos SaaS e das origens de rede que os funcionários estão visitando. Então, as organizações podem criar políticas para permitir, restringir ou bloquear o uso de TI invisível conforme necessário
Proteger aplicativos SaaS e outros serviços hospedados em nuvem, verificando continuamente em busca de arquivos expostos, atividades suspeitas e configurações incorretas (uma causa comum de violação de dados)
Reduzir a exposição de dados detectando e impedindo as pessoas de compartilharem dados confidenciais em excesso por meio da nuvem, de aplicativos, e-mail e dispositivos.
Simplificar a segurança do trabalho híbrido com uma nuvem de conectividade
Os serviços do Cloudflare Zero Trust consolidam muitos serviços de tecnologia antes distintos para facilitar a proteção de qualquer conexão e manter os trabalhadores em qualquer dispositivo em qualquer local seguros e produtivos usando a internet, aplicativos e infraestrutura. Todos os serviços são fornecidos por uma nuvem de conectividade, uma plataforma unificada e inteligente de serviços nativos de nuvem que simplifica a conectividade segura "any-to-any" em todos os ambientes de TI.
Com a nuvem de conectividade da Cloudflare, os provedores da área de saúde protegem os dados dos pacientes, permitem experiências tecnológicas perfeitas para os médicos e oferecem atendimentos virtuais de primeira categoria tudo isso com maior agilidade e controle.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Principais conclusões
Após ler este artigo, você entenderá:
Os três principaisriscos de segurança cibernética para trabalhadores remotos da área de saúde
As desvantagens das VPNs para forças de trabalho distribuídas
Os benefícios de usar o Zero Trust na área da saúde para acesso remoto seguro
Recursos relacionados
Saiba mais sobre esse assunto
Saiba mais sobre como fechar as lacunas de segurança que impedem a inovação na área de saúde com o e-book Modernizar a segurança cibernética dos provedores da área de saúde.