Imagens BSIP/Getty
(em) Seguro é uma coluna semanal que se aprofunda no tópico em rápida escalada da segurança cibernética.
Quando se trata de violações de segurança cibernética, tendemos a pensar em grandes corporações ou instituições governamentais que detêm grandes quantidades de dados pessoais. No entanto, hospitais e centros médicos são organizações que guardam milhares de registros pessoais. Quando são atingidos por epidemias tão graves quanto o surto de gripe deste ano, ficam completamente vulneráveis a um ataque cibernético que pode afectar os valiosos registos médicos dos seus pacientes.
Vídeos recomendados
Conversamos com Shane Whitlatch, executivo da empresa de segurança cibernética Aviso justo, cujos clientes são hospitais que foram ou poderão um dia ser vítimas de ataques de segurança cibernética. De acordo com as informações deles, algo tão inofensivo quanto dar entrada em um hospital quando você está gripado poderia ter enormes ramificações em sua segurança cibernética – e você nunca saberia disso.
Tendências Digitais: O surto de gripe deste ano foi particularmente grave. Que tipo de coisas acontecem num hospital durante algo como um surto de gripe, que podem ter um impacto tão negativo na segurança cibernética de um hospital?
Shane Whitlatch: A epidemia de gripe é apenas mais uma crise. Pode haver muitos tipos diferentes, mas o que é importante numa crise não é necessariamente o que acontece durante o evento real. O que importa é se [o hospital] planejou ou não muito antes da crise. Você tem processos, programas e itens de ação em vigor que o preparam para que, quando você tiver uma crise — seja uma epidemia de gripe, um ataque terrorista ou um acidente de trem – você não fica vulnerável a uma segurança cibernética ataque.
“Há etapas que posso pular para processar o atendimento ao paciente com mais rapidez e dar menos prioridade à segurança?”
É uma supervisão. As pessoas começam a pular etapas. Se eu normalmente atendo 10 pacientes por hora, mas agora vou receber o dobro disso, preciso agir mais rápido se quiser atender esses pacientes. Posso simplesmente permanecer conectado? Eu tenho que me registrar? Há etapas que posso pular para processar o atendimento ao paciente com mais rapidez e dar menos prioridade à segurança?
Os criminosos procuram oportunidades – e durante o surto de gripe, eles sabem que o foco estará nesses eventos. Portanto, talvez haja uma oportunidade para eles quando os funcionários deixam logins conectados aos computadores por mais tempo porque estão ocupados atendendo mais pacientes do que normalmente. Talvez isso signifique que eles estão compartilhando credenciais com mais frequência porque estão focados no atendimento ao paciente. Apenas apresenta oportunidade. Se você não treinar sua equipe e não estiver preparado, você será atingido não apenas pela crise, mas também por criminosos que procuram explorar essas oportunidades.
Existe um precedente para hospitais serem hackeados ou atacados por cibercriminosos? Isso é algo que acontece regularmente?
Se ainda não aconteceu, provavelmente eles ainda não sabem. Então a resposta é sim.
https://twitter.com/Merck/status/879716775021170689
Temos um exemplo – e isso está em registro público – do Hurley Medical Center em Flint, Michigan. Teve ataques hacktivistas indo atrás de prontuários médicos associados à crise hídrica lá em cima. Acho que a resposta é “sim”, mas gostaria de deixar que terceiros sejam os pontos de referência para isso.
No caso de algo como um hack, com o que as pessoas como pacientes deveriam se preocupar?
Há algumas coisas que são óbvias e outras nem tanto. A coisa mais óbvia são as informações do seu seguro. Isso é o que é valioso. Eles não roubariam os dados se não fossem valiosos. Eles podem pegar suas informações de seguro, alterar seu endereço de correspondência e vendê-las para alguém que não consegue obter seguro. Essa é a primeira coisa – então preste atenção às cartas EOB (explicação dos benefícios) que você recebe pelo correio. Se disser que você recebeu algum tratamento para algo que estava coberto e que nunca recebeu, isso é um problema. Isso poderia maximizar seus benefícios e atingir sua franquia e você nem mesmo recebeu atendimento. Esses são os óbvios.
Eles não roubariam os dados se não fossem valiosos.
Os que não são tão óbvios que ouvimos de nossos clientes são aqueles em que as pessoas alteraram as informações nos registros médicos roubados. Se eu estiver usando uma identidade roubada e for a um hospital local em algum lugar – e digamos que não fui tratado lá antes e eu tenho uma identidade falsa - para procurar atendimento para algo como um braço quebrado, ou algo pior, que geralmente é. Mas se o meu tipo sanguíneo for diferente do da pessoa de quem foi roubado, o hospital poderá alterar o seu tipo sanguíneo no seu registo médico porque presumiu que a pessoa não sabia o seu tipo sanguíneo. Isso pode não importar para você agora, mas se você sofrer um acidente de carro e precisar de uma transfusão de sangue ou algo parecido, eles podem colocar o sangue errado. Essa é uma consequência menos óbvia – e pode ser mortal.
Neste momento, você acha que os hospitais estão cientes da importância da segurança cibernética?
Certamente, agora mais do que antes. Nossos clientes, obviamente, estão cientes disso e estão combatendo o bom combate. O que é encorajador pelo que ouço deles e dos próprios executivos é que o conselho está se tornando mais consciente.
José Luis Pelaez Inc/Getty Images
Isso se deve em parte à educação e a violações muito públicas. A violação do Anthem foi importante. Há violações muito grandes que estão virando notícia onde os membros do conselho as veem e começam a fazer perguntas. Está se tornando mais conhecido fora apenas da segurança de TI, mas a segurança de TI está absolutamente ciente disso.
Há algo que os pacientes possam fazer para proteger suas próprias informações médicas quando estiverem internados em um hospital ou interagindo de alguma forma com seus registros de saúde?
Falarei pessoalmente – tento não compartilhar meu número de seguro social da melhor maneira possível. Provavelmente já foi roubado de qualquer maneira. A outra coisa que você sempre pode fazer é solicitar uma prestação de contas das divulgações, o que lhe dá um registro de todos que mexeram em seus registros – e isso faz parte de uma lei federal.
A outra coisa é apenas ficar atento a onde você vai em busca de atendimento, o que faz com suas informações e com quem as compartilha. Preste atenção aos formulários que você assina. Quando eles perguntarem se podem compartilhar suas informações, não assine cegamente todas elas. Faça perguntas sobre isso. Esteja vigilante. E quando você faz isso, é outra forma de educar a equipe do hospital de que essas questões de privacidade são importantes. Não é apenas um pôster na parede.
Recomendações dos Editores
- Não acredito que meu novo teclado favorito veio de uma companhia telefônica
- Por que os novos monitores de jogos OLED ainda não conseguem superar os melhores do ano passado
- A surpreendente razão pela qual seu poderoso PC ainda não consegue lidar com os jogos mais recentes
- Veja como você pode obter The Last of Us gratuitamente da AMD
- A versão do Chrome sobre o Nvidia DLSS está prestes a ser lançada, mas você ainda não pode usá-la
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
