book_icon

Hospitais estão vulneráveis aos ataques hackers

Estudo mostra escassez de profissionais especializados e que o CISO tem pouco poder de decisão
Hospitais estão vulneráveis aos ataques hackers

A Black Book Market Research pesquisou 2.464 profissionais de segurança de 705 organizações provedoras nos EUA para identificar brechas, vulnerabilidades e deficiências que fazem com que hospitais, clínicas e consultórios médicos sejam alvos de violações de dados e ataques cibernéticos. De acordo com o estudo State of the Healthcare Cybersecurity Industry 2020, nada menos do que 96% dos entrevistados admitiram que estão vulneráveis e que não conseguem responder adequadamente às ameaças.
Os investimentos em segurança cibernética no setor de Saúde vêm crescendo 20% ao ano e devem movimentar US$ 18 bilhões em 2021. Apesar disso, a ampla maioria (82%) dos CIOs e CISOs que atuam nesta área concordam que os dólares gastos atualmente em segurança não foram alocados de forma eficaz, muitas vezes gastos após ocorrerem as violações e sem uma avaliação completa de vulnerabilidade. Além disso, os recursos foram liderados por uma gerência sênior fora da TI.

A disposição dos hospitais e consultórios médicos de pagar altos resgates para recuperar seus dados rapidamente motiva os cibercriminosos a se concentrarem nos registros dos pacientes 

A falta de mão de obra capacitada é um dos grandes problemas identificados. A Black Book entrevistou 291 executivos de Recursos Humanos do setor para determinar a oferta organizacional e a demanda de candidatos experientes em segurança cibernética. Em média, as funções nesta área demoram 70% mais para serem preenchidas em comparação a outras funções de TI. São necessários 118 dias para encontrar um profissional, quase três vezes mais que a média para outras indústrias.
“A escassez de talentos para profissionais em segurança com especialização em Saúde está se aproximando de uma situação muito perigosa”, afirmou Brian Locastro, pesquisador-chefe da Black Book Research. Segundo ele, 75% dos 66 CISOs entrevistados concordaram que é pouco provável que profissionais experientes escolham uma carreira neste setor por um motivo óbvio: mais do que em outras indústrias, os CISOs desta área são, em última análise, responsabilizados por violação de dados e pelos impactos financeiros e de reputação da organização, apesar de terem poder de decisão extremamente limitado ou pouca autoridade para formulação de políticas.
Complicador
O estudo mostrou que a segurança cibernética na área de Saúde se tornou mais complicada por causa da pandemia de Covid-19. Os departamentos de segurança de TI, com falta de pessoal e poucos recursos, estão lutando para acomodar o aumento da demanda de serviços remotos de pacientes e médicos e, ao mesmo tempo, responder ao aumento dos riscos de segurança.
A pesquisa Black Book descobriu que 90% dos funcionários de hospitais que passaram a trabalhar em casa não receberam nenhuma orientação atualizada ou treinamento sobre o risco crescente de acessar sistemas confidenciais com dados de pacientes. “Apesar da ameaça crescente, a grande maioria dos hospitais e médicos não está preparada para lidar com ameaças à segurança cibernética, embora representem um grande problema de saúde pública”, disse Locastro.
No entanto, 59% dos CIOs pesquisados disseram que estão mudando as estratégias de segurança para lidar com a autenticação e o acesso remoto do usuário, visto que incidentes maliciosos e hackers são o ponto de entrada preferido do invasor. Credenciais roubadas e comprometidas foram problemas constantes para 53% dos sistemas pesquisados, pois os hackers estão cada vez mais usando configurações incorretas da Nuvem para violar as redes.
Terceirização
A pesquisa também revelou que os serviços de consultoria e assessoria em segurança cibernética estão em alta, tanto que 69% dos 219 líderes C-Suite entrevistados afirmam que o orçamento para consultoria de segurança cibernética está aumentando em 2021 para avaliar brechas, proteger as operações de rede e a segurança do usuário local e na Nuvem. “Como as organizações lutam para recrutar, contratar e reter pessoal interno, a escolha plausível é contratar uma empresa de consultoria experiente, que seja capaz de identificar e remediar vulnerabilidades de segurança ocultas, que apelam ao senso estratégico e econômico dos conselhos e CEOs”, disse Locastro.
Essa escassez de profissionais de segurança cibernética na área de saúde e a falta de soluções de tecnologia adequadas implementadas estão forçando uma corrida para adquirir serviços e terceirização em um ritmo cinco vezes maior do que a aquisição de produtos de segurança cibernética e soluções de software. As empresas de segurança cibernética estão respondendo à crise de mão de obra, oferecendo aos provedores de saúde e hospitais um portfólio crescente de serviços gerenciados.
Mais de 50% dos entrevistados de gerenciamento de TI interno com autoridade para compra relataram que seu grupo não tem conhecimento de toda a variedade de soluções de segurança disponíveis no mercado, particularmente para ambientes de segurança móvel, detecção de intrusão, prevenção de ataques, perícia e testes em vários ambientes. “Sistemas de TI desatualizados, poucos protocolos de segurança cibernética, equipe de TI sem treinamento e arquivos de pacientes ricos em dados estão tornando o setor de Saúde o alvo predileto dos hackers”, afirmou Locastro. “E a disposição dos hospitais e consultórios médicos de pagar altos resgates para recuperar seus dados rapidamente motiva os cibercriminosos a se concentrarem nos registros dos pacientes”, concluiu.
Serviço
https://blackbookmarketresearch.com
 

ataques hackers

Black Book Market Research

Brian Locastro

CISO

hospitais

pesquisa

saúde

segurança

State of the Healthcare Cybersecurity Industry 2020

vulnerabilidade

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.