O setor de saúde está sob constante ataque cibernético. Tradicionalmente, tem sido um dos setores visados com mais frequência e as coisas não mudaram em 2023. O Escritório de Direitos Civis do governo dos EUA relatou 145 violações de dados nos Estados Unidos durante o primeiro trimestre deste ano. Isso segue 707 incidentes há um ano, durante os quais mais de 50 milhões de registros foram roubados.
Os registros de saúde geralmente incluem nomes, datas de nascimento, números de previdência social e endereços. Esse tesouro de dados é usado em roubo de identidade, fraude fiscal e outros crimes. É o alto valor dos dados que torna os aplicativos de saúde um alvo tão promissor.
O setor de saúde hesitou em adotar aplicativos SaaS. No entanto, os aplicativos SaaS levam a uma melhor colaboração entre os profissionais médicos, levando a melhores resultados para os pacientes. Isso, combinado com a capacidade do SaaS de reduzir custos e melhorar o desempenho financeiro, levou o setor a adotar totalmente as soluções SaaS.
Hoje, as instalações médicas armazenam registros de pacientes, registros de cobrança e outros dados confidenciais contendo PHI (informações de saúde protegidas) e PII (informações de identificação pessoal) em muitos casos armazenados no Salesforce, Google Workspace e Microsoft 365.
Protegendo o acesso a dados médicos#
Nos Estados Unidos, os dados médicos são protegidos pelo HIPAA, o Health Insurance Portability and Accountability Act. Falhas de segurança que afetam mais de 500 indivíduos são amplamente divulgadas na mídia e acompanhadas de multas significativas.
Aplicativos SaaS como o Salesforce, quando contêm complementos em conformidade com HIPAA, são seguros o suficiente para impedir que agentes de ameaças entrem nos aplicativos e acessem os dados do paciente. Os aplicativos SaaS são sempre atualizados para a versão mais recente e não possuem os mesmos tipos de vulnerabilidades encontrados no software local.
Os desenvolvedores de SaaS investem pesadamente no fornecimento de soluções de software seguras. Eles mantêm equipes de profissionais de segurança que monitoram e atualizam constantemente seus softwares para lidar com ameaças emergentes. Esses aplicativos são executados em infraestrutura avançada com medidas robustas de segurança física, sistemas redundantes e sistemas de recuperação de desastres. Eles seguem rígidos padrões da indústria, garantindo o mais alto nível de segurança e conformidade para dados de assistência médica.
Segurança de acesso em várias camadas
Em um relatório publicado em agosto de 2022 pelo Escritório de Segurança da Informação e pelo Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3) sobre o impacto da engenharia social na saúde, os pesquisadores descobriram que 45% de todos os ataques ao setor de saúde começaram com um ataque de phishing. Os funcionários foram manipulados para entregar suas credenciais de login, permitindo que os agentes de ameaças entrassem pela porta da frente.
Os aplicativos SaaS têm várias camadas de defesa contra esses tipos de violação. Por exemplo, muitos aplicativos SaaS exigem MFA durante o login. Sem uma senha única, a maioria dos agentes de ameaças será frustrada ao tentar acessar com apenas um nome de usuário e senha. Em segundo lugar, muitas organizações exigem SSO para acessar seus aplicativos. Essa camada adicional de estrutura de identidade cria mais complexidade para os agentes de ameaças à medida que tentam violar o aplicativo SaaS. Existem mais de 100 verificações de segurança no Salesforce e no Microsoft 365 que se combinam para formar um forte perímetro de defesa.
Não faz muito tempo que qualquer pessoa que conseguisse violar um aplicativo SaaS tinha carta branca para fazer qualquer coisa dentro de seu conjunto de permissões. Roube as credenciais de um administrador e todo o aplicativo poderá controlar o agente da ameaça em minutos. Isso não é mais o caso.
As principais ferramentas de segurança SaaS adicionaram uma camada de detecção e resposta a ameaças de identidade (ITDR) à equação. Essa última linha de defesa garante que, se os invasores conseguirem acessar o aplicativo, as equipes de segurança sejam alertadas quando os invasores entrarem no aplicativo SaaS, mesmo que acessem o aplicativo com credenciais válidas.
O ITDR reconhece anomalias comportamentais dentro do usuário individual. Se um agente de ameaça entrar em uma pilha SaaS e agir de forma suspeita, o ITDR sinalizará esses comportamentos e alertará a equipe de segurança, que pode desativar a conta do usuário e conduzir uma investigação.
O setor de saúde já está familiarizado com o acesso baseado em funções aos registros médicos. Aqueles que não precisam acessar os registros dos pacientes não podem revisar os arquivos médicos. Essa abordagem é crítica para a segurança SaaS. Seguindo o Princípio do Menor Privilégio (POLP), cada usuário só pode acessar os materiais necessários para sua função. Se as credenciais desses usuários forem comprometidas, os agentes de ameaças não conseguirão acessar os dados PHI que estão procurando.
Automatizando a segurança de aplicativos de saúde#
Uma plataforma SaaS Security Posture Management (SSPM), como Adaptive Shield, é a ferramenta mais importante usada para defender aplicativos de assistência médica. Os SSPMs realizam monitoramento automatizado 24 horas por dia, 7 dias por semana, das configurações de segurança, mantendo-se informados sobre as configurações e alertando o pessoal de segurança quando as configurações são alteradas. Se um usuário reduzir por engano a postura de segurança do aplicativo, os SSPMs ajudarão a garantir que a configuração incorreta seja encerrada rapidamente.
Os SSPMs também monitoram aplicativos de terceiros que se conectam aos principais aplicativos SaaS. Ele rastreia suas permissões e aciona um alerta quando as permissões concedidas excedem a política corporativa ou os padrões HIPAA. Ele rastreia usuários inativos, usuários externos e usuários autorizados, garantindo que eles, como médicos que tratam pacientes, não prejudiquem o aplicativo.
Ao implementar um SSPM, as organizações de assistência médica podem garantir que os dados confidenciais do paciente armazenados nos aplicativos estejam seguros.
2 thoughts on “Como proteger os pacientes e sua privacidade em seus aplicativos SaaS.”
Comments are closed.