O recente ataque cibernético ao colosso de faturação e pagamento Change Healthcare revelou a gravidade das vulnerabilidades em todo o sistema de saúde dos EUA e alertou os líderes da indústria e os decisores políticos para a necessidade urgente de uma melhor segurança digital.
Hospitais, seguradoras de saúde, clínicas médicas e outros do setor têm sido cada vez mais alvos de ataques cibernéticos significativos, culminando no ataque à Change, uma unidade do gigante UnitedHealth Group, em 21 de fevereiro.
O ataque de ransomware à maior câmara de compensação do país, que gere um terço de todos os registos de pacientes, teve efeitos generalizados. Correções e soluções alternativas aliviaram algumas dificuldades, mas os provedores ainda não conseguem receber bilhões de dólares em pagamentos. Muitos hospitais e consultórios médicos menores ainda estão tendo problemas para receber pagamentos mais de um mês depois que a Change foi forçada a desligar muitos de seus sistemas.
Mesmo agora, foram divulgadas muito poucas informações sobre a natureza exata e o alcance do ataque. A UnitedHealth disse que adiantou mais de US$ 3 bilhões para provedores em dificuldades e que espera que mais serviços da Change estejam disponíveis nos próximos semanas pois colocou os sistemas novamente online.
O FBI e o Departamento de Saúde e Serviços Humanos estão investigando o hack do Change, incluindo se os registros e informações pessoais dos pacientes foram comprometidos. Como a rede da Change atua como um painel digital que conecta informações desde a primeira consulta médica de um paciente até um diagnóstico como câncer ou depressão e, em seguida, o tratamento subsequente a uma seguradora de saúde para benefícios e pagamentos, existe o risco de que o histórico médico das pessoas possa ficar exposto por anos. .
O ataque à Mudança é apenas o exemplo mais abrangente do que se tornou quase comum no setor de saúde. Ataques de ransomware, nos quais criminosos desligam sistemas de computadores a menos que os proprietários paguem aos hackers, afetaram 46 sistemas hospitalares ano passado, acima dos 25 em 2022, de acordo com a empresa de segurança de dados Emsisoft. Os hackers também derrubaram empresas que prestam serviços como transcrição médica e cobrança nos últimos anos.
Quão grande é o problema?
Consultores de segurança cibernética e funcionários governamentais identificaram consistentemente os cuidados de saúde como o sector da economia dos EUA mais susceptível a ataques, e como parte da infra-estrutura crítica do país, como a energia e a água.
“Todos deveríamos estar aterrorizados”, disse DJ Patil, chefe de tecnologia da seguradora Devoted Health e ex-cientista-chefe de dados do Escritório Federal de Política Científica e Tecnológica. Ele e outros sublinharam as protecções inadequadas nos sistemas de saúde dos EUA, apesar de acontecimentos dramáticos como o ataque de ransomware de 2017 que bloqueou registos médicos no Serviço Nacional de Saúde na Grã-Bretanha, levando a perturbações massivas para os pacientes.
“Todo o setor carece de recursos quando se trata de segurança cibernética e de segurança da informação”, disse Errol Weiss, diretor de segurança do Centro de Análise e Compartilhamento de Informações de Saúde, que ele descreveu como uma vigilância virtual da vizinhança para a indústria.
O ataque Change atraiu muito mais atenção do governo para o problema. A Casa Branca e as agências federais realizaram diversas reuniões com autoridades do setor. Os legisladores do Congresso também iniciaram inquéritos e os senadores convocaram o presidente-executivo da UnitedHealth, Andrew Witty, para testemunhar nesta primavera.
O sector financeiro tem trabalhado para identificar e fortalecer áreas vulneráveis para torná-lo menos sujeito a ataques sistémicos. Mas “os cuidados de saúde não passaram por um exercício de mapeamento para compreender” exatamente onde estão os principais pontos de estrangulamento que correm risco de hackers, disse Erik Decker, diretor de segurança da informação da Intermountain Health, um importante sistema regional de saúde com sede em Salt Lake. Cidade.
“Temos uma lição aprendida – precisamos fazer isso”, disse Decker, que também atua como presidente de um grupo de trabalho do setor privado sobre segurança cibernética na área de saúde que assessora o governo federal.
Wall Street e o sistema bancário do país tiveram fortes incentivos financeiros para fortalecer as suas defesas porque um hacker poderia roubar o seu dinheiro, e o sector enfrenta uma regulamentação governamental mais rigorosa.
Os hacks nos cuidados de saúde podem ter consequências mortais.
Estudos mostraram que mortalidade hospitalar aumenta após um ataque. Os médicos não conseguem consultar cuidados médicos anteriores, comunicar notas aos colegas ou verificar as alergias dos pacientes, por exemplo.
As cirurgias programadas são canceladas e as ambulâncias são por vezes redireccionadas para outros hospitais, mesmo em emergências, porque o ataque cibernético interrompeu as comunicações electrónicas ou os registos médicos e outros sistemas. A pesquisa sugere que os hacks têm um efeito cascata, diminuindo a qualidade do atendimento em hospitais próximos forçado a aceitar pacientes adicionais.
“A segurança cibernética tornou-se uma questão de segurança dos pacientes”, disse Steve Cagle, presidente-executivo da Clearwater, uma empresa de conformidade com os cuidados de saúde.
Em alguns casos, os hackers tornaram públicos dados confidenciais de saúde dos pacientes. A Lehigh Valley Health Network recusou-se a pagar o resgate exigido pela mesma entidade suspeita do ataque à Change Healthcare. Os hackers então postaram online fotos nuas de pacientes recebendo tratamento para câncer de mama, de acordo com uma ação judicial trazido por uma das vítimas. Centenas de fotografias de pacientes foram roubadas.
Por que o setor de saúde é um alvo?
Os registros médicos podem representar várias vezes a quantidade de dinheiro que um cartão de crédito roubado. E, diferentemente de um cartão de crédito, que pode ser cancelado rapidamente, as informações médicas de uma pessoa não podem ser alteradas.
“Não podemos cancelar o seu diagnóstico e enviar-lhe um novo”, disse John Riggi, conselheiro nacional para segurança cibernética e risco da American Hospital Association, um grupo comercial.
Mas ele também disse que os registros tinham valor “porque é fácil cometer fraudes na área de saúde”. As seguradoras de saúde, ao contrário dos bancos, muitas vezes não empregam métodos elaborados para detectar fraudes, facilitando a apresentação de reclamações falsas.
As pessoas preocupadas com o roubo de números de segurança social e outras informações financeiras podem inscrever-se numa agência de monitorização de crédito, mas os pacientes têm poucos recursos se as suas informações pessoais de saúde forem roubadas.
As redes hospitalares e outros grupos de saúde também têm sido rápidos em pagar resgates para tentar limitar a exposição dos pacientes, uma decisão que apenas recompensa e incentiva os hackers. O FBI aconselha os alvos de ataques de ransomware a não pagarem, mas a maioria dos hospitais o faz porque os riscos são muito altos. No caso da Change Healthcare, a empresa teria pago um resgate de US$ 22 milhões, segundo reportagem da Com fio.
Por que os hospitais e os médicos não estão fazendo mais?
Apesar do risco, os hospitais e consultórios médicos mais pequenos muitas vezes não têm dinheiro para pagar medidas de segurança reforçadas ou conhecimentos especializados para examinar ameaças graves.
E a tecnologia mais antiga raramente é compatível com os mais recentes padrões de segurança cibernética; uma miscelânea de produtos e fornecedores conectados deixa portas digitais abertas, atraindo hackers. Como os hacks tinham sido em grande parte direcionados a sistemas hospitalares individuais antes de a Mudança ser prejudicada, os grupos subestimaram o seu risco.
Jacki Monson, vice-presidente sênior da Sutter Health e presidente do Comitê Nacional de Estatísticas Vitais e de Saúde, disse: “As pessoas têm que decidir em que vão investir, e a segurança cibernética geralmente não está no topo da lista. ”
Qual é a resposta do governo?
O quadro regulamentar também é antigo e fragmentado. Os hospitais podem selecionar entre uma série de padrões de segurança e não há auditoria prévia de conformidade.
A segurança digital está dividida entre diferentes escritórios dentro do HHS, e grande parte do poder regulatório da agência ainda depende de uma lei de 1996, escrita antes do desenvolvimento de sistemas de saúde digitais modernos ou do aumento do hacking de ransomware. O foco regulatório do governo tem sido na privacidade e na conformidade, em vez de na fortificação contra ataques.
A regulamentação da segurança dos dados das seguradoras é ainda mais irregular, uma vez que as seguradoras de saúde são amplamente regulamentadas a nível estatal. Muitos fornecedores como a Change, que prestam serviços digitais a hospitais, mas não são prestadores de cuidados de saúde, também podem escapar a falhas regulamentares, disse Monson.
Isso pode mudar. A administração Biden pede ao HHS que garanta que os hospitais tenham proteções adequadas. A administração também está considerando revisões às regulamentações sobre como os dados de saúde são compartilhados e pode impor regras mais claras para medidas de segurança digital para hospitais.
O senador Ron Wyden, do Oregon, presidente democrata da Comissão de Finanças do Senado, sinalizou interesse em estabelecer novas regras mais rígidas.
“Hoje, não existem normas técnicas federais obrigatórias de segurança cibernética para o setor de saúde, embora as pessoas falem sobre isso há muito tempo, algo como décadas”, disse ele durante uma audiência recente sobre o orçamento do presidente. “Quero ser claro: isso precisa mudar agora.”
A atualização geral dos sistemas pode ser cara, especialmente para organizações menores que operam com orçamentos apertados. Quando o governo exigiu que os hospitais cumprissem as normas de segurança cibernética para criar registos de saúde eletrónicos, há 20 anos, combinou regras rigorosas com importantes incentivos financeiros.
A administração Biden pediu um montante inicial de 800 milhões de dólares para ajudar a melhorar os sistemas hospitalares como parte da sua recente proposta orçamental. Mas não está claro se o Congresso será capaz ou estará disposto a fornecer financiamento para a modernização hoje.
E alguns hospitais continuarão a gastar dinheiro na mais recente tecnologia de ressonância magnética ou em mais enfermeiros em detrimento de proteções digitais rigorosas.
“Sem recursos adicionais para elevar a fasquia, os prestadores de cuidados de saúde e os pagadores de cuidados de saúde continuarão a fazer escolhas entre pagar pelo tratamento ou pela segurança cibernética”, disse Iliana Peters, ex-funcionária federal de saúde especializada em segurança de dados que agora é advogado da Polsinelli, um escritório de advocacia em Washington, DC