Nova pesquisa mostra risco na cadeia de suprimentos de saúde
Desafios de exposições e segurança cibernética podem acabar sendo caros, de acordo com estatísticas do Departamento de Saúde e Serviços Humanos dos EUA (HHS), 861 violações de informações protegidas de saúde foram relatadas nos últimos 24 meses.
Uma nova pesquisa da RiskRecon e do Instituto Cyentia identificou o risco na cadeia de suprimentos de saúde de terceiros e mostrou que a alta taxa de exposição da saúde indica que gerenciar uma pegada de Internet comparativamente pequena é um grande desafio para muitas organizações nesse setor.
Mas há uma fresta de esperança: ganhar a visibilidade necessária para localizar e corrigir exposições na superfície de risco de saúde é viável.
Principais conclusões
A pesquisa e o relatório são baseados na avaliação da RiskRecon de mais de cinco milhões de sistemas voltados para a Internet em aproximadamente 20.000 organizações, com foco exclusivo no setor de saúde.
Taxa mais alta
O setor de saúde tem uma das taxas médias mais altas de descobertas graves de segurança em relação a outros setores. Além disso, essas taxas variam enormemente entre as instituições, o que significa que as piores taxas de exposição em saúde são piores do que as piores taxas de exposição em outros setores.
Tamanho importa
As descobertas graves de segurança diminuem conforme o número de funcionários aumenta. Por exemplo, a taxa de descobertas de segurança graves nos menores provedores de saúde é 3 vezes maior do que nos maiores provedores.
Sub-setores variam
Os subsetores da saúde revelam diferentes tendências de risco. A pesquisa mostra que os hospitais têm uma área de superfície de Internet muito maior (hosts, provedores, países), mas mantêm taxas relativamente baixas de descobertas de segurança. Além disso, o subsetor de enfermagem e cuidados residenciais tem a menor pegada de Internet e os níveis mais altos de exposição. Os serviços ambulatoriais (ambulatoriais) e sociais situam-se principalmente entre hospitais e unidades de enfermagem.
Impactos da implantação da nuvem
À medida que a transformação digital inaugura uma infinidade de mudanças, as áreas críticas de exposição a riscos também estão mudando e se expandindo. Embora a maioria das empresas de saúde hospede a maioria de seus sistemas voltados para a Internet no local, elas também aproveitam a nuvem. Descobrimos que a severa taxa de descoberta de serviços de saúde para ativos de alto valor na nuvem é 10 vezes maior do que no local. Este é o maior desequilíbrio local versus exposição à nuvem de qualquer setor.
Também deve ser observado que nem todos os ambientes de nuvem são iguais. Um relatório anterior do RiskRecon sobre a superfície de risco da nuvem descobriu uma diferença média de 12 vezes entre os provedores de nuvem com as taxas de exposição mais altas e mais baixas. Isso diz mais sobre os usuários e casos de uso de várias plataformas de nuvem do que sobre as desigualdades de segurança intrínsecas. Além disso, conforme as organizações de saúde procuram migrar para a nuvem, elas devem avaliar seus próprios recursos para lidar com a segurança da nuvem.
A cadeia de suprimentos de saúde está em risco
É importante perceber que o ecossistema de saúde mais amplo abrange vários setores e essas entidades costumam ter conexões profundas com as instalações, operações e sistemas de informação do provedor de saúde. Isso significa que essas organizações podem ter ramificações significativas para o gerenciamento de riscos de terceiros.
Quando você se aprofunda nisso, embora a grande indústria farmacêutica tenha a maior pegada (hosts, provedores de serviços terceirizados e países de operação), eles a mantêm relativamente higiênica. Os fabricantes de vários tipos de aparelhos e instrumentos de saúde mostram um perfil semelhante de ativos extensos, embora menos descobertas. Infelizmente, as indústrias com grande volume de informações de seguro médico, provedores de sistemas EHR e agências de cobrança ocupam três das quatro primeiras vagas para a maior taxa de descobertas de segurança.
“Em 2020, os membros do Centro de Análise e Compartilhamento de Informações de Saúde (H-ISAC) em serviços de saúde, grandes empresas farmacêuticas, pagadores e fabricantes de dispositivos médicos viram maiores riscos cibernéticos em suas cadeias de suprimentos em evolução e às vezes desconhecidas”, disse Errol Weiss , CSO da H- ISAC.
“O ajuste ao novo ambiente operacional apresentado pelo COVID-19 forçou as empresas de saúde a inovar rapidamente e adotar soluções como a tecnologia em nuvem, que também acrescentou riscos com uma pegada digital expandida para novos fornecedores e parceiros com acesso a dados confidenciais de pacientes.”
Fonte: https://www.helpnetsecurity.com/2020/10/16/risk-healthcare-supply-chain
