Veja os destaques do "2024 Ponemon Healthcare Cybersecurity Report"
O Relatório Anual de 2024 do Instituto Ponemon, encomendado pela Proofpoint, revelou que 92% das organizações do setor de saúde dos EUA, que foram pesquisadas, sofreram ao menos um ataque cibernético nos últimos 12 meses. Entre essas, quase 70% relataram interrupções no atendimento ao paciente em decorrência dos ataques.
De acordo com as organizações afetadas pelos quatro tipos mais comuns de ataques — comprometimento da nuvem, ransomware, cadeia de suprimentos e comprometimento de e-mail corporativo (BEC):
• 56% relataram resultados negativos para os pacientes devido a atrasos em procedimentos e exames;
• 53% observaram aumento nas complicações de procedimentos médicos;
• 28% indicaram aumento nas taxas de mortalidade entre os pacientes.
Esses dados revelam uma realidade preocupante para o setor de saúde: a conscientização sobre segurança cibernética nem sempre resulta em preparação efetiva.
O impacto das ameaças cibernéticas.
Nos últimos anos, provedores de saúde e outras instituições do setor ficaram vulneráveis a ataques cibernéticos, tanto de hackers patrocinados por estados quanto de criminosos oportunistas. Além dos impactos financeiros, esses ataques têm abalado a confiança no setor e, em alguns casos, ameaçado vidas.
Hoje, está mais evidente do que nunca que o risco cibernético é também um risco ao paciente. Embora qualquer ataque que comprometa a capacidade de atendimento seja prejudicial, algumas ameaças se destacam como especialmente disruptivas.
Principais ameaças cibernéticas.
Ataques à cadeia de suprimentos lideram em termos de interrupções causadas. Entre os 648 profissionais de TI e segurança entrevistados, 68% disseram que suas organizações sofreram ataques à cadeia de suprimentos nos últimos dois anos, com 82% reportando interrupções no atendimento ao paciente — um aumento em relação aos 77% do ano anterior.
O comprometimento de e-mail corporativo (BEC) também é uma ameaça significativa, pois aumenta a probabilidade de atrasos em procedimentos e, consequentemente, afeta os resultados dos pacientes. O ransomware, por sua vez, está associado a períodos de internação mais longos e desvio de pacientes para outras instalações.
Mesmo com o severo impacto do ransomware, pouco mais da metade (54%) das organizações de saúde entrevistadas considera-se vulnerável ou altamente vulnerável a esses ataques, uma redução em relação aos 64% do ano anterior. Essa queda na percepção de risco pode ser atribuída à redução no número de organizações que pagam resgates, ainda que os valores médios dos pagamentos tenham aumentado: em 2024, o resgate médio foi de US$ 1.099.200, comparado a US$ 995.450 em 2023.
O papel do comportamento humano na segurança.
Outra preocupação é o risco de incidentes causados pelos próprios colaboradores. Cerca de 92% das organizações sofreram pelo menos dois incidentes de perda de dados nos últimos dois anos. Aproximadamente metade desses incidentes afetou o atendimento ao paciente, com 50% resultando em aumento nas taxas de mortalidade e 37% em resultados negativos devido a atrasos em procedimentos ou exames.
Em média, as organizações pesquisadas enfrentaram 20 incidentes de perda e exfiltração de dados nos últimos dois anos, sendo o comportamento dos funcionários a causa principal. Os motivos mais comuns foram:
• 31% pelo não cumprimento das políticas de segurança;
• 26% perda acidental de dados;
• 21% envio de informações confidenciais a destinatários incorretos.
Dessa forma, segurança cibernética também é segurança do paciente. Mesmo as ações mais simples, como definir senhas fortes, seguir as políticas de segurança e evitar links suspeitos, podem proteger as organizações de saúde e, principalmente, os pacientes.
Educação e soluções para mitigar riscos.
Apesar de mais organizações estarem implementando programas de educação em segurança, muitos ainda são insuficientes. Atualmente, 71% das organizações afirmam adotar medidas para mitigar o risco da falta de conscientização dos funcionários sobre ameaças cibernéticas (acima dos 65% de 2023), mas apenas 59% realizam programas regulares de treinamento e conscientização.
Para reforçar as práticas de segurança, muitas organizações estão recorrendo à IA, com 54% já incorporando-a em seus processos de cibersegurança e 57% relatando resultados positivos. Ainda assim, essas ferramentas mais recentes precisam ser acompanhadas de treinamentos contínuos e específicos para obter maior eficácia.
Por fim, é crucial que os colaboradores do setor de saúde compreendam as consequências de suas ações. Pequenos descuidos, como um clique inadvertido ou download suspeito, podem expor as organizações a ataques como BEC, ransomware e ameaças internas, resultando em interrupção do atendimento e consequências graves para os pacientes.
Quanto maior o comprometimento com a segurança, mais eficiente é o atendimento prestado aos pacientes. As organizações de saúde devem fazer tudo ao seu alcance para equipar cada membro da equipe com ferramentas, habilidades e conhecimento adequados para uma tarefa de tal importância.
Saiba mais:
Para mais detalhes sobre as descobertas deste ano, faça o download do relatório do Instituto Ponemon: Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024.
E se você tiver alguma dúvida ou quiser saber mais sobre como a Proofpoint pode proteger sua organização, entre em contato conosco da Netconn. Estamos aqui para ajudar a fortalecer sua segurança cibernética!