Saltar para o conteúdo

Em breve poderá avaliar aqui
a Segurança de Informação da sua
instituição.

Segurança da Informação

Associado ao crescente entusiasmo relacionado com a transformação digital emerge também a preocupação com os riscos relacionados com a tecnologia. A transformação digital requer a gestão dos riscos tecnológicos, pois obriga as organizações a ter em consideração as Boas Práticas e a controlar as implementações.

A cibersegurança será o principal desafio para as instituições hospitalares uma vez que o número de ameaças bem-sucedidas nestas instituições cresceu significativamente nos últimos meses. Sabe-se que, nos Estados Unidos, mais de 110 milhões de registos individuais de saúde foram alvo de ciber-ataques em instituições hospitalares; facto que representa um número 3 vezes superior de indivíduos afetados quando comparado com o total de ameaças ocorridas entre 2009 e 2014. Até aqui, a ameaça mais comum advinha da perda ou roubo de equipamentos eletrónicos, nomeadamente, portáteis e equipamentos móveis, o que já não se verifica. As instituições atacadas investiram, em notificações, um valor 5 vezes superior ao aplicado na aquisição de hardwaresoftware e em serviços relacionados com a Segurança da informação.

Um em cada três consumidores encontram-se em  risco de ter os seus registos de saúde violados, sendo  crescentemente expostos ao roubo da sua identidade financeira  e ao roubo de identidade médica. Segundo um estudo da Medical Identity Theft Alliance (MIFA), o roubo de identidades médicas cresceu cerca de 22%, podendo este número ser superior.

Os ciber-criminosos estão a tornar-se mais sofisticados nos seus ataques, levando a um aumento de ameaças em número e em alcance no sector da saúde, devido à perceção destas instituições serem um alvo fácil. No passado, as intromissões ocorriam através de ataques massivos de phishing, utilizando, frequentemente para o efeito, mensagens de correio eletrónico amplamente distribuídas com links maliciosos ou com um anexo que introduzia malware na organização. Presentemente, os ataques de phishing são mais específicos e direcionados (spear phishing e whaling), envolvendo a engenharia social para aceder às credenciais. Os ciber-criminosos aperfeiçoaram também o envio de mensagens de correio eletrónico, tornando-as semelhantes às de fontes legítimas ex.: departamento de TIC das instituições hospitalares, instituições financeiras e outras fontes de instituições fidedignas.

As ameaças de ransomware, que encriptam ficheiros críticos do sistema tornando-os inacessíveis até que um resgate seja pago, constituem uma ameaça considerável às organizações. O impacto do ransomware vai muito para além da extorsão de dinheiro, pois poderão afetar os cuidados de saúde, as operações diárias e a segurança dos doentes. Quando os sistemas vitais são bloqueados, as equipas têm de recorrer a processos manuais e em papel, o que pode criar atrasos no acesso a informação crítica sobre os doentes e, deste modo, causar atrasos na prestação de cuidados de saúde. Em casos extremos, os hospitais afetados por este tipo de ataques transferiram doentes para outros hospitais e cancelaram agendamentos, por não terem acesso aos registos médicos. Esta realidade afeta, não só os cuidados de saúde prestados aos doentes, como possui um impacto na sustentabilidade das organizações envolvidas.

Prevê-se que, futuramente, os ataques passem a explorar as vulnerabilidades dos softwares associados a equipamentos médicos que se encontrem ligados à rede e interconectados a tecnologias de informação da saúde.

Apesar de se considerar que os ataques a dispositivos médicos são cenários de séries televisivas, um relatório recente evidencia que equipamentos como bombas de insulina, monitores cardíacos e sistemas PACS têm sido utilizados por ciber-criminosos como um meio de criar uma backdoor e aceder às redes das instituições de cuidados de saúde.

Neste contexto, as instituições governamentais, a nível central e local, encontram-se pressionadas a proteger os seus sistemas de TIC e os respetivos dados de todas as formas de ciber-ataques.

Adicionalmente:

Quer o sector privado, quer o sector público atravessam uma fase na qual existem mais e maiores ameaças digitais que podem ter implicações significativas. Segundo a IDC,  a segurança TIC define-se como uma abordagem, através da qual, as organizações podem utilizar tecnologias e competências como uma plataforma e um serviço para proteger os organismos governamentais e os cidadãos a quem prestam serviços.

Liderar os esforços de segurança num organismo governamental sempre foi uma tarefa complexa tendo em conta as ameaças únicas que estes enfrentam. Assim, os esforços de segurança TIC nestas instituições requerem um novo conjunto de competências do que aquelas que, tradicionalmente, existem nos diretores governamentais, pois necessitam compreender e dominar as áreas-chave de Segurança de TIC.

A SPMS desenvolveu o IT Security Assessment de Segurança TIC na Administração Pública para auxiliar e dar suporte aos administradores governamentais, responsáveis de TIC e responsáveis departamentais na compreensão da magnitude das ameaças e das mudanças necessárias para proteger os seus organismos e os seus programas de atuação.  Esta ferramenta consiste numa framework com cinco dimensões — visão, gestão de risco, pessoas, processos e tecnologias de segurança.

Governo de Portugal, Ministério da SaúdeServiços Partilhados do Ministério da Saúde, E.P.E.