Uma frente diferente no surto COVID-19: Segurança da Informação

Desafios do trabalho remoto: gerenciando a produtividade da equipe
Uma frente diferente no surto COVID-19: Segurança da Informação

Enquanto o mundo enfrenta as preocupações médicas associadas à COVID-19 e começa a trabalhar em casa, os trabalhadores de saúde que não estão na linha de frente, como os da administração e tecnologia da informação (TI), sentem uma pressão diferente. A gravidade não é igual à de salvar vidas. No entanto, manter os negócios funcionando e o estresse de uma força de trabalho remota são grandes desafios. Os trabalhadores administrativos e de TI na área da saúde precisam se adaptar a um ambiente em constante mudança, com fatores que vão desde ameaças de segurança emergentes até a administração de uma força de trabalho remota e a segurança associada para conexões remotas.

Os ataques dispararam durante o surto da pandemia de COVID-19, pois partes mal-intencionadas tentam se aproveitar dos medos e da curiosidade, visando as pessoas que desejam ajudar. Fornecer uma segurança da informação mais rigorosa é fundamental para defender adequadamente as organizações de saúde durante este período em que um segundo tipo de pandemia está ocorrendo — uma pandemia que busca comprometer dados sensíveis e as redes e aplicativos mais valiosos das organizações de saúde.

Em 8 de abril de 2020, o Departamento de Segurança Interna (Department of Homeland Security, ou DHS) e a Agência de Segurança Cibernética e Infraestrutura (Cyber and Infrastructure Security Agency, ou CISA) dos EUA, juntamente com o Centro Nacional de Segurança Cibernética (National Cyber Security Centre, ou NCSC) do Reino Unido, emitiram um alerta conjunto que reflete o aumento de “temas relacionados à COVID-19 por agentes cibernéticos mal-intencionados”. Esse aumento vem enquanto os provedores de assistência médica alteram vários aspectos de seus ambientes para possibilitar o novo normal. Isso inclui implementar novas plataformas de telessaúde e sites externos, adicionar novas conexões de VPN para que o pessoal administrativo possa trabalhar em casa, colocar membros da força de trabalho em licenças temporárias e fazer alterações nos prontuários médicos eletrônicos (electronic health records, ou EHR) para permitir uma melhor identificação, diagnóstico, solicitações e rastreamento de pacientes com COVID-19. O equilíbrio entre precisar agir rapidamente para atender às maiores necessidades da comunidade e proteger a privacidade e a segurança de informações sensíveis é muito difícil. Os invasores sabem que é provável que isso gere vulnerabilidades que podem aproveitar.

Esse aumento não é uma grande surpresa para a comunidade de segurança da informação (os invasores adoram uma boa crise). No entanto, a solução também não é surpreendente. Tudo se resume a boas práticas de higiene na segurança da informação. O gerenciamento de vulnerabilidades, o gerenciamento de identidade e acesso com autenticação multifatorial e a educação e reconhecimento de segurança para a força de trabalho são fatores críticos de um forte programa de segurança da informação.

Gerenciamento de vulnerabilidades

Conforme a organização promove mudanças, medidas devem ser adotadas para realizar avaliações de vulnerabilidades a fim de determinar se lacunas foram criadas e precisam ser resolvidas. Ter um processo para fazer isso em etapas curtas pode ajudar a criar um caminho evidente e focado para lidar com os pontos fracos em potencial. Não abra mão completamente dos esforços de testes de penetração. Em vez disso, considere revisões focadas nos ambientes novos ou alterados para ver se podem ser comprometidos. Lide com elas da forma adequada.

Sempre que possível, implemente controles em ambientes com acesso remoto. Por exemplo:

  • Realize varreduras de vulnerabilidades em dispositivos remotos para identificar vulnerabilidades e, se possível, corrija os dispositivos e atualize os produtos antimalware.
  • Reveja as regras de firewall e procure oportunidades adicionais para restringir o acesso.
  • Desative todos os dispositivos removíveis para desautorizar o uso de unidades USB ou impressoras e se proteger de agentes mal-intencionados internos que tentam exflitrar grandes quantidades de dados.
  • Implemente controles para proibir os usuários de baixar ou armazenar ePHI em dispositivos.
  • Garanta o registro do tráfego de VPN e a realização de alertas ou revisões para identificar padrões irregulares de uso da VPN.
  • Monitore as notícias diariamente para ver se há novas vulnerabilidades nas tecnologias de telessaúde.

Gerenciamento de identidade e acesso

Conforme aumenta o número de pessoas na força de trabalho remota de cada organização de saúde, a TI precisa avaliar a segurança das conexões remotas. Em março, a Célula de Integração de Comunicações e Cibersegurança de Nova Jersey (New Jersey Cybersecurity & Communications Integration Cell, ou NJCCIC) emitiu um boletim que trata dos riscos de cibersegurança durante a COVID-19, cujo foco foi manter o “princípio do privilégio mínimo”, estabelecer procedimentos para o trabalhador remoto e implementar tecnologias de proteção. As seguintes considerações de configuração e controle devem ser avaliadas:

  • Se possível, habilite a autenticação multifatorial para usuários que acessam a rede e aplicativos confiáveis da organização em locais remotos. É preciso considerar especificamente os usuários com contas de nível administrativo ou elevado.
  • Aumente os requisitos de complexidade e comprimento da senha. Organizações que usam senhas simples de oito caracteres podem ser invadidas facilmente, em geral por tentativas simples de adivinhação de senha.
  • Reveja as políticas de “bloqueio” para determinar se os usuários podem adivinhar senhas infinitamente ou permitir um ataque de “força bruta”.
  • Reveja e reduza o acesso do usuário para manter o princípio do privilégio mínimo, percebendo que a organização pode estar concedendo funções com acesso elevado a usuários clínicos que não estão autorizados a trabalhar em nível mais alto com base no relaxamento dos regulamentos. Confira se existem mecanismos para monitorar as mudanças de acesso para que possam ser revistas e possivelmente revogadas depois que os regulamentos forem restabelecidos.
  • Restrinja o acesso à rede interna apenas para dispositivos autorizados.
  • Considere desativar as contas de trabalhadores em licença. Funcionários em licença que acham que a licença foi concedida de maneira injusta, ou mesmo os que estão entediados, podem apresentar um risco maior de abusar desse acesso. Por fim, planeje a melhor forma de restabelecer essas contas, possivelmente em massa, depois que as licenças acabarem.

Conscientização para a segurança

Criar e disseminar notificações de conscientização para a segurança a todos os trabalhadores de saúde deve ser a primeira etapa na prevenção de ataques mal-intencionados. As medidas a seguir podem ajudar muito a educar trabalhadores sobre quais tipos de comunicação apresentam o maior risco de causar danos à organização:

  • Comunique as informações do alerta conjunto (em marcadores fáceis de digerir e entender) para a força de trabalho. Crie conscientização e considere exigir que os funcionários encaminhem todos os e-mails externos que contenham “COVID-19” na linha de assunto à equipe de TI, sem abri-los. Além disso, é possível pedir que os funcionários nunca usem “COVID-19” na linha de assunto de e-mails internos, caso um e-mail fraudulento seja enviado usando as credenciais comprometidas de uma pessoa.
  • Forneça exemplos de e-mails de phishing e instruções sobre como identificar um “falso”. Além disso, se houver acesso a uma ferramenta interna de phishing, considere testar as novas regras orientadoras usando um e-mail de phishing com “COVID-19” para averiguar a conformidade.
  • Envie lembretes de conscientização para a segurança sobre não abrir anexos inesperados ou provenientes de fontes não confiáveis.
  • Compartilhe os principais problemas relevantes de segurança, sejam eles sobre um possível banco de dados de contas comprometidas ou problemas com tecnologias específicas que os usuários devem conhecer.

Outra consideração técnica pode ser adicionar identificadores a ferramentas de prevenção de perda de dados (data loss prevention, ou DLP) para identificar mensagens vindas de fora da organização com “COVID-19” na linha de assunto e marcá-las imediatamente como possível spam, para fornecer aos usuários outro indicador de uma ameaça em potencial. Enquanto o mundo se concentra nos trabalhadores da saúde que lutam bravamente pela saúde dos pacientes, reduzir os riscos de segurança da informação em todo o sistema garantirá que eles tenham os recursos necessários para salvar mais vidas. A minimização dos riscos de segurança adicionará estabilidade para apoiar os trabalhadores de saúde a fim de garantir a funcionalidade consistente do sistema e reduzir as interrupções.

 

Clique here para acessar todas as séries