Daniel Ferreira, PhD, o nosso responsável pela área de Cybersecurity Advisory Services, publicou recentemente um capítulo em colaboração com Nuno Mateus-Coelho, PhD, intitulado “Cybersecurity Risks in Health Data and Measures to Take” (Ferreira & Mateus-Coelho, 2023), parte do livro “Exploring Cyber Criminals and Data Privacy Measures” (Mateus-Coelho & Cruz-Cunha, 2023).
Foi-nos concedida autorização para partilhar um excerto focado na gestão de incidentes cibernéticos e riscos para a saúde.
“Considerações Sobre A Gestão De Incidentes De Cibersegurança E Riscos Para A Saúde
O processo de gestão de incidentes de cibersegurança e riscos para a saúde envolve várias etapas, incluindo a avaliação das ameaças, a implementação de medidas de segurança e a criação de planos de ação. Seguem-se algumas considerações essenciais que devem merecer a sua atenção:
A identificação e a avaliação de potenciais perigos são duas das acções preventivas mais importantes que podem ser tomadas na gestão de problemas de saúde e de incidentes de cibersegurança (Department of Health and Human Services, 2018). É necessário efetuar uma avaliação da suscetibilidade dos sistemas de informação a ataques, identificar os perigos potenciais que possam existir e ter em conta o impacto potencial que esses perigos podem ter nas instalações e nos pacientes (Predicting Cybersecurity Risk, n.d.).
São necessários especialistas em segurança da informação para esta tarefa, uma vez que são capazes de realizar um exame exaustivo dos sistemas e identificar potenciais vulnerabilidades. Além disso, é necessário ter em consideração a legislação e os regulamentos mais recentes em matéria de segurança da informação no sector dos cuidados de saúde (Buckley & Muggleton, 2019; Health Care Industry Cybersecurity Task Force Report, 2017; Le Bris & El Asri, 2017).
Vulnerabilidades nas tecnologias da informação e na cibersegurança que colocam em risco as informações pessoais dos residentes, bem como os sistemas de cuidados de saúde (National Institute of Standards and Technology, 2018; Palmaers, 2013; Predicting Cybersecurity Risk, n.d.).
As ameaças à cibersegurança e aos sistemas de informação têm um impacto substancial na segurança e na privacidade dos dados dos cidadãos e dos sistemas de saúde. Consequentemente, a integridade do sistema, os dados sensíveis e a privacidade dos registos individuais dos utilizadores são postos em risco. As preocupações relacionadas com a cibersegurança que podem potencialmente ter um efeito nos sistemas de saúde incluem as seguintes:
- Os ataques com ransomware podem comprometer a disponibilidade e a integridade dos sistemas de informação, impossibilitando o acesso dos trabalhadores do ramo da saúde aos dados necessários para a prestação de cuidados. O roubo de dados sensíveis é uma possibilidade sempre que os piratas informáticos mantêm os dados e os sistemas como reféns e exigem um resgate em troca da devolução do acesso a esses sistemas e dados.
Riscos de cibersegurança nos dados de saúde e medidas a adotar
- Phishing: Através de ataques de phishing, os utilizadores de sistemas de informação podem ver as suas palavras-passe e outras credenciais utilizadas para aceder ao sistema serem-lhes retiradas. Os criminosos podem assumir a identidade de pessoal médico ou de empresas associadas à área da saúde para enganar as vítimas inocentes e levá-las a divulgar informações sensíveis.
- Fraude em formato eletrónico: Entre os exemplos de fraude eletrónica nos sistemas de saúde contam-se a usurpação de identidade, a criação de contas falsas e a contrafação de medicamentos sujeitos a receita médica. Este tipo de fraude está a tornar-se um motivo de maior preocupação à medida que a tecnologia continua a avançar. Esta situação pode levar a um aumento dos custos dos cuidados de saúde, para além de pôr em risco a saúde e a segurança dos doentes e a qualidade dos tratamentos prestados.
- Agressões que restringem o acesso a informações ou dados essenciais.
- As agressões que impedem o acesso a informações ou dados essenciais têm o potencial de reduzir a disponibilidade dos sistemas de informação, impedindo o acesso a informações ou dados cruciais necessários aos cuidados de saúde.
Para proteger os dados e os sistemas de saúde, é necessário pôr em prática várias medidas de cibersegurança, incluindo a utilização de autenticação forte, encriptação de dados, cópias de segurança de rotina dos dados essenciais, monitorização e deteção de ameaças e actualizações de rotina do software e do sistema de segurança. A educação e a sensibilização dos utilizadores são também componentes essenciais para pôr termo às fraudes de phishing e a outros tipos de ameaças que podem ser encontradas online. A implementação de políticas de cibersegurança e a garantia da conformidade legal são passos necessários para garantir a segurança e a privacidade dos utilizadores. Estas medidas devem ser tomadas em conjunto (Agencies Need to Address Aging Legacy Systems, n.d.; Ahmad et al., 2021; Arora & Kuriakose, 2019; Buckley & Muggleton, 2019; Kruse et al., 2017; Palmaers, 2013; Tejero & de la Torre, 2012).”
Ferreira, D. J. and Mateus-Coelho, N. (2023) ‘Cybersecurity risks in health data and measures to take’, Exploring Cyber Criminals and Data Privacy Measures, pp. 1–18. doi: 10.4018/978-1-6684-8422-7.ch001.
O artigo completo está disponível através do seguinte link:
https://www.igi-global.com/gateway/book/313630
A New Cognito é especializada em projectos de grande escala que se adaptam a uma variedade de sectores. A nossa experiência, acumulada através de uma vasta experiência em diversos contextos globais e em diferentes domínios tecnológicos, é relevante para empresas que abrangem uma gama de indústrias, incluindo as mais complexas.