Cibersegurança vs. Recuperação de Desastres: Como os Sistemas de Saúde se Preparam para o Pior
Tudo começou com uma conta falsa.
Durante a pandemia de COVID-19, grande parte da força de trabalho não clínica da Rede de Saúde da Universidade de Vermont passou a trabalhar remotamente. A filha de uma funcionária recebeu um e-mail que acreditava ser da associação de moradores. Como não conseguiu abrir o anexo, encaminhou-o para a mãe, que o abriu em seu computador de trabalho e, posteriormente, se conectou à VPN do sistema de saúde.
E assim, a organização ficou exposta ao ransomware .
"Você não tem a oportunidade de ver isso acontecendo em todos os sistemas e tentar impedir", diz o CISO Nate Couture. "Simplesmente todos caem. Tivemos 1.300 servidores que ficaram offline em um período de 15 minutos."
Incidentes como o ataque de ransomware de outubro de 2020 contra um dos maiores sistemas de saúde de Vermont forçam os líderes de TI a confrontar a diferença entre recuperação cibernética e recuperação de desastres. Os planos tradicionais de recuperação de desastres pressupõem que as organizações possam restaurar rapidamente os sistemas a partir de backups e retomar as operações. No entanto, incidentes cibernéticos exigem uma abordagem fundamentalmente diferente, com organizações de saúde às vezes usando sistemas temporários por semanas enquanto reconstroem seus ambientes.
“A recuperação de desastres tradicional significa retornar ao normal após incidentes físicos e ambientais”, afirma Lee Kim, diretor sênior de segurança cibernética e privacidade da HIMSS . “ Recuperação de incidentes cibernéticos significa retornar ao normal após incidentes de segurança cibernética. São coisas intangíveis que normalmente não estão à nossa vista, a menos que as procuremos. Quando descobrimos sobre elas, geralmente é em um estágio posterior, após dados serem vazados ou outros danos terem sido causados.”
Clique no banner abaixo para ler o recente Relatório de Pesquisa de Segurança Cibernética da CDW.
O ataque à University of Vermont Health Network expôs uma lacuna crítica — e extremamente comum — na estratégia de preparação. Embora o sistema de saúde tivesse procedimentos de inatividade para problemas rotineiros de TI, esses planos foram projetados para acomodar interrupções que durassem apenas algumas horas, ou talvez dias. Mas, com o sistema de prontuário eletrônico Epic da organização fora do ar por quatro semanas, as soluções alternativas em papel rapidamente se mostraram inadequadas.
“Existem certos serviços clínicos para os quais simplesmente não existe um plano de tempo de inatividade”, diz Couture. “É possível fazer o prontuário do paciente em papel e realizar boa parte do atendimento ambulatorial e de emergência sem muita tecnologia. Mas não é possível fazer radio-oncologia sem a tecnologia que a suporta.”
Em um incidente típico de recuperação de desastres , a organização teria simplesmente interrompido o tratamento de radio-oncologia até que os sistemas voltassem a funcionar, adiando algumas consultas no processo. Mas, com os sistemas inativos por semanas, isso representaria uma lacuna inaceitável no atendimento, e assim Couture e sua equipe construíram um ambiente provisório isolado que permitiu a continuidade dos tratamentos contra o câncer, mesmo com as equipes de TI correndo para concluir a análise forense e a restauração. Eles também criaram uma versão offline do prontuário eletrônico do sistema de saúde, conectada diretamente a alguns computadores e impressoras, e usaram a configuração para enviar impressões dos dados dos pacientes aos médicos.
Além de restaurar os sistemas, o hospital precisou substituir 5.500 endpoints comprometidos e implementar novas ferramentas de segurança em meio à crise. A resposta incluiu a implantação da plataforma Falcon EDR da CrowdStrike , a migração para os backups imutáveis da Rubrik e a parceria com a Zscaler para visibilidade de segurança baseada em nuvem quando as ferramentas locais falharam.
As novas soluções, diz Couture, colocam o sistema de saúde em uma posição melhor para evitar um ataque repetido — e se recuperar mais rapidamente se um ocorrer.
“Estamos em uma luta em que você nunca vai conseguir revidar”, diz ele. “Seu trabalho é tentar não ser atingido, conseguir aguentar um soco se for atingido e se levantar do tatame quando for derrubado.”
Desde 2018, o Memorial Hermann Health System em Houston realiza periodicamente exercícios de ransomware para avaliar como a organização continuaria a fornecer cuidados aos pacientes se um ataque deixasse os sistemas inativos por um longo período.
“Na primeira vez que fizemos isso, reunimos nossas equipes de liderança executiva e representantes das operações clínicas”, diz o CISO Randy Yates. “Perguntamos o que aconteceria se sofrêssemos um ataque e eles não pudessem usar determinados sistemas de TI: 'O que aconteceria se isso acabasse, se não pudéssemos imprimir, se não pudéssemos digitalizar?'”
Yates e sua equipe sentiram que era necessário desenvolver ferramentas e processos de resiliência cibernética que ajudassem as equipes clínicas e operacionais a continuarem fazendo seu trabalho, mesmo que a rede ficasse inativa por dias ou semanas.
A prática leva à perfeição para a resiliência cibernéticaAdam Lee, diretor de gestão de emergências e resiliência organizacional no Memorial Hermann, liderou um esforço de dois anos para mapear processos críticos em todos os departamentos, identificando o que cada área precisava para manter as operações por 30 dias em vez de apenas algumas horas.
O sistema de saúde também começou a realizar exercícios técnicos de equipe vermelha/equipe azul , nos quais terceiros tentam ataques controlados para testar as capacidades de monitoramento. Esses exercícios ajudaram a esclarecer o que a organização poderia fazer para melhorar o suporte à resiliência cibernética após um ataque .
“Às vezes, é preciso fazer melhor uso das ferramentas que temos”, diz Yates. “Mas percebemos que, em alguns casos, precisávamos de novos recursos.”
healthtechmagazine
