Jenny Radcliffe, da Human Factor Security, reuniu-se recentemente com Kate Mullin, diretora de segurança da informação (CISO) do Cancer Treatment Centers of America, para discutir as ameaças mais recentes enfrentadas pelo setor de saúde. A conversa delas tocou em vários assuntos, de ransomware e trabalho híbrido às qualificações necessárias para se construir uma carreira em cibersegurança atualmente.
O que se segue é um resumo do que Kate disse sobre esses e outros assuntos:
Sobre a posição do setor de saúde na mira de cibercriminosos
Tendo trabalhado por muitos anos com cibersegurança no setor de saúde, estou acostumada com o fato de que esse setor está sempre na mira de cibercriminosos. Porém, os acontecimentos dos últimos anos foram algo fora do comum. Ao mesmo tempo que lidávamos com as consequências da COVID-19 e a ascensão do trabalho híbrido — além da falta de medicamentos decorrente da guerra na Ucrânia — tínhamos que continuar atendendo nossos pacientes porque trabalhamos com oncologia.
Naturalmente, esses eventos causaram grandes perturbações em nosso trabalho, mas os malfeitores não se importam. Os ataques de ransomware na área de saúde aumentaram significativamente. É claro que há muito mais em jogo quando um ataque pode afetar o tratamento oncológico de um paciente. A tragédia disso é que muitos não têm a opção de começar de novo caso haja alguma interrupção desse tratamento.
Ser ou não uma das organizações visadas por ataques é uma questão de sorte, mas todos precisam estar preparados. É por isso que aconselho as organizações a realizar exercícios práticos de ransomware para compreender melhor o que pode e o que não pode ser feito.
Ainda há uma crença de que basta pagar o resgate para que tudo seja descriptografado, mas nem sempre é assim — dê uma olhada no relatório State of the Phish da Proofpoint para ver quantas empresas nunca recuperaram o acesso, mesmo pagando resgate. A descriptografia pode levar muito tempo e talvez até reconstruir os sistemas seja mais rápido.
Trabalho híbrido e o fator humano
O trabalho híbrido aumentou e mudou os riscos enfrentados pelo setor de saúde. Muitas pessoas podem ter gasto dinheiro atualizando sua tecnologia de “casa inteligente”, mas isso não basta. Ainda que você tenha protegido seus dispositivos, a menos que use uma rede privada virtual (VPN) sempre que estiver on-line, você estará, efetivamente, utilizando uma rede desprotegida.
O trabalho híbrido também tornou mais evidente que o lado humano é nosso ponto mais fraco. As pessoas constituem um risco enorme, seja devido a erros ou por causa da “Great Resignation” (fenômeno de demissões voluntárias em massa), rotatividade ou aposentadorias precoces. No setor de saúde, esse risco está associado tanto a funcionários quanto a pacientes. Eles serão visados e eu não conheço ninguém que não seja enganado por um phishing direcionado — mesmo que sejam necessárias algumas tentativas para isso.
Além disso, há a questão da privacidade dos pacientes. E claro que a segurança dos dados de saúde é levada muito a sério e que a força de trabalho é muito bem treinada nisso. Porém, há áreas nas quais precisamos estar abertos e isso cria dificuldades. O setor de saúde quer curar doenças e integrar sistemas para proporcionar um atendimento melhor. Mas quanto mais fazemos isso, mais criamos possíveis pontos fracos e áreas sujeitas a comprometimento.
Por que todos nós precisamos de qualificações em cibersegurança?
Todos na área de TI precisam ter qualificações em segurança da informação. E todo mundo está na TI. Se você está instalando aplicativos no seu celular, você está na TI. Se você tem filhos, você está na TI. Se você trabalha em casa, você certamente está na TI.
Antes do trabalho híbrido tornar-se comum, você podia deixar um computador ligado e, milagrosamente, tudo estava atualizado pela manhã. Mas agora que isso acontece remotamente, nosso pessoal precisa ter uma compreensão melhor da importância da segurança.
Cada membro de nossa força de trabalho precisa saber o que significa aplicar patches em computadores, o que é uma VPN e porque utilizá-la e assim por diante. E nós, como profissionais de cibersegurança, precisamos melhorar a forma de transmitir o que eles precisam saber.
Quer ouvir mais opiniões de CISOs?
Visite CISO Voices para ouvir a toda a entrevista de Jenny com Kate, além de outros episódios.
Os podcasts Human Factor Security de Jenny também contêm insights adicionais de especialistas em cibersegurança. Fique atento a nossa próxima postagem no blog CISO Voices para descobrir insights de cibersegurança de Tom Wade, CISO de aluguel.
Central do CISO da Proofpoint
Visite nossa central do CISO para obter atualizações regulares sobre pesquisas, insights e recursos de cibersegurança, especificamente para a comunidade global de CISOs.