Phil Curran, CISO, Cooper University Health
A Cooper University Health Care teve visibilidade de apenas 25% dos mais de 10.000 IoT e dispositivos médicos conectados à sua rede quando lançou uma iniciativa de 18 meses para preencher essa lacuna. Phil Curran, CISO, disse que os dispositivos não gerenciados representam um risco significativo para a segurança cibernética e a segurança do paciente.
Os endpoints tradicionais eram bem protegidos, mas milhares de bombas de infusão, monitores de pacientes e sistemas de diagnóstico executavam software desatualizado, controles de acesso fracos e nenhum registro centralizado de propriedade. A iniciativa finalmente alcançou 100% de visibilidade do dispositivo e criou um modelo de segurança sustentável baseado na colaboração entre TI, segurança da informação e engenharia clínica.
O esforço começou com uma fase de descoberta que contou com ferramentas passivas de monitoramento de rede para catalogar todos os dispositivos da rede. As ferramentas identificaram tipos de dispositivos, sistemas operacionais, níveis de patches e vulnerabilidades sem interferir nas operações clínicas. Igualmente importante, a fase de descoberta direciona cada dispositivo para um proprietário interno, seja ele engenharia biomédica, TI ou outro grupo. Antes da iniciativa, ninguém na Cooper podia dizer com certeza quem era o responsável por um determinado dispositivo, e essa ambigüidade tornava quase impossível uma desmontagem coordenada.
Curran enfatizou que a colaboração entre departamentos foi o fator mais importante para o sucesso do projeto. A organização formou uma equipe multifuncional dedicada que inclui TI, segurança da informação, engenharia clínica e partes interessadas clínicas da linha de frente. A equipe de engenharia biomédica exigiu atenção especial porque o grupo já havia se separado da TI e o relacionamento apresentava alguns atritos institucionais. A equipa de segurança cibernética está a trabalhar para restaurar esta parceria, demonstrando que o objetivo é apoiar a missão da Biomed e não assumir as suas responsabilidades.
Os médicos defensores foram às enfermarias clínicas para explicar que a iniciativa existia para proteger os pacientes, e inquéritos e entrevistas com líderes clínicos ajudaram a equipa de segurança a compreender os fluxos de trabalho que precisavam de preservar. A educação desempenhou um papel sustentado ao longo do projecto; Curran disse que a equipe investiu um tempo significativo para garantir que todas as partes interessadas entendessem que o esforço tem a ver com a segurança do paciente, e não com a expansão dos poderes de segurança da informação. O princípio norteador era que o atendimento ao paciente não poderia ser interrompido. Uma ressonância magnética no meio de uma varredura foi o exemplo usado por Curran, explicando que a segurança cibernética nunca deve ser a razão pela qual um dispositivo falha enquanto o paciente está na mesa.
Segmentação de rede, proteção de dispositivos
A equipe de rede desempenhou um papel central ao implantar VLANs em cada local físico para isolar dispositivos de alto risco em segmentos de rede separados. Curran deu crédito direto ao grupo de infraestrutura, observando que o projeto não teria sido bem-sucedido sem o trabalho prático de configuração da segmentação site por site. Para dispositivos que não podem ser totalmente protegidos, movê-los para um segmento isolado serve como controle de compensação primário.
Um incidente aumentou a urgência quando um dispositivo de laboratório infectado obteve acesso à rede mais ampla porque ainda não havia sido colocado em sua própria VLAN. A equipe também desenvolveu linhas de base de segurança para cada categoria de dispositivo e as implementou por meio de uma fase de reforço que removeu o acesso desnecessário à Internet, desativou serviços desnecessários e implementou a autenticação multifator para sistemas críticos. A verificação de vulnerabilidades em dispositivos médicos, uma prática que Curran disse que seria impensável há dois anos, tornou-se rotina. Cooper também atingiu um marco em junho de 2025, quando desativou seu último sistema Windows XP.
Integrar a segurança nos contratos públicos
A Cooper incorporou requisitos de segurança em seu processo de aquisição, trabalhando com o departamento jurídico para adicionar patches de segurança, verificação e linguagem de avaliação aos contratos dos fornecedores. “Se não estiver no contrato, francamente, o vendedor não prestará atenção”, disse Curran.
A organização começou a solicitar listas de materiais de software (SBOMs) e formulários MDS2 dos fornecedores durante as avaliações técnicas, embora aproximadamente metade dos fornecedores inicialmente resistisse em fornecer a documentação do MDS2. Curran disse que o envolvimento colaborativo dos fornecedores leva a melhores resultados do que o confronto, e encorajou outros sistemas de saúde a criarem estes requisitos no início do ciclo de abastecimento. As avaliações de risco agora alimentam diretamente as decisões de implantação. Os dispositivos com pontuação abaixo de um determinado limite seguem para instalação, enquanto os dispositivos de alto risco exigem aprovação executiva antes de serem ativados.
A Cooper está agora projetando uma arquitetura de confiança zero para seu ambiente de IoT e dispositivos médicos, planeja aumentar a frequência de suas avaliações de risco e pretende automatizar o comissionamento e descomissionamento de dispositivos para que a segurança da informação seja notificada automaticamente quando os dispositivos entram ou saem da rede.
Leve embora
- Ferramentas de monitoramento passivo podem identificar dispositivos, proprietários e vulnerabilidades sem interromper as operações clínicas.
- A segmentação de rede via VLAN é o principal controle compensatório para dispositivos que não podem ser totalmente protegidos.
- A colaboração multifuncional entre TI, segurança cibernética e engenharia clínica deve começar cedo e continuar durante todo o ciclo de vida do projeto.
- Incorporar uma linguagem de segurança nos contratos de fornecedores cria uma alavancagem de negociação que as solicitações informais não conseguem.
- A segurança da informação deve ser incorporada durante todo o ciclo de vida do dispositivo, incluindo a desativação, para proteger as informações de saúde do paciente.
Curran disse que a iniciativa mudou a forma como a equipe clínica de Cooper via a equipe de segurança. “Queremos ser conhecidos como as pessoas que trabalharão com vocês para que possam continuar tratando os pacientes”, disse ele.
