Podcast: Reproduza em uma nova janela | Download (Duração: 37:11 – 34,0 MB)
Assine: Podcasts da Apple | Spotify
Phil Englert, da Health-ISAC, descreve como os contratos de fornecedores, as RFPs de equipamentos e as ferramentas de monitoramento mudarão quando os novos mandatos de segurança da HIPAA entrarem em vigor. Assista abaixo ou no YouTube.
Phil Englert, vice-presidente de segurança de dispositivos médicos da Health-ISAC
Dois prováveis mandatos da HIPAA desafiarão mais os CISOs de saúde: inventário de dispositivos e mapeamento de PHI. Ambos vêm com atualização da política de segurança esperado ainda este ano. Os testes de penetração, as avaliações de risco e a autenticação multifatorial devem ser introduzidos mais facilmente.
Phil Englert, vice-presidente de segurança de dispositivos médicos da Saúde-ISACdisse que esses dois requisitos testarão até mesmo sistemas de saúde com bons recursos. Falando no HealthsystemCIO Show, ele compartilhou o que esperar e onde o planejamento mais difícil deveria começar.
Health-ISAC tem aproximadamente 1.300 organizações membros que abrangem fabricantes, fornecedores, produtos farmacêuticos, saúde pública, seguradoras e pagadores. O grupo gerencia mais de 26 grupos de trabalho liderados por membros, incluindo aqueles focados em gerenciamento de identidade e acesso, atividade quântica e inteligência artificial. Englert lidera o fluxo de trabalho de segurança de dispositivos médicos e apoia três conselhos regionais nas Américas, na Europa e no Pacífico Ocidental.
Ferramentas avançadas de monitoramento ocuparão grande parte da carga do inventário
O mandato de inventário abrange mais do que dispositivos médicos. Os sistemas de saúde também devem considerar a tecnologia operacional que apoia os cuidados clínicos. Eles devem inventariar aplicações clínicas e suas interfaces com parceiros de negócios. Segundo Englert, as ferramentas evoluíram significativamente nos últimos anos.
“Há uma grande maturidade nas capacidades de monitorização activa e passiva no sector da saúde, e estas ferramentas passivas tornaram-se muito boas na identificação de dispositivos”, disse ele. “Eles não estão olhando apenas para dispositivos médicos; eles também estão olhando para dispositivos OT. Há empresas que criaram a capacidade de gerenciar até mesmo alguns dos riscos de segurança da tecnologia incorporada, sejam atualizações de firmware flash, rotação de senhas ou bloqueio e gerenciamento de dispositivos grandes e específicos que são predominantes em muitos setores, não apenas na saúde.”
A maturidade é importante porque as regras passarão vários itens de recomendados para obrigatórios. Os sistemas de saúde enfrentarão um trabalho de inventário, juntamente com testes regulares e atualizações de avaliações de risco. Além disso, Englert disse que as atuais plataformas de governança, risco e conformidade capturam bem os riscos. No entanto, eles não conseguem identificá-los. Esta lacuna manifesta-se nos três pilares dos cuidados de saúde – segurança do paciente, privacidade dos dados e continuidade dos cuidados.
Mapear PHI mudará as relações com parceiros de negócios
O mapeamento PHI exigirá um músculo diferente. Os sistemas de saúde devem rastrear informações de saúde protegidas desde o ponto de geração até onde elas viajam, onde ficam e onde saem da organização. Muitas dessas informações começam com dispositivos médicos. As ferramentas de monitoramento passivo podem resolver uma parte significativa do quebra-cabeça porque já analisam o tráfego da rede. No entanto, o tráfego criptografado e as aplicações clínicas hospedadas na nuvem exigirão uma abordagem diferente.
“À medida que entramos nas aplicações clínicas que usamos para apoiar a saúde, seja seu EHR, seu PACS, sejam esses PACS locais ou na nuvem, tudo pode ficar um pouco mais complexo”, disse ele. “Teremos que pensar em confiar em nossos parceiros de negócios para fazer isso por nós e nos informar o que está acontecendo. Portanto, acho que é um realinhamento daquilo com que nos envolvemos e como nos relacionamos com tantos dos parceiros de negócios dos quais confiamos.”
A reestruturação tem impacto direto nos contratos e na documentação do fluxo de dados. Especificamente, as organizações precisarão de uma visibilidade mais clara dos contratos. Eles precisam saber onde estão os dados, como eles se movem e quais controles os protegem. Englert também observou que o prazo de implementação de 60 dias está sendo discutido para alguns regulamentos. Esta janela deixará pouco espaço para uma renegociação lenta.
RFPs Cyber-Aware tornam-se uma alavanca para substituição de legados
Outra mudança mais longa está ganhando impulso. Os sistemas de saúde escrevem requisitos cibernéticos diretamente nas RFPs. Eles desligam equipamentos que não conseguem levar a organização adiante. De acordo com Englert, esta abordagem é o caminho mais realista para a retirada da infraestrutura legada. Funciona especialmente bem para dispositivos específicos que são resistentes a violações.
Os dispositivos médicos normalmente permanecem em serviço por 10, 12 ou até 20 anos. Como resultado, estas decisões de aquisição funcionam como atos de gestão a longo prazo. Por exemplo, a American Hospital Association relata uma expectativa de vida mínima de aproximadamente sete anos para um dispositivo médico, com muitos operando por muito mais tempo. A postura cibernética dos equipamentos adquiridos hoje moldará o perfil de risco de uma organização muito depois da posse de qualquer CISO atual.
O comportamento dos fabricantes está alimentando mudanças, segundo Englert. Muitos estão agora incorporando práticas seguras de desenvolvimento de software em seus sistemas de qualidade. Os novos dispositivos devem obter aprovação de reguladores nos EUA, Europa, Filipinas e outros lugares. Como resultado, os sistemas de saúde que cumprem os requisitos cibernéticos no momento da compra podem gerar melhorias incrementais no dispositivo ao longo do tempo. Eles também devem se preparar para que os recursos de varredura baseados em IA se tornem padrão tanto para atacantes quanto para defensores. Segundo Englert, essa mudança forçará as equipes a repensar a forma como o ciberespaço funciona na velocidade da máquina.
Leve embora
- Planeje agora uma lista completa de dispositivos médicos, TO e aplicações clínicas antes da nova regra de segurança HIPAA.
- Conte com ferramentas maduras de monitoramento ativo e passivo para acelerar a descoberta de dispositivos e reduzir a carga de trabalho manual.
- Espere que o mapeamento de PHI altere os contratos de fluxo de dados e a visibilidade com EHRs, PACS e outros parceiros de aplicações clínicas, especialmente na nuvem.
- Passe da avaliação de risco para a avaliação de impacto, ponderando a segurança do paciente, a privacidade dos dados e a continuidade dos cuidados.
- Crie requisitos cibernéticos diretamente nas RFPs de equipamentos para descontinuar a infraestrutura legada ao longo de um ciclo de vida de dispositivo de 10 a 20 anos.
- Trate a compra de dispositivos de segurança médica como uma decisão comercial de longo prazo que durará mais que a maioria dos mandatos executivos.
A maior mudança cultural, disse Englert, é transferir a segurança cibernética da mesa do CISO para o negócio mais amplo, onde o risco realmente reside. “As organizações que identificam isso, fazem com que os líderes empresariais aceitem os riscos e depois os comprometem a reduzir esses riscos nas suas unidades de negócio individuais, é isso que realmente faz com que tudo seja feito”, disse ele.
