LeadingAge 2025: Protegendo uma indústria vulnerável em meio a ameaças emergentes
Muitos dos ciberataques e violações de dados que ganham as manchetes tendem a destacar o impacto nos prestadores de serviços de saúde tradicionais, mas as organizações de cuidados para idosos também são alvos.
Em 2024, uma organização de cuidados para idosos com sede em Nova York relatou que o acesso não autorizado ao sistema havia potencialmente comprometido os dados de mais de 104.000 pessoas . E, de acordo com uma reportagem do Wall Street Journal , uma organização de cuidados para idosos do sul da Califórnia levou meses para notificar mais de 26.000 pessoas sobre uma violação de dados ocorrida em 2023.
Por isso, a segurança de dados e a conformidade foram temas prioritários para os palestrantes na Reunião Anual da LeadingAge de 2025 em Boston, especialmente para os líderes da Eliza Jennings, organização de cuidados para idosos com sede em Ohio, que discutem esses tópicos regularmente na conferência anual.
Clique no banner abaixo para ler o recente Relatório de Pesquisa em Segurança Cibernética da CDW.
A vice-presidente e diretora jurídica, Jennifer Griveas, enfatizou a importância de uma análise de risco atualizada das normas de segurança da HIPAA . Muitas vezes, as organizações negligenciam esse fundamento essencial para a proteção de dados sensíveis.
“Primeiro passo: se você ainda não fez uma análise de risco das regras de segurança do HIPAA , você deve fazer uma análise de risco das regras de segurança do HIPAA”, disse Griveas.
Ela afirmou que muitas das penalidades aplicadas pelo Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA a profissionais de saúde que sofreram uma violação de segurança eram frequentemente devidas à falta dessa análise de risco específica.
Organizações menores podem conseguir elaborar um sistema de segurança de TI por conta própria, utilizando recursos disponíveis gratuitamente, mas uma parceria pode ser útil para aquelas que não possuem equipe dedicada à segurança de TI ou para departamentos já sobrecarregados com outras prioridades.
É também algo que precisa de manutenção regular, porque, no cenário atual de segurança, um ataque cibernético é uma questão de "quando", e não de "se". Somando-se a isso o crescimento de ferramentas e processos baseados em inteligência artificial, as organizações de cuidados a idosos têm ainda mais a considerar quando se trata de proteger informações pessoais de saúde .
“Se você se encontra nessa situação e ocorre uma violação de segurança, e o OCR (Escritório de Direitos Civis) quer analisar sua avaliação de risco de segurança, e você diz: 'Aqui está um documento de 2019', não há como sua avaliação de risco estar atualizada, especialmente antes da pandemia e agora, após a introdução da IA (Inteligência Artificial). Tudo o que fizemos está mudando”, disse Griveas.
Essa análise de riscos é algo que as grandes organizações não devem ignorar, e serve como uma base útil à medida que novas tecnologias são incorporadas ao ambiente. Ela pode ajudar os membros da equipe a entender o que faz parte do ambiente de TI e quem tem acesso a ele.
“Acho que as pessoas às vezes pensam em uma regra de segurança do HIPAA como algo muito técnico, mas não é. Trata-se de estruturas”, acrescentou ela.
Clique no banner abaixo para se inscrever na newsletter semanal da HealthTech.
O vice-presidente de TI e diretor de conformidade, Michael Gray, também enfatizou a importância de manter o conhecimento atualizado sobre os diferentes tipos de ataques cibernéticos. Ele observou que, há cinco ou seis anos, apenas algumas mãos se levantavam quando os participantes eram questionados se sabiam o que era um ataque de ransomware. Hoje, esse tipo de ataque é bastante conhecido em todo o setor.
“Se não estivermos cientes desses riscos, e se nossa equipe não souber quais são esses riscos, não poderemos realmente nos defender deles”, disse ele.
Os agentes maliciosos agora tentarão permanecer no ambiente de uma organização-alvo pelo maior tempo possível e podem até tentar múltiplos ataques . Existem também intermediários de acesso inicial que, uma vez invadidos, vendem o acesso a terceiros. E com as tentativas de engenharia social cada vez mais sofisticadas, a autenticação multifator está evoluindo para se tornar mais resistente a phishing .
Mesmo que uma organização de cuidados para idosos acredite estar preparada para enfrentar um ataque cibernético, Gray afirmou que longos períodos de recuperação são inevitáveis, o que significa que equipes de todos os departamentos precisam saber como manter as operações em funcionamento quando os sistemas estiverem offline. Em um exercício simulado do qual participou, ele relatou que uma das preocupações era se os funcionários mais jovens sabiam como fazer registros em papel, então foi preciso considerar quem poderia ministrar treinamento rápido em registros em papel.
“Mesmo que você esteja extremamente bem preparado, leva muito tempo para colocar seus sistemas de volta em funcionamento. Sua seguradora cibernética e a empresa de perícia forense que ela utiliza precisam ter 100% de certeza de que seu ambiente está limpo antes de reativar seus sistemas”, disse Gray.
Não se trata apenas de ter o melhor conjunto de ferramentas de segurança ; as pessoas que compõem uma organização precisam estar bem familiarizadas com a estratégia de segurança e receber treinamento regular .
“Somos grandes defensores da presença de pessoas com o conhecimento adequado, seja em cargos de liderança, interagindo com o conselho administrativo, assessorando a alta administração ou fazendo parte dela, para que possam avaliar plenamente: 'Estamos fazendo o necessário para garantir a proteção de que precisamos?'”, disse Griveas.
Guarde esta página nos seus favoritos para acompanhar nossa cobertura do Encontro e Exposição Anual LeadingAge 2025. Siga-nos no X em @HealthTechMag e participe da conversa com a hashtag #LeadingAge25 .
healthtechmagazine
