O guia do governo dos EUA visa reforçar a segurança dos dispositivos móveis utilizados nos cuidados de saúde

Os provedores de saúde estão usando cada vez mais smartphones e tablets para tarefas como acessar e transferir registros médicos e enviar prescrições, mas esses dispositivos podem não ser seguros o suficiente para proteger informações médicas confidenciais de hackers.

Essa é a conclusão do Instituto Nacional de Padrões e Tecnologia dos EUA, cujo centro de segurança cibernética divulgou um guia preliminar na quinta-feira para ajudar os profissionais de TI a fortalecer os dispositivos móveis.

“Dispositivos móveis estão sendo usados ​​por muitos fornecedores para prestação de serviços de saúde. antes de implementar salvaguardas para privacidade e segurança ”, disse a agência.

[Outras leituras: Como remover malware do seu PC com Windows]

O guia Ed explicações detalhadas sobre como implementar procedimentos de segurança em todo o sistema de TI de uma organização de assistência médica. Por exemplo, há seções que descrevem como conectar dispositivos móveis da Apple e do Android a uma plataforma de nuvem de gerenciamento de dispositivos móveis comercial. Instruções passo a passo são fornecidas na configuração de um firewall baseado em Linux, bem como na criação de certificados de dispositivos móveis, entre outras tecnologias de segurança. O guia não endossa um produto específico e menciona tecnologias proprietárias e de código aberto. O centro usou produtos que estão prontamente disponíveis e podem ser facilmente integrados à infra-estrutura de TI existente de uma organização.

Outra seção do guia analisou quais riscos de segurança representavam a maior ameaça para manter confidenciais os dados do paciente. Hackers ganham acesso a um sistema de TI explorando senhas fracas classificadas como um dos principais problemas, seguidas por sniffing de rede e, talvez sem surpresa, dispositivos móveis roubados.

O centro de segurança cibernética também submeteu um sistema de TI a vários ataques de segurança e ofereceu conselhos sobre como uma organização de saúde pode reagir a eles. Em um cenário, um dispositivo móvel que poderia acessar um sistema EHR (registros eletrônicos de saúde) foi perdido. Para mitigar a ameaça, o dispositivo foi impedido de acessar a rede do hospital e seus dados foram apagados por meio de uma limpeza remota.

Outros cenários mostraram como a implementação do controle de acesso para diferentes sistemas pode impedir que hackers acessem informações do paciente mesmo depois de se infiltrarem rede hospitalar. Em um exemplo, um ataque de phishing foi usado para obter senhas do sistema e fazer login remotamente em uma área de trabalho. No segundo caso, uma pessoa não autorizada, como um hacker ou um funcionário desonesto, obtinha a senha para um sistema EHR.

Em ambos os incidentes, as credenciais permitiam que intrusos visualizassem um diagrama de rede. No entanto, o acesso aos sistemas em que dados confidenciais eram armazenados não era possível, pois a ação exigia senhas de administrador e os invasores não possuíam essas credenciais.

A criptografia era citada como uma forma de proteger os dados mesmo que um invasor obtivesse acesso físico a um datacenter. e explora o tráfego de rede

O guia apontou que a implementação da segurança deve ser equilibrada, garantindo que os profissionais de saúde possam usar facilmente a tecnologia para desempenhar suas funções. Em situações de emergência, controles de acesso alternativos podem ser introduzidos para que a equipe tenha acesso imediato aos dados.

O guia está aberto a comentários públicos até o dia 25 de setembro.