A área da Saúde continua a enfrentar desafios dramáticos à medida que avançamos para 2023. A escassez de pessoal há muito prevista, acelerada devido COVID-19, está a ter um impacto na prestação de serviços de saúde em todo o mundo. Além disso, os ciberataques continuam a aumentar, ainda que, um pouco ironicamente, a tecnologia seja frequentemente, e de forma bastante genérica, aclamada como a solução para os problemas dos cuidados de saúde (incluindo o pessoal).

Neste artigo, identifico 5 tendências-chave que vemos emergir como resultado das discussões que temos com os nossos clientes e parceiros, na compreensão dos seus desafios e planos.

Aumento dos cuidados remotos significa um aumento dos dispositivos remotos

O tratamento ou monitorização remota de doentes (RPM), através de dispositivos inteligentes, não é propriamente novidade. O Mercy Virtual, lançado em 2015, foi descrito num artigo da CNN de 2016 como o “hospital de 54 milhões de dólares sem camas”. Em 2019, revelou que, para cerca de 4.200 pacientes no seu programa vEngagement, tiveram uma redução de 50% nas visitas e hospitalizações no departamento de emergência!

PUB • CONTINUE A LER A SEGUIR

Com o custo das readmissões estimado em 26 biliões de dólares só para o Medicare, dir-se-ia que todos teriam aderido há anos… mas, esse seria o palpite errado: as restrições de reembolso significavam que as organizações não podiam faturar os serviços de doentes à distância e, por isso, não podiam financiar os programas.

Tal como em muitas coisas na Saúde, a COVID-19 alterou as regras de reembolso, com os Centros de Medicare e Medicaid Services (CMS) a publicar uma regra final intercalar (IFC) que permitia efetivamente o reembolso da telemedicina e do RPM.

De um dia para o outro, as visitas virtuais e a telemedicina dispararam, tal como o número de empresas de monitorização remota de doentes. A Beckers Hospital Review publicou uma lista dos 50 principais fornecedores de RPM em julho de 2022 e, em outubro de 2021, a Best Buy adquiriu o fornecedor de RPM Current Health, declarando que “o futuro da tecnologia de consumo está diretamente ligado ao futuro dos cuidados de saúde”. A RPM utiliza dispositivos ligados em casa do paciente, frequentemente um tablet ou telefone ligado a um oxímetro de pulso, balanças e uma manga de pressão sanguínea.

Os cuidados à distância têm mostrado indicadores do seu valor, contribuindo para manter as pessoas fora do hospital, aliviando parte da carga sobre as equipas de cuidados e proporcionando resultados positivos para os pacientes. Mais pacientes serão inscritos, mais dispositivos serão implantados e a pegada de vulnerabilidade dentro dos HDO continuará a crescer. O que leva a…

A superfície de ataque em expansão

Pesquisas recentes realizadas pela Ponemon identificaram que 12% dos ataques estavam enraizados em dispositivos IoT. Num focus group recente, os riscos de cibersegurança mais percecionados nos cuidados de saúde eram, na esmagadora maioria dos casos, o que se pode chamar dispositivos informáticos tradicionais. Os computadores de secretária e portáteis Windows que armazenam Informações Pessoais de Saúde (IPS).

Tendo em conta que estes dispositivos têm as soluções de segurança mais “maduras”, é alarmante que as superfícies de ataque emergentes não estejam a obter a atenção que deveriam. A Saúde é um sistema cuidadosamente orquestrado de serviços cada vez mais conectados, dos quais o acesso clínico à informação do paciente é apenas um aspeto.

Os dispositivos IoT, OT e IoMT desempenham todos um papel crítico na prestação de cuidados. Os sistemas de gestão de edifícios controlam o HVAC (Aquecimento, Ventilação e Ar Condicionado), elevadores e sistemas de refrigeração, que podem parar a capacidade de prestação de cuidados aos pacientes se forem interrompidos. Os dispositivos IoT controlam as barreiras de estacionamento, o acesso aos edifícios e os sistemas de segurança. E há uma série de dispositivos clínicos IoMT em rápido crescimento, incluindo nebulizadores, bombas, dispositivos ingeríveis, dispensadores de medicamentos, etc., os quais, mais uma vez, podem ter um impacto dramático no tratamento dos pacientes.

Os atacantes estão bem cientes destas áreas vulneráveis. A Gartner previu que até 2025 os cibercriminosos terão tecnologia operacional armada (OT) e matarão ou prejudicarão seres humanos. Num ambiente em que as pessoas já estão incrivelmente vulneráveis, será que os ataques de “proteção” são próximos? O que nos leva a:

A ascensão do CIO: Ponto único de responsabilidade da segurança digital

À medida que as tecnologias em torno de IoT, OT, IoMT e TI evoluíram, a responsabilidade pelos sistemas manteve-se nas suas vias tradicionais. Os sistemas OT, com a previsão sombria da Gartner, continuam a ser da responsabilidade da gestão das instalações. Os dispositivos médicos caem no departamento de engenharia biomédica, que pode reportar ao CMO.

Embora estes dispositivos estejam frequentemente a utilizar um serviço partilhado fornecido pela equipa de TI, quando se trata de analisar a reparação e a segurança dos dispositivos, tal recai frequentemente sobre as equipas individuais, tendo as TI uma visibilidade muito limitada sobre os dispositivos, que não podem ter os seus agentes de segurança instalados.

Além disso, a prioridade de adicionar um patch a uma máquina de RM sensível, atualizar manualmente o firmware através de uma pen USB para 10.000 bombas de infusão (por vezes escondidas) ou atualizar o sistema de tubos pneumáticos é bastante baixa, para além de ser um pesadelo logístico. A disponibilidade e o tempo de funcionamento têm precedência, deixando estes vetores de ataque conhecidos exploráveis.

O setor da Saúde precisa de alinhar todos os sistemas digitais sob um único ponto de responsabilidade. CMIO, CNIO e CHIO precisam de compreender o alcance das ameaças (não necessariamente as próprias ameaças) e que uma única bomba de infusão pode, em última análise, minar a segurança de todo o hospital. Creio que isto precisa de ser liderado por um CIO.

No entanto, a atribuição de recursos para conduzir esta supervisão, formação e segurança é um desafio, o que leva ao:

Aumento dos serviços geridos e alojados

Como mencionei no início, a tecnologia é frequentemente aclamada como a solução para alguns dos principais desafios enfrentados pelo setor dos Cuidados de Saúde. A tecnologia resolverá o custo crescente dos cuidados, utilizando grandes dados para impulsionar os cuidados baseados em valores, aumentar o diagnóstico precoce e a qualidade dos tratamentos, identificar fatores de risco de doenças e melhorar a segurança dos pacientes através de previsões melhoradas dos resultados. Isto, para citar apenas alguns. A monitorização remota de doentes provou diminuir as taxas de readmissão e isto é apenas a superfície em termos dos tipos de condições a que isto está a ser aplicado atualmente.

O que raramente vejo, porém, é exatamente como é que isto vai ser financiado e dotado de pessoal. A Saúde está a ser dramaticamente afetada pela escassez de pessoal, mas não apenas do ponto de vista clínico: também do ponto de vista informático. Muitas organizações de cuidados de saúde têm lutado para atrair os melhores e mais brilhantes talentos em TI, particularmente as localizadas perto dos grandes empregadores em tecnologia e finanças. Infelizmente, o “trabalho a partir de qualquer parte do mundo” desta era pós-pandémica em que nos encontramos só terá exacerbado o problema.

As organizações high tech com muito financiamento são, agora, capazes de atrair candidatos de qualquer lugar e oferecer salários mais elevados. Atrair, formar e reter talentos é difícil. A experiência é altamente valiosa e um requisito quando se compreende o complicado mundo da segurança da informação sobre cuidados de saúde e da gestão de vulnerabilidades.

À medida que se desloca mais e mais informação para a cloud, torna-se menos arriscado para as organizações ligadas aos cuidados de saúde contratarem mais serviços aos fornecedores de cloud e utilizar serviços geridos para lidar com o aprovisionamento, gestão, monitorização e segurança desses serviços. Eles proporcionam consistência, responsabilidade e previsibilidade, o que pode libertar recursos valiosos para trabalhar em algumas das inovações que mencionámos acima. O que nos leva a:

Crescimento da Segurança Zero-trust

Alinhado com o tema de um único ponto de responsabilidade em matéria de segurança digital, está uma estratégia de segurança única. Saber por onde começar é, no entanto, um desafio. A Saúde não tem falta de requisitos de segurança e conformidade com a privacidade, no entanto, de acordo com o FBI, ainda é a indústria que sofre de longe o maior número de ataques de ransomware. Com mais normas a serem anunciadas nos EUA, isto cria um ambiente avassalador.

Os princípios do Zero-trust, quando aplicados holisticamente num ambiente, criam a estrutura, conceitos e arquitetura para abordar dados, identidade, workload, segurança de rede e dispositivos. Na sua forma mais simples, fornece um modelo que pode ser partilhado com a organização para ganhar a adesão e a sensibilização para uma estratégia consolidada de segurança patrimonial.

Itens como dispositivos médicos e sistemas de gestão de edifícios precisam de ser alinhados e incorporados numa única estratégia de segurança para reduzir o risco de um dispositivo nocivo, resultando na perturbação dos cuidados em toda uma organização. Isto tem os seus desafios e complicações, mas para os CISO que tentam reunir todos os ativos sob uma única política, que acabará por cumprir todas as regras e regulamentos das organizações de cuidados de saúde a nível mundial, é um ponto de partida sólido.

Minimizar os riscos de cibersegurança na Saúde

Um tema constante nestas previsões é o crescimento de dispositivos que estão fora da capacidade de muitas das ferramentas de cibersegurança existentes na Saúde. Muitas organizações são desafiadas a lidar com estes dispositivos que passam despercebidos pelas ferramentas tradicionais de segurança. Mesmo as iniciativas de Zero-trust falham, se não souberem que o dispositivo está lá. Existem plataformas que descobrem regularmente a existência de 40% ou mais dispositivos do que se pensavam ter nas redes. Sem visibilidade completa em toda a superfície de ataque, não há forma de a proteger.