Novas Regras da HIPAA Exigem Restauração de Dados em 72 Horas e Auditorias Anuais de Conformidade
O Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) propôs novas exigências de cibersegurança para organizações de saúde com o objetivo de proteger os dados dos pacientes contra possíveis ataques cibernéticos.
No Brasil, embora a HIPAA seja uma legislação dos Estados Unidos, empresas do setor de saúde que prestam serviços para organizações norte-americanas ou atuam de forma global frequentemente são auditadas para verificar sua conformidade com os requisitos dessa norma. Esse cenário é comum em hospitais, clínicas e laboratórios que possuem parcerias internacionais ou lidam com dados de pacientes estrangeiros, tornando as práticas previstas pela HIPAA, como proteção de ePHI, auditorias anuais e recuperação de dados, exigências práticas também em território brasileiro. Essa adesão ajuda a fortalecer a segurança das informações e facilita a atuação dessas instituições no mercado global.
A proposta, que busca modificar a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996, faz parte de uma iniciativa mais ampla para reforçar a cibersegurança em infraestruturas críticas, afirmou o OCR.
A nova regra pretende fortalecer as proteções para as informações eletrônicas de saúde protegidas (ePHI) ao atualizar os padrões da Regra de Segurança da HIPAA, de forma a “lidar melhor com as crescentes ameaças cibernéticas ao setor de saúde.”
Para isso, a proposta exige, entre outras medidas, que as organizações realizem uma revisão do inventário de ativos tecnológicos e do mapa da rede, identifiquem possíveis vulnerabilidades que possam ameaçar os sistemas de informações eletrônicas e estabeleçam procedimentos para restaurar a perda de determinados sistemas e dados eletrônicos relevantes em até 72 horas.
Outras cláusulas notáveis incluem a realização de auditorias de conformidade pelo menos uma vez a cada 12 meses, a obrigatoriedade de criptografia das ePHIs em repouso e em trânsito, a implementação de autenticação multifator, a utilização de proteção antimalware e a remoção de softwares desnecessários dos sistemas eletrônicos relevantes.
O Aviso de Proposta de Regulamentação (NPRM) também exige que as entidades de saúde implementem segmentação de redes, estabeleçam controles técnicos para backup e recuperação, além de realizarem varreduras de vulnerabilidades ao menos a cada seis meses e testes de penetração pelo menos uma vez a cada 12 meses.
Essa medida surge em um momento em que o setor de saúde continua sendo um alvo lucrativo para ataques de ransomware, que não apenas representam riscos financeiros, mas também colocam vidas em perigo ao interromper o acesso a equipamentos de diagnóstico e sistemas críticos que armazenam registros médicos dos pacientes.
“As organizações de saúde coletam e armazenam dados extremamente sensíveis, o que provavelmente contribui para que sejam alvos de ataques de ransomware,” observou a Microsoft em outubro de 2024. “No entanto, uma razão ainda mais significativa para o risco dessas instalações é o potencial para pagamentos financeiros substanciais.”
“Instalações de saúde localizadas próximas a hospitais afetados por ransomware também são impactadas, pois enfrentam um aumento na demanda por atendimento e não conseguem oferecer suporte de forma ágil.”
De acordo com dados compilados pela empresa de cibersegurança Sophos, 67% das organizações de saúde foram atingidas por ransomware em 2024, um aumento em relação aos 34% registrados em 2021. A maioria desses incidentes foi atribuída a vulnerabilidades exploradas, credenciais comprometidas e e-mails maliciosos.
Além disso, 53% das organizações de saúde que tiveram dados criptografados pagaram o resgate para restaurar o acesso. O valor mediano do pagamento foi de US$ 1,5 milhão.
O aumento na taxa de ataques de ransomware contra entidades de saúde também tem sido acompanhado por tempos de recuperação mais longos, com apenas 22% das vítimas se recuperando totalmente de um ataque em uma semana ou menos, uma queda significativa em relação aos 54% em 2022.
“A natureza altamente sensível das informações de saúde e a necessidade de acessibilidade sempre colocarão o setor de saúde na mira dos cibercriminosos,” afirmou John Shier, CTO da Sophos. “Infelizmente, os cibercriminosos aprenderam que poucas organizações de saúde estão preparadas para responder a esses ataques, como demonstram os tempos de recuperação cada vez mais longos.”
No mês passado, a Organização Mundial da Saúde (OMS), uma agência da ONU voltada para a saúde pública global, caracterizou os ataques de ransomware contra hospitais e sistemas de saúde como “questões de vida ou morte” e pediu cooperação internacional para combater essa ameaça cibernética.
