Críticos consideram a resposta do governo federal fraca e fragmentada

A Central Oregon Pathology Consultants está no mercado há quase 60 anos, oferecendo testes moleculares e outros serviços de diagnóstico a leste da Cordilheira Cascade.

Começando no inverno passado, ele operou por meses sem ser pago, sobrevivendo com dinheiro em caixa, disse a gerente da clínica Julie Tracewell. A clínica está presa nas consequências de um dos ataques digitais mais significativos da história americana: o hack de fevereiro do gerente de pagamentos Change Health Care.

A COPC soube recentemente que a Change começou a processar algumas das reivindicações pendentes, que somavam cerca de 20.000 em julho, mas Tracewell não sabe quais, ela disse. O portal de pagamento do paciente continua inativo, o que significa que os clientes não conseguem liquidar suas contas.

“Levará meses para poder calcular a perda total desse tempo de inatividade”, disse ela.

O setor de saúde é o alvo mais frequente de ataques de ransomware: em 2023, segundo o FBI, 249 deles tiveram como alvo instituições de saúde, o maior número de qualquer setor.

E executivos da área da saúde, advogados e pessoas nos corredores do Congresso estão preocupados que a resposta do governo federal seja insuficiente, subfinanciada e excessivamente focada na proteção de hospitais — mesmo que a Mudança tenha provado que as fraquezas são generalizadas.

A “abordagem atual do Departamento de Saúde e Serviços Humanos para a segurança cibernética da assistência médica — autorregulamentação e melhores práticas voluntárias — é lamentavelmente inadequada e deixou o sistema de assistência médica vulnerável a criminosos e hackers de governos estrangeiros”, escreveu o senador Ron Wyden (D-Ore.), presidente do Comitê de Finanças do Senado, em uma carta recente à agência.

O dinheiro não está lá, disse Mark Montgomery, diretor sênior do Center on Cyber ​​and Technology Innovation da Foundation for Defense of Democracies. “Temos visto esforços extremamente incrementais a quase inexistentes” para investir mais em segurança, disse ele.

A tarefa é urgente — 2024 foi um ano de hacks na área da saúde. Centenas de hospitais no sudeste enfrentaram interrupções em sua capacidade de obter sangue para transfusões depois que a organização sem fins lucrativos OneBlood, um serviço de doação, foi vítima de um ataque de ransomware.

Os ataques cibernéticos complicam tarefas mundanas e complexas, disse Nate Couture, diretor de segurança da informação da University of Vermont Health Network, que foi atingida por um ataque de ransomware em 2020. “Não podemos misturar um coquetel de quimioterapia a olho nu”, disse ele, referindo-se aos tratamentos de câncer, em um evento em junho em Washington, DC

Em dezembro, o HHS divulgou uma estratégia de segurança cibernética destinada a dar suporte ao setor. Várias propostas se concentraram em hospitais, incluindo um programa de cenoura e vara para recompensar provedores que adotaram certas práticas de segurança “essenciais” e penalizar aqueles que não o fizeram.

Mesmo esse foco estreito pode levar anos para se materializar. Sob a proposta de orçamento do departamento, o dinheiro começaria a fluir para hospitais de “alta necessidade” no ano fiscal de 2027.

O foco em hospitais “não é apropriado”, disse Iliana Peters, ex-advogada de execução do Escritório de Direitos Civis do HHS, em uma entrevista. “O governo federal precisa ir além” investindo também nas organizações que fornecem e contratam provedores, disse ela.

O interesse do departamento em proteger a saúde e a segurança dos pacientes “coloca os hospitais no topo da nossa lista de parceiros prioritários”, disse Brian Mazanec, vice-diretor da Administração de Preparação e Resposta Estratégica do HHS, em uma entrevista.

A responsabilidade pela segurança cibernética da saúde do país é compartilhada por três escritórios dentro de duas agências diferentes. O escritório de direitos civis do departamento de saúde é uma espécie de policial na ronda, monitorando se hospitais e outros grupos de saúde têm defesas adequadas para a privacidade do paciente e, se não, potencialmente multando-os.

O escritório de preparação do departamento de saúde e a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna ajudam a criar defesas, como exigir que os desenvolvedores de software médico usem tecnologia de auditoria para verificar sua segurança.

Ambos os últimos são obrigados a criar uma lista de “entidades sistemicamente importantes” cujas operações são críticas para o bom funcionamento do sistema de saúde. Essas entidades poderiam receber atenção especial, como inclusão em briefings de ameaças do governo, disse Josh Corman, cofundador do grupo de defesa cibernética I Am The Cavalry, em uma entrevista.

Autoridades federais estavam trabalhando na lista quando a notícia do hack da Change foi divulgada, mas a Change Health Care não estava nela, disse Jen Easterly, líder da agência de segurança cibernética da Segurança Interna, em um evento em março.

Nitin Natarajan, vice-diretor da agência de segurança cibernética, disse ao KFF Health News que a lista era apenas um rascunho. A agência estimou anteriormente que terminaria a lista de entidades — em todos os setores — em setembro passado.

O escritório de preparação do departamento de saúde deve coordenar com a agência de segurança cibernética da Homeland Security e em todo o departamento de saúde, mas funcionários do congresso disseram que os esforços do escritório são insuficientes. Existem “silos de excelência” no HHS, “onde as equipes não estavam se falando, [where it] não estava claro a quem as pessoas deveriam recorrer”, disse Matt McMurray, chefe de gabinete do deputado Robin Kelly (D-Ill.), em uma conferência em junho.

O escritório de preparação do departamento de saúde é “o lar certo para a segurança cibernética? Não tenho certeza”, disse ele.

Historicamente, o escritório focava em desastres do mundo físico — terremotos, furacões, ataques de antraz, pandemias. Ele herdou a segurança cibernética quando a liderança do departamento da era Trump fez uma busca por mais dinheiro e autoridade, disse Chris Meekins, que trabalhou para o escritório de preparação sob Trump e agora é analista do banco de investimentos Raymond James.

Mas desde então, disse Meekins, a agência mostrou que “não está qualificada para fazê-lo. Não há financiamento, não há engajamento, não há experiência”.

O escritório de preparação tem apenas um “pequeno punhado” de funcionários focados em segurança cibernética, disse Annie Fixler, diretora do Centro de Inovação Cibernética e Tecnológica do FDD. Mazanec reconhece que o número não é alto, mas espera que o financiamento adicional permita mais contratações.

O escritório tem sido lento para reagir ao feedback externo. Quando uma câmara de compensação da indústria para ameaças cibernéticas tentou coordenar com ela para criar um processo de resposta a incidentes, “demorou provavelmente três anos para identificar alguém disposto a apoiar” o esforço, disse Jim Routh, o então presidente do conselho do grupo, Health Information Sharing and Analysis Center.

Durante o ataque NotPetya em 2017 — um hack que causou grandes danos a hospitais e à farmacêutica Merck — o Health-ISAC acabou disseminando informações para seus próprios membros, incluindo o melhor método para conter o ataque, disse Routh.

Os defensores analisam o hack do Change — supostamente causado pela falta de autenticação multifatorial, uma tecnologia muito familiar nos locais de trabalho dos Estados Unidos — e dizem que o HHS precisa usar mandatos e incentivos para fazer com que o setor de saúde adote melhores defesas. A estratégia do departamento divulgada em dezembro propôs uma lista relativamente restrita de metas para o setor de saúde, que são principalmente voluntárias neste momento. A agência está “explorando” a criação de “novos padrões executáveis”, disse Mazanec.

Grande parte da estratégia do HHS deve ser implementada nos próximos meses. O departamento já solicitou mais financiamento. O escritório de preparação, por exemplo, quer US$ 12 milhões adicionais para segurança cibernética. O escritório de direitos civis, com um orçamento fixo e equipe de fiscalização em declínio, deve divulgar uma atualização de suas regras de privacidade e segurança.

“Ainda há desafios significativos que a indústria como um todo enfrenta”, disse Routh. “Não vejo nada no horizonte que necessariamente vá mudar isso.”

Notícias de saúde da KFF de 2024. Distribuído pela Tribune Content Agency, LLC.