Quando a Professional Finance Company, empresa de faturamento médico com sede na Flórida, sofreu um ataque de ransomware em fevereiro de 2023, a violação expôs informações de saúde protegidas de mais de 1,9 milhão de pacientes em diversos provedores de serviços de saúde. O incidente evidenciou uma vulnerabilidade crítica no extenso ecossistema digital da área da saúde: parceiros terceirizados de faturamento geralmente detêm credenciais administrativas de acesso aos sistemas dos pacientes, criando responsabilidades de conformidade que as organizações de saúde têm dificuldade em monitorar ou controlar.
O problema do controle de credenciais nas cadeias de suprimentos da área da saúde.
As organizações de saúde operam em redes complexas de empresas de faturamento, processadoras de seguros, fornecedores farmacêuticos e fornecedores de tecnologia. Cada parceiro requer diferentes níveis de acesso ao sistema para executar os serviços contratados. As empresas de faturamento médico precisam de acesso aos registros dos pacientes e aos sistemas financeiros. As administradoras de benefícios farmacêuticos exigem integração com bancos de dados de prescrições. Os fornecedores de registros eletrônicos de saúde mantêm privilégios administrativos em todos os sistemas clínicos.
A questão fundamental reside na forma como esses privilégios de acesso são gerenciados. A maioria das organizações de saúde emite credenciais diretamente para funcionários parceiros, que então criam, armazenam e gerenciam senhas de acordo com seus próprios protocolos de segurança. Esse gerenciamento distribuído de credenciais cria pontos cegos no controle de acesso e potenciais violações dos requisitos de salvaguardas administrativas da HIPAA, que exigem que as entidades cobertas implementem procedimentos para conceder acesso a informações eletrônicas de saúde protegidas.
De acordo com a Norma de Segurança da HIPAA, as organizações de saúde permanecem responsáveis por violações envolvendo seus dados, mesmo quando o incidente ocorre em um parceiro comercial. A regulamentação exige que as entidades cobertas garantam que os parceiros comerciais implementem medidas de segurança adequadas, mas o compartilhamento tradicional de credenciais torna essa supervisão praticamente impossível.
Escala de acesso de terceiros na área da saúde
Segundo o relatório sobre o panorama de ameaças à segurança na cadeia de suprimentos da área da saúde, os incidentes de segurança na cadeia de suprimentos do setor aumentaram 42% entre 2022 e 2023. O banco de dados de violações de dados do Departamento de Saúde e Serviços Humanos dos EUA mostra que incidentes envolvendo terceiros representaram 64% das principais violações de dados na área da saúde em 2023, afetando mais de 75 milhões de registros de pacientes.
Uma pesquisa realizada pela Healthcare Information and Management Systems Society constatou que, em média, uma organização de saúde concede acesso ao sistema a 47 fornecedores externos. Grandes sistemas hospitalares trabalham com mais de 200 fornecedores de tecnologia terceirizados. Cada relacionamento com um fornecedor normalmente envolve múltiplas contas de usuário em diferentes sistemas, criando milhares de pontos de contato de credenciais que exigem gerenciamento contínuo.
As implicações financeiras são substanciais. O custo médio de uma violação de dados na área da saúde atingiu US$ 10,93 milhões em 2023, de acordo com o relatório "Cost of a Data Breach" da IBM. Quando terceiros estão envolvidos, os custos de resolução aumentam em média US$ 370.000 devido à complexidade da resposta a incidentes em várias organizações.
A fiscalização regulatória está se intensificando. O Escritório de Direitos Civis aplicou multas no valor de US$ 42,4 milhões por violações da HIPAA em 2023, sendo que controles de acesso inadequados foram citados como fator contribuinte em 73% dos casos envolvendo parceiros comerciais.
As organizações de saúde geralmente implementam sistemas de gerenciamento de identidade e acesso (IAM), plataformas de gerenciamento de acesso privilegiado (PAM), soluções de autenticação única (SSO) e autenticação multifator (MFA) para proteger o acesso de parceiros. Essas ferramentas abordam a autenticação e a autorização, mas não resolvem o problema fundamental do controle de credenciais.
Os sistemas de gerenciamento de identidade e acesso são excelentes no provisionamento e desprovisionamento de contas de usuário, mas dependem dos usuários para criar e gerenciar suas próprias senhas. Quando um funcionário de uma empresa de faturamento deixa a organização, o provedor de serviços de saúde pode revogar o acesso ao sistema, mas não pode garantir que as credenciais armazenadas não sejam retidas ou utilizadas indevidamente.
As plataformas de gerenciamento de acesso privilegiado oferecem monitoramento de sessão e armazenamento seguro de senhas para administradores internos, mas apresentam dificuldades com os padrões de acesso de parceiros externos. Empresas de faturamento e outros fornecedores exigem acesso persistente em vários sistemas por longos períodos, o que torna os controles baseados em sessão impraticáveis.
As soluções de autenticação única (SSO) reduzem a proliferação de senhas, mas concentram o risco nos protocolos de federação e na vulnerabilidade do provedor de identidade. A autenticação multifator (MFA) adiciona camadas de segurança, mas não impede o roubo de credenciais por meio de sofisticadas campanhas de phishing direcionadas a funcionários de empresas parceiras.
As arquiteturas de confiança zero tentam solucionar essas limitações por meio de verificação contínua e modelos de acesso com privilégios mínimos. No entanto, elas ainda dependem de estruturas de credenciais tradicionais, nas quais os usuários possuem fatores de autenticação que podem ser comprometidos ou usados indevidamente.
Uma abordagem estrutural para o controle de credenciais
A solução exige repensar a relação entre identidade e controle de acesso. Em vez de permitir que organizações parceiras criem e gerenciem credenciais para acesso a sistemas de saúde, a organização de saúde pode manter o controle total sobre todos os fatores de autenticação, ao mesmo tempo que possibilita acesso contínuo para usuários autorizados.
Essa abordagem envolve a organização de saúde gerando e distribuindo credenciais criptografadas para funcionários parceiros, sem que esses usuários jamais vejam ou armazenem as informações de autenticação reais. Quando um funcionário da empresa de faturamento precisa acessar os sistemas dos pacientes, seu software local se comunica com o sistema de controle de credenciais da organização de saúde para obter tokens de acesso temporários.
A plataforma patenteada de controle de credenciais da MyCena implementa esse modelo separando a identidade do usuário das credenciais de acesso. As organizações de saúde geram todas as senhas e fatores de autenticação, criptografam-nos com chaves que nunca saem do seu controle e distribuem pacotes criptografados aos funcionários parceiros. Os usuários podem acessar os sistemas necessários sem possuir credenciais que possam ser obtidas por meio de phishing, roubadas ou retidas após o término do vínculo empregatício.
Essa arquitetura torna o acesso inviolável, pois os usuários nunca visualizam as credenciais que os invasores poderiam roubar por meio de engenharia social ou sites maliciosos. Ela também proporciona às organizações de saúde total visibilidade e controle sobre o acesso de parceiros, atendendo aos requisitos de conformidade com a HIPAA para a supervisão de parceiros comerciais.
Implicações para a estratégia de conformidade na área da saúde
As organizações de saúde devem reconhecer que as abordagens tradicionais para a gestão de acesso de parceiros criam responsabilidades inerentes em relação à HIPAA. A emissão de credenciais diretamente para parceiros comerciais remove o controle organizacional sobre um componente crítico de segurança e torna a prevenção de violações dependente das práticas de segurança de terceiros.
O ambiente regulatório exige uma abordagem mais proativa. Os líderes da área da saúde devem avaliar seus atuais contratos com parceiros comerciais para identificar lacunas no controle de credenciais e verificar se as salvaguardas técnicas existentes oferecem supervisão adequada do acesso dos parceiros.
Implementar um sistema de gerenciamento de credenciais controlado pela organização representa tanto uma melhoria na segurança quanto um investimento em conformidade. Ao manter o controle sobre todas as credenciais de acesso e, ao mesmo tempo, habilitar as funcionalidades necessárias para parceiros de negócios, as organizações de saúde podem reduzir o risco de violações de dados e demonstrar maior adesão aos requisitos de salvaguardas administrativas da HIPAA.
O custo da prevenção continua sendo substancialmente menor do que o custo da resposta a violações de segurança, especialmente quando os relacionamentos com terceiros complicam o gerenciamento de incidentes e as obrigações de relatórios regulatórios.