Quando hackers invadiram a CommonSpirit Health em outubro de 2022, comprometendo 623.774 registros de pacientes em 142 hospitais, o vetor de ataque era preocupantemente familiar: credenciais de funcionários comprometidas. Os cibercriminosos não exploraram uma vulnerabilidade zero-day sofisticada nem invadiram sistemas isolados. Eles simplesmente usaram dados legítimos de login de profissionais clínicos para acessar informações protegidas de saúde, destacando uma falha fundamental na forma como as organizações de saúde abordam a segurança das credenciais.
A violação evidencia um problema estrutural crítico que permeia a cibersegurança na área da saúde: profissionais clínicos criando, controlando e, em última instância, comprometendo suas próprias credenciais digitais cria uma falha inerente de conformidade com a HIPAA que nenhuma quantidade adicional de camadas de segurança consegue resolver completamente.
O problema do controle de credenciais na área da saúde
As organizações de saúde enfrentam um desafio único na gestão de credenciais. Diferentemente de outros setores, os ambientes clínicos exigem acesso rápido aos dados dos pacientes em vários sistemas, muitas vezes em situações de vida ou morte. Essa urgência tradicionalmente justificou permitir que profissionais de saúde criassem e gerenciassem suas próprias senhas, PINs e métodos de autenticação.
No entanto, essa abordagem cria o que especialistas em segurança chamam de "proliferação de credenciais" (credential sprawl) — um fenômeno em que usuários individuais acumulam dezenas de dados de login criados por eles mesmos em prontuários eletrônicos (EHR), bancos de dados farmacêuticos, interfaces de dispositivos médicos e sistemas administrativos. Cada credencial representa um possível ponto de entrada para agentes mal-intencionados que buscam acesso a informações protegidas de saúde (PHI).
O problema vai além da simples higiene de senhas. Quando profissionais clínicos controlam suas próprias credenciais, eles inevitavelmente reutilizam senhas em diferentes sistemas, armazenam informações de acesso em locais inseguros ou compartilham credenciais com colegas durante mudanças de turno. Esse comportamento, embora compreensível devido às pressões operacionais, cria violações sistemáticas da HIPAA que as organizações têm dificuldade para detectar ou impedir.
A escala das violações de cibersegurança na área da saúde
As violações de dados na área da saúde atingiram proporções epidêmicas. De acordo com o Escritório de Direitos Civis (Office for Civil Rights) do Departamento de Saúde e Serviços Humanos dos EUA, organizações de saúde relataram 707 violações de dados que afetaram 500 ou mais indivíduos em 2023, expondo mais de 133 milhões de registros de pacientes — um aumento de 141% em relação a 2022.
O impacto financeiro também é severo. O Relatório de Custo de uma Violação de Dados 2023 da IBM constatou que as violações na área da saúde custaram em média US$ 10,93 milhões por incidente, quase três vezes a média geral entre setores, de US$ 4,45 milhões. Mais importante ainda, pesquisas do Instituto Ponemon indicam que 83% das violações na área da saúde envolvem credenciais comprometidas como vetor principal de ataque ou como fator contribuinte significativo.
Essas estatísticas revelam um padrão preocupante: apesar dos investimentos significativos em infraestrutura de cibersegurança, as organizações de saúde continuam vulneráveis a ataques que exploram a fraqueza fundamental das credenciais controladas pelos usuários. O problema não é a sofisticação tecnológica — é o controle estrutural.
Por que as ferramentas tradicionais de segurança não resolvem o problema
As organizações de saúde normalmente respondem às violações relacionadas a credenciais adicionando mais tecnologias de segurança. Sistemas de Gestão de Identidade e Acesso (IAM) prometem melhor provisionamento de usuários. Ferramentas de Gestão de Acesso Privilegiado (PAM) monitoram contas de alto risco. O Login Único (SSO) reduz a fadiga causada por múltiplas senhas. A Autenticação Multifator (MFA) adiciona etapas de verificação. Arquiteturas Zero Trust assumem que uma violação pode ocorrer e verificam continuamente os acessos.
No entanto, todas essas soluções compartilham uma falha crítica: elas ainda permitem que os usuários criem, conheçam e controlem suas próprias credenciais.
Os sistemas IAM podem impor regras de complexidade de senha, mas os usuários continuam escolhendo e memorizando senhas. As ferramentas PAM podem monitorar sessões privilegiadas, mas os usuários continuam inserindo seus próprios fatores de autenticação. O SSO pode reduzir o número de senhas, mas os usuários ainda controlam a credencial principal. A MFA pode adicionar camadas de segurança, mas os usuários ainda possuem o fator primário de autenticação.
Essa premissa fundamental de design — de que os usuários devem controlar suas próprias credenciais — cria uma vulnerabilidade de segurança impossível de eliminar. Ataques de engenharia social, campanhas de phishing e ataques de preenchimento de credenciais exploram exatamente esse controle do usuário para obter acesso não autorizado aos sistemas de saúde.
A solução estrutural: controle organizacional das credenciais
Resolver a crise de segurança das credenciais na área da saúde exige abandonar a suposição de que os usuários devem controlar seus próprios fatores de autenticação. Em vez disso, as organizações devem gerar, distribuir e revogar todas as credenciais sem que os usuários jamais as vejam ou controlem.
Essa abordagem, chamada de "custódia de credenciais" (credential custody), garante que as organizações de saúde mantenham controle total sobre o acesso às informações protegidas de saúde (PHI). Quando a organização gera credenciais criptografadas e as distribui por canais seguros, os profissionais clínicos podem acessar os sistemas necessários sem nunca possuir os segredos de autenticação subjacentes.
Quando funcionários deixam a organização, mudam de função ou surgem preocupações de segurança, a organização pode revogar o acesso instantaneamente sem depender da cooperação do usuário ou de alterações manuais de senha.
A tecnologia patenteada de controle de credenciais da MyCena demonstra como essa abordagem estrutural funciona na prática. Em vez de solicitar que profissionais clínicos criem senhas, o sistema gera credenciais de acesso criptografadas que os usuários nunca visualizam. A autenticação ocorre automaticamente por meio de canais organizacionais seguros, eliminando a possibilidade de comprometimento das credenciais por ações ou falhas humanas.
Isso não é apenas uma camada adicional de segurança — é uma reestruturação fundamental da relação entre identidade e acesso. Os profissionais clínicos mantêm suas identidades e permissões baseadas em funções, mas a organização mantém controle exclusivo sobre os mecanismos que concedem acesso aos sistemas.
O imperativo de conformidade com a HIPAA
Para organizações de saúde, implementar a custódia de credenciais não é apenas uma boa prática de segurança — é uma necessidade de conformidade com a HIPAA.
As Salvaguardas Administrativas da regulamentação exigem que as entidades cobertas "atribuam um nome e/ou número exclusivo para identificar e rastrear a identidade do usuário". Quando os usuários controlam suas próprias credenciais, as organizações não conseguem realmente verificar a identidade dos usuários ou rastrear acessos com o nível de certeza exigido pela HIPAA.
Além disso, o padrão de Gestão de Acesso da HIPAA exige que as organizações implementem "procedimentos para conceder acesso a informações eletrônicas protegidas de saúde". Credenciais controladas pelos usuários tornam impossível implementar procedimentos genuínos de controle de acesso, pois os usuários podem modificar, compartilhar ou comprometer seus fatores de autenticação sem o conhecimento da organização.
Os CISOs e responsáveis por conformidade em organizações de saúde devem avaliar suas atuais práticas de gestão de credenciais em relação aos requisitos da HIPAA. Organizações que permitem que profissionais clínicos criem e controlem suas próprias credenciais podem enfrentar riscos regulatórios que vão além da cibersegurança, chegando a falhas fundamentais de conformidade.
O caminho a seguir exige reconhecer que identidade e acesso são conceitos separados. As identidades dos profissionais clínicos — seus papéis, permissões e responsabilidades — podem permanecer inalteradas enquanto as organizações assumem controle total sobre os mecanismos de acesso.
Essa mudança estrutural transforma a segurança das credenciais de uma responsabilidade do usuário em uma capacidade organizacional, finalmente alinhando as práticas de cibersegurança com os requisitos de conformidade da HIPAA.