Backgroud
Na última década, a frequência e a dimensão dos ciberataques no setor dos cuidados de saúde aumentaram, desde violações de processos ou redes até à encriptação de ficheiros que restringem o acesso aos dados. Estes ataques podem ter múltiplas consequências para a segurança dos pacientes, pois podem, por exemplo, visar registos de saúde eletrónicos, acesso a informações críticas e suporte a sistemas críticos, causando assim atrasos nas atividades hospitalares. Os efeitos das violações da segurança cibernética não são apenas uma ameaça à vida dos pacientes, mas também têm consequências financeiras por causarem inatividade nos sistemas de saúde. No entanto, as informações publicamente disponíveis sobre estes incidentes que quantificam o seu impacto são escassas.

Objetivo:
Pretendemos, ao utilizar dados de domínio público de Portugal, (1) identificar violações de dados no sistema público de saúde nacional desde 2017 e (2) medir o impacto económico utilizando um cenário hipotético como estudo de caso.

Métodos:
Recuperamos dados de diversas fontes de mídia nacionais e locais sobre ciber-segurança de 2017 a 2022 e construímos um cronograma de ataques. Na ausência de informações públicas sobre ataques, as quedas de atividade relatadas foram estimadas utilizando um cenário hipotético para os recursos afetados e as percentagens e a duração da inatividade. Apenas os custos diretos foram considerados nas estimativas. Os dados para estimativas foram produzidos com base nas atividades planejadas através do programa de contrato hospitalar. Utilizamos a análise de sensibilidade para ilustrar como um ataque de ransomware de nível médio pode impactar os custos diários das instituições de saúde (inferindo uma gama potencial de valores com base em suposições). Dada a heterogeneidade dos nossos parâmetros incluídos, também fornecemos uma ferramenta para os usuários distinguirem tais impactos de diferentes ataques às instituições de acordo com diferentes programas contratuais, tamanho da população atendida e proporção de inatividade.

Resultados:
De 2017 a 2022, conseguimos identificar 6 incidentes em hospitais públicos portugueses utilizando dados de domínio público (houve 1 incidente em cada ano e 2 em 2018). Os impactos financeiros foram obtidos do ponto de vista dos custos, onde os valores estimados têm um intervalo mínimo a máximo de 115.882,96€ a 2.317.659,11€ (é aplicável uma taxa de câmbio de 1€=1,0233 dólares americanos). Custos desta amplitude e magnitude foram inferidos assumindo diferentes percentagens de recursos afetados e com diferentes números de dias úteis, considerando os custos de consulta externa, internamento e utilização de clínicas de internamento e de ambulatório e de urgências, por um período máximo de 5 dias úteis. .

Conclusões:
Para melhorar as capacidades de cibersegurança nos hospitais, é importante fornecer informações robustas para apoiar a tomada de decisões. Nosso estudo fornece informações valiosas e insights preliminares que podem ajudar as organizações de saúde a compreender melhor os custos e riscos associados às ameaças cibernéticas e a melhorar suas estratégias de segurança cibernética. Além disso, demonstra a importância da adoção de estratégias preventivas e reativas eficazes, tais como planos de contingência, bem como de um maior investimento na melhoria das capacidades de cibersegurança nesta área crítica, visando simultaneamente alcançar a resiliência cibernética.

JMIR Form Res 2023;7:e41738

doi:10.2196/41738

Categorias: Estudos

Animated Social Media Icons by Acurax Responsive Web Designing Company