Atualização da Governança de Segurança Cibernética do NHS

O Serviço Nacional de Saúde (NHS) da Inglaterra, em colaboração com o Guardião Nacional de Dados (NDG), anunciou hoje um novo framework de resiliência cibernética para organizações de saúde e assistência social. Este framework visa alinhar os padrões de segurança cibernética do NHS com aqueles de outros setores.

Essa mudança, parte da estratégia de segurança cibernética de 2023 a 2030 do Departamento de Saúde e Assistência Social, visa trazer a saúde e assistência social em conformidade com os padrões de resiliência cibernética utilizados em outros setores.

A partir de 2 de setembro de 2024, o NHS Data Security and Protection Toolkit começará a transição dos 10 padrões de segurança de dados do NDG para o Cyber Assessment Framework (CAF) do National Cyber Security Centre como seu principal quadro de avaliação.

A fase inicial afetará um grupo selecionado de grandes organizações, com outras seguindo gradualmente. O DSPT alinhado ao CAF tem como objetivo focar em alcançar resultados, em vez de simplesmente passar controles de segurança, permitindo que as organizações personalizem sua abordagem de acordo com suas necessidades específicas, conforme relatado na declaração original.

Esta mudança ocorre em resposta a vários ataques cibernéticos de alto perfil que interromperam os serviços do NHS.

Um incidente notável ocorreu em junho de 2024 quando o provedor de patologia Synnovis foi atingido por um ataque cibernético. O ataque resultou no adiamento de milhares de consultas e operações de pacientes em todo o sudeste de Londres enquanto a empresa trabalhava para reconstruir seus sistemas de TI.

Em março de 2024, o NHS Dumfries and Galloway foi vítima de um ataque de ransomware. Os invasores roubaram três terabytes de dados de pacientes e os publicaram na dark web. Esse incidente levou o conselho de saúde a alertar quase 150.000 pacientes de que suas informações pessoais podem ter sido comprometidas.

Em agosto de 2024, outro incidente cibernético afetou um subcontratado de um fornecedor terceirizado para várias diretorias do NHS Scotland. O ataque resultou na comprometimento de números de celular pertencentes ao pessoal do NHS.

Esses ataques evidenciam a crescente vulnerabilidade das organizações de saúde a ameaças cibernéticas. À medida que a dependência de sistemas digitais aumenta, é imprescindível que essas organizações invistam em medidas robustas de cibersegurança para proteger os dados dos pacientes e garantir a continuidade dos serviços essenciais.