Análises de risco da HIPAA para a saúde digital: Navegando pela IA, fusões e aquisições e diligência do fornecedor

As Análises de Risco de Segurança (SRAs) da HIPAA devem ser a base da conformidade de cibersegurança de todas as empresas de saúde digital. Muito mais do que um exercício de preenchimento de formulários, uma SRA abrangente ajuda a identificar e mitigar riscos e vulnerabilidades às informações de saúde protegidas eletrónicas (ePHI), reduzir a probabilidade de violações dispendiosas e demonstrar boa-fé diante do escrutínio regulatório. No panorama atual da saúde digital em rápida evolução, onde ferramentas alimentadas por IA, fusões e aquisições e um ecossistema de fornecedores em expansão amplificam a complexidade da cibersegurança, a SRA é a sua primeira linha de defesa. As recentes ações de fiscalização do Gabinete de Direitos Civis (OCR) deixam claro que SRAs inadequadas acarretam sérias consequências financeiras e de reputação.

Por que as SRAs são importantes para as empresas de saúde digital

De acordo com aRegra de Segurança da HIPAA, as entidades reguladas pela HIPAA devem «realizar uma avaliação precisa e completa dos riscos e vulnerabilidades potenciais à confidencialidade, integridade e disponibilidade» das ePHI. Essa salvaguarda administrativa informa todos os controlos de segurança subsequentes — administrativos, físicos e técnicos — e serve como prova de conformidade durante uma auditoria ou investigação. A realização de uma SRA completa resultará nas entidades reguladas pela HIPAA:

• Mapeamento dos fluxos de PHI: as ePHI serão rastreadas em várias plataformas, como telessaúde ou portal do paciente, motor de análise de IA, armazenamento em nuvem e integrações de terceiros.
• Quantificação das ameaças: questões como ransomware, erros internos e configurações incorretas serão classificadas por probabilidade e impacto.
• Priorizar a correção: os recursos podem ser alocados onde são mais necessários, seja em criptografia, controlos de acesso, correção de vulnerabilidades ou outros.

Destaques da aplicação da lei pela OCR

Ignorar ou economizar na sua SRA é, aos olhos da OCR, equivalente a cegueira deliberada. Desde o lançamento da sua «Iniciativa de Análise de Risco» no final de 2024, a OCR tornou as SRAs um ponto central da fiscalização, resolvendo até agora nove casos por inadequações nas SRAs:

A não realização de uma análise de risco da Regra de Segurança HIPAA deixa as entidades de saúde vulneráveis a ataques cibernéticos, como ransomware. Saber onde as suas ePHI estão armazenadas e quais as medidas de segurança implementadas para proteger essas informações é essencial para o cumprimento da HIPAA. A OCR criou a Iniciativa de Análise de Risco para aumentar o número de investigações concluídas e destacar a necessidade de mais atenção e melhor conformidade com este requisito da Regra de Segurança. (Diretor da OCR, 31 de outubro de 2024)

A Iniciativa de Análise de Risco da OCR resultou em acordos significativos, variando entre US$ 10 mil e US$ 350 mil:

• Radiologia do Nordeste (NERAD): Uma violação no servidor do Sistema de Arquivo e Comunicação de Imagens (PACS) para armazenamento, recuperação, gestão e acesso a imagens radiológicas levou à investigação que resultou num acordo de US$ 350.000 e um período de dois anos de monitorização pela OCR. A investigação da OCR concluiu que «a NERAD não realizou uma análise de risco precisa e completa para determinar os riscos potenciais e vulnerabilidades das ePHI nos sistemas de informação da NERAD».
• Health Fitness Corporation: A OCR iniciou uma investigação após receber quatro relatórios de violação ao longo de um período de três meses relativos a incidentes em que a Health Fitness Corporation atuou como parceira comercial de uma entidade abrangida. O problema foi um software mal configurado voltado para a web que expôs ePHI durante vários anos. A OCR observou que a Health Fitness Corporation não realizou uma análise de risco completa até vários anos após a descoberta da vulnerabilidade. O resultado foi um acordo de US$ 227.816 e um período de dois anos de monitoramento pela OCR.

Essas ações ressaltam que SRAs desatualizados ou incompletos podem resultar em penalidades substanciais, bem como em um monitoramento indesejado da OCR das práticas de privacidade e segurança de uma empresa por um período de vários anos.

A integração da IA aumenta os riscos

A IA está a transformar a saúde digital, simplificando diagnósticos, automatizando o contacto com os pacientes e personalizando os cuidados. Os sistemas de IA também apresentam riscos únicos, incluindo ataques que podem manipular entradas ou vazar dados de treino contendo informações de saúde protegidas (PHI). Considere que a sua plataforma de IA pode receber dados de registos de saúde eletrónicos, dispositivos vestíveis e registos clínicos, multiplicando os vetores de violação.

Uma empresa de saúde digital que utiliza sistemas de IA deve incluir essas plataformas e integrações na SRA. As empresas devem mapear onde os modelos são treinados, como os dados são armazenados ou transmitidos e se as APIs de IA de terceiros atendem aos padrões de segurança da empresa. 

Due diligence em fusões e aquisições: evite herdar passivos

As fusões e aquisições na área da saúde digital estão a aumentar. No entanto, adquirir uma empresa-alvo que não levou a sério a exigência de realizar uma SRA regular e mitigar os riscos e vulnerabilidades identificados pode sobrecarregá-lo com vulnerabilidades herdadas e desencadear um escrutínio regulatório. Durante a due diligence:

• Analise a SRA do alvo: certifique-se de que o alvo realizou regularmente uma SRA e que ela abrangeu todas as plataformas, sistemas, integrações e relações com fornecedores de ePHI.
• Avalie o histórico de correções: verifique se os riscos e vulnerabilidades identificados foram resolvidos prontamente.
• Descubra projetos ocultos de IA: ferramentas piloto de IA podem processar PHI sem as devidas salvaguardas se o alvo não as tiver incluído no SRA.

Após o encerramento, integre a infraestrutura adquirida no ciclo SRA de toda a empresa para ajudar a preencher quaisquer lacunas na organização.

Diligência do fornecedor: ampliando a sua visão do risco

A sua plataforma de saúde digital depende de um amplo ecossistema de fornecedores — mas os fornecedores podem ser o seu elo mais fraco. Os acordos de parceria comercial são necessários, mas não são suficientes. No seu SRA:

• Fornecedores de inventário por acesso a PHI: desde a gestão do ciclo de receitas até o suporte à decisão por IA, classifique os fornecedores pela sensibilidade e quantidade de PHI que processam.
• Avalie as posturas de segurança: analise a SRA de cada fornecedor, os resultados dos testes de penetração e as certificações (por exemplo, HITRUST, ISO 27001, etc.).
• Monitorize continuamente: atualize o seu modelo de ameaças sempre que o âmbito dos serviços de um fornecedor se expandir, como por exemplo, ao adicionar novos módulos de análise de IA.

Passos práticos para fortalecer a sua SRA

1. Revise e siga as orientações da OCR: a OCR tem orientações sobre a realização de uma SRA, incluindoNoções básicas de análise de risco e gestão de risco eOrientações sobre análise de risco. 
2. Adote uma estrutura comprovada: useNIST SP 800-66 Rev. 2,NIST SP 800-30 ou ISO 27005 para estruturar a sua avaliação.
3. Crie cenários de IA: realize exercícios de equipe vermelha contra os seus modelos e valide os fluxos de trabalho de tratamento de dados.
4. Integrar informações sobre fusões e aquisições e fornecedores: Reunir equipas multifuncionais (jurídica, TI, segurança, conformidade, etc.) durante transações e análises de fornecedores.
5. Correção de documentos: mantenha registos claros das SRAs realizadas e atualizadas, planos de mitigação de riscos e datas de implementação.
6. Monitorização automatizada: Implemente ferramentas de gestão de informações e eventos de segurança (SIEM), scanners de vulnerabilidades e deteção de anomalias baseada em IA.

Conclusão

Para as empresas de saúde digital, uma análise robusta de riscos de segurança HIPAA é mais do que um requisito regulatório — é uma gestão estratégica de riscos. Ao mapear proativamente os fluxos de ePHI, revelar vulnerabilidades impulsionadas por IA, examinar alvos de fusões e aquisições e avaliar rigorosamente os fornecedores, estará em melhor posição para se antecipar às ameaças e minimizar a exposição à aplicação da OCR. Invista agora na sua SRA, porque na área da saúde digital, a prevenção é muito menos dispendiosa do que a correção.

Para obter mais informações sobre IA, telemedicina, telessaúde, saúde digital e outras inovações na área da saúde, incluindo a equipa, publicações e experiência representativa, entre em contacto com qualquer um dos autores ou qualquer um dos sócios ou consultores seniores doGrupo de Cibersegurança e Privacidade de Dadosoudo Grupo de Prática de Saúde da Foley.