Atualizações da HIPAA Security Rule: proposta de prazo de 15 dias para correção de vulnerabilidades críticas

Prazo da HIPAA para aplicação de patches

O setor da saúde está enfrentando uma nova urgência em relação à segurança cibernética. As atualizações propostas para a HIPAA Security Rule em 2025 estabelecem um prazo definitivo para a aplicação de patches: vulnerabilidades críticas deverão ser corrigidas em até 15 dias corridos após identificada a necessidade, desde que o patch já esteja disponível. Caso contrário, a correção deverá ser aplicada em até 15 dias após a disponibilização do patch.

Isso significa que as equipes de SecOps e ITOps, responsáveis pelo gerenciamento de workstation clínicas, servidores de back-end e ambientes com múltiplos sistemas operacionais em hospitais e clínicas, talvez precisem revisar seus ciclos de gerenciamento de patches para manter a conformidade.

Mas, antes, vale relembrar como essa regulamentação evoluiu.

Histórico da HIPAA Security Rule 

A última grande revisão da HIPAA Security Rule ocorreu em 2013, com a HIPAA Omnibus Rule. Essa atualização tornou os parceiros comerciais e as entidades envolvidas diretamente responsáveis pela conformidade com a HIPAA e elevou a multa máxima de US$ 25 mil por ano para US$ 1,5 milhão, aumentando significativamente as penalidades em casos de violações decorrentes da não conformidade.

Na última década, o cenário de TI na área da saúde mudou radicalmente. Além de workstations, hoje o ambiente inclui tablets, smartphones, quiosques, dispositivos BYOD, wearables, dispositivos de realidade aumentada (AR), realidade virtual (VR) e equipamentos médicos de IoT (Internet of Things), ampliando a superfície de ataque e tornando o setor de saúde um dos principais alvos de ataques cibernéticos.

Em 2024, o setor registrou seu maior impacto já causado por ataques cibernéticos: 14 violações de dados afetaram mais de um milhão de registros cada, enquanto o maior incidente da história da saúde comprometeu os dados de mais de 190 milhões de pessoas.

Fonte: The HIPAA Journal

O Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) acompanhou de perto esse aumento dos ataques e realizou um estudo para entender por que o setor de saúde continua sendo um alvo relativamente fácil. Os resultados foram publicados no relatório Hospital Cyber Resiliency Initiative Landscape Analysis (2023), que apontou os seguintes desafios:

Ransomware: a principal ameaça 

O ransomware é a ameaça de maior impacto, pois a indisponibilidade dos serviços afeta diretamente o atendimento aos pacientes.

Avaliações de vulnerabilidade insuficientes 

  • Apenas 53% dos hospitais possuem um plano documentado de resposta a vulnerabilidades.

  • Apenas 20% realizam testes avançados de vulnerabilidades.

Riscos provenientes de terceiros 

  • 46% dos incidentes de ransomware envolvem terceiros.

  • Os CISOs classificam o risco de terceiros como a terceira maior ameaça.

Infraestrutura legada 

  • 96% dos hospitais utilizam sistemas legados com vulnerabilidades conhecidas.

Aumento dos custos do seguro cibernético 

Os prêmios dos seguros aumentaram 46% em 2021, levando alguns hospitais a optar pelo autosseguro.

Como resposta, o HHS publicou os Cybersecurity Performance Goals (CPGs), um conjunto de diretrizes voluntárias de segurança cibernética. No documento Healthcare Sector Cybersecurity Concept Paper, o órgão também antecipou que a HIPAA Security Rule passaria por novas atualizações para reforçar a conformidade.

P.S.: Se quiser conhecer em detalhes a evolução dos CPGs, confira o material disponível aqui.

A proposta: prazo de 15 dias para aplicação de patches 

"Especificamente, um período razoável e apropriado para aplicar um patch, atualização ou alteração de configuração em um sistema eletrônico de informações relevante seria de até 15 dias corridos após a identificação da necessidade de corrigir um risco crítico, quando houver um patch, atualização ou upgrade disponível; ou, caso ainda não exista um patch, atualização ou upgrade disponível, até 15 dias corridos após sua disponibilização."

Proposta de atualização da HIPAA Security Rule (HHS), Seção 164.308(a)(4)(i) — Standard: Patch Management, página 970

A proposta é clara: vulnerabilidades críticas deverão ser corrigidas em até 15 dias corridos após sua identificação ou em até 15 dias após a disponibilização do patch.

Vamos dar um passo atrás e analisar até que ponto essa proposta é realista.

A infraestrutura de dispositivos em instituições de saúde é extremamente complexa. Existem workstations clínicas, servidores críticos e dispositivos executando diversos sistemas operacionais. Na prática, não é possível interromper todos esses equipamentos simultaneamente para aplicar atualizações.

Imagine servidores críticos responsáveis por sistemas como PACS e EHR, que não podem ficar indisponíveis. Os serviços essenciais devem ser transferidos para um servidor de failover e, em seguida, interrompidos no grupo de servidores que precisa receber as atualizações.

Assim que a atualização for aplicada, esses serviços precisam retomar sua operação nos servidores primários. Além disso, atualizações críticas geralmente exigem uma reinicialização, mas esses servidores não podem ser reiniciados fora de seu cronograma rigoroso de manutenção, pois isso prejudicaria as atividades diárias de atendimento aos pacientes.

É justamente nesse cenário que manter a conformidade sem comprometer a assistência torna-se um grande desafio. Grandes organizações de saúde costumam seguir calendários rigorosos de gerenciamento de patches, adaptados aos diferentes tipos de dispositivos, como visto abaixo:

Nesse contexto, a automação dos ciclos de atualização faz toda a diferença. Imagine precisar acordar de madrugada apenas para interromper serviços manualmente e programar reinicializações. É exatamente esse tipo de atividade que uma solução como o Endpoint Central ajuda a automatizar.

"Em determinados servidores, eu precisava interromper manualmente as aplicações antes da reinicialização, o que significava acordar às 5h30 da manhã uma vez por mês. Se isso não fosse feito, esses servidores permaneceriam vulneráveis por mais tempo. Com os fluxos de gerenciamento de patches do Endpoint Central, consegui programar reinicializações e interromper aplicações utilizando as funções de pré e pós-implantação."  

— Administrador de sistemas de uma organização comunitária de saúde em Port Townsend, Washington (EUA)

Para saber mais sobre como essa organização automatizou seu cronograma de gerenciamento de patches com alto nível de personalização, consulte o estudo de caso.

Validação independente para comprovar essas alegações

A ManageEngine também contratou a Forrester, empresa independente de pesquisa, para entrevistar quatro grandes clientes corporativos de diferentes setores e avaliar o Total Economic Impact™ do uso do Endpoint Central.

Um dos principais benefícios apontados pelos clientes foi a automação do gerenciamento de patches:

  • US$ 913 mil em redução de custos

  • 95% de redução no tempo gasto com o processo

Para obter mais detalhes sobre o Impacto Econômico Total do Endpoint Central, acesse o relatório aqui.

Alcance o prazo de 15 dias com o Endpoint Central 

Na prática, alguns clientes já reduziram seus ciclos de gerenciamento de patches de meses para apenas 14 dias, antes mesmo da proposta de atualização da HIPAA Security Rule.

"Reduzimos nosso tempo de atualização de patches de 90 dias para apenas 14 dias, mantendo todos os endpoints atualizados com o Endpoint Central."

— Diretor de Segurança de TI de um grande hospital de Nova Jersey (EUA)

Como isso foi possível? A resposta é simples: automação.

Considerando a diversidade de dispositivos presentes nos ambientes hospitalares — como workstations clínicas, servidores críticos e equipamentos utilizados em diferentes turnos, executando múltiplos sistemas operacionais — cumprir o prazo de 15 dias pode ser um grande desafio.

O Endpoint Central ajuda a reduzir esse tempo por meio de recursos como:

  • Testar e validar patches por tipo ou grupo de dispositivos antes da implantação em larga escala.

  • Automatizar reinicializações de acordo com a escala de turnos, evitando interrupções nas atividades clínicas.

  • Pausar ou adiar patches e reinicializações em cenários críticos de atendimento.

  • Gerenciar patches para Windows, macOS, Linux e mais de 850 aplicações de terceiros em um único console.

  • Associar automaticamente IDs de CVE aos patches disponíveis, acelerando a remediação.

  • Atualizar servidores críticos sob demanda, mesmo sem cronogramas fixos de manutenção, utilizando o portal de autoatendimento.

Quer entender em detalhes como esses recursos podem ajudar sua organização a atender à proposta de prazo de 15 dias da HIPAA? Leia o material completo.

Artigo traduzido. Conteúdo original escrito por Raghav S

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.