Esta semana, Health-ISAC®Hacking de saúde® Nosso objetivo é mantê-lo a par do que está acontecendo na Agência de Segurança Cibernética e de Infraestrutura (CISA) após o financiamento do Congresso ter encerrado uma paralisação de 76 dias que afetou a importante agência de segurança cibernética.
Como lembrete, esta é a versão pública do blog Hacking Healthcare. Para análise e opinião aprofundadas adicionais, torne-se um membro do H-ISAC e receba a versão TLP Amber deste blog (disponível no Portal do Membro).
Versão em PDF:
Versão de texto:
Bem-vindo de volta ao Hacking Healthcare® !
Exercício de lazer das Américas 2026
Antes de abordarmos o artigo de hoje, estamos nos aproximando rapidamente do sétimo Exercício Anual de Intervenção em Crises das Américas (Americas Hobby Exercise) e incentivamos os membros da Health-ISAC a manifestarem interesse em participar. O exercício consiste em um workshop de um dia inteiro e uma simulação com membros da Health-ISAC, agências do Governo dos Estados Unidos (USG) e outros setores de infraestrutura crítica. O objetivo do exercício é aumentar a conscientização sobre os problemas enfrentados pelo setor de saúde durante e após um incidente grave, além de construir relacionamentos duradouros dentro e entre o setor de saúde e o governo, a fim de fortalecer o entendimento, a resposta e os planos e atividades de recuperação.
O Encontro de Hobbies deste ano será realizado em 24 de junho em Washington, DC. Os membros podem registrar seu interesse aqui:
https://portal.h-isac.org/s/community-event?id=a1YVn000005srUHMAY.
Para quem tiver interesse em saber mais, o relatório do ano passado pode ser encontrado aqui: https://health-isac.org/2025-americas-hobby-exercise-after-action-report/
Avaliação da CISA após uma paralisação prolongada
Em 30 de abril, após 76 dias de paralisação, o presidente Trump sancionou um projeto de lei de consenso no Congresso para financiar o Departamento de Segurança Interna (DHS). Esse financiamento permitiu que a CISA retomasse gradualmente suas operações normais. Consequentemente, este é um bom momento para avaliar o progresso da agência em relação à tão aguardada (e tecnicamente atrasada) regra final da Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA) e o que os setores de infraestrutura crítica devem considerar da iniciativa "CI Fortify", recém-lançada pela CISA.
Atualização CIRCIA
Aprovada em 2022, a lei teve como foco principal estabelecer requisitos de notificação para incidentes cibernéticos e pagamentos de resgate abrangidos por uma série de entidades. A expectativa é que esses relatórios ajudem a CISA a responder quando necessário, ao mesmo tempo que fornecem aos legisladores uma visão mais clara do cenário geral de ameaças e seus impactos sobre as entidades abrangidas. O papel da CISA na finalização da CIRCIA inclui o desenvolvimento de uma regra final que esclarece muitos dos detalhes técnicos da lei.
A linguagem utilizada na CIRCIA orientou a CISA a produzir uma norma final até outubro do ano passado. Como a CISA não cumpriu esse prazo, especulou-se que a nova data-alvo poderia ser a primavera de 2026, com base em evidências da Agenda Unificada de Ações Regulatórias e Desregulatórias da primavera de 2025, que sugeriam uma possível publicação em maio. O ceticismo em relação a essa nova data-alvo aumentou quando a CISA publicou um comunicado em fevereiro deste ano anunciando sua intenção de realizar uma série de assembleias públicas em março e abril para coletar mais opiniões das partes interessadas e "aprimorar" o "escopo e o ônus" da CIRCIA.[I] Esse esforço foi então interrompido quando a paralisação do governo suspendeu todas as operações não essenciais.
Com o fim da paralisação, as informações atualmente disponíveis no site da CISA sobre o CIRCIA podem ser consultadas na página da empresa.[Ii] Indica que ainda pretendem realizar essas assembleias públicas e apontam para a paralisação como algo que “provavelmente” resultará “em um atraso na publicação da norma final do CIRCIA”.[III]
Fortalecer!
Apesar do fim recente da paralisação, a CISA lançou uma nova iniciativa para fortalecer a resiliência das entidades de infraestrutura crítica do país. Em 5 de maio, a CISA publicou um comunicado à imprensa anunciando o programa “CI Fortify”.[IV] A CISA descreve o esforço como uma orientação “para ajudar entidades de infraestrutura crítica (IC) em todos os setores a se prepararem para operar durante uma crise ou conflito, continuando a prestação de serviços vitais mesmo quando seus sistemas estão sob ataque”, enquanto “…fortalece a resiliência e ajuda as entidades de IC e seus parceiros a manterem um nível básico de continuidade para serviços críticos durante um ataque cibernético”.[V]
A página atual da iniciativa destaca especificamente as ameaças representadas por atores estatais à infraestrutura crítica, especialmente no contexto de um “conflito geopolítico mais amplo”. A iniciativa parece se concentrar nas capacidades de “isolamento” e “recuperação” como meio de “sustentar operações essenciais durante um conflito geopolítico”.[Vi] Isolamento refere-se à capacidade de desconectar-se proativamente de terceiros conforme necessário e de manter a capacidade de fornecer serviços essenciais por um período prolongado (meses). Recuperação refere-se a garantir documentação adequada, backups e a resolução de dependências de comunicação.
Há também um “apelo à ação para não operadores” que ajuda a identificar como Fornecedores e distribuidores de sistemas de controle de automação industrial, Provedores e integradores de serviços gerenciados, Fornecedores de segurança e Voluntários pode ajudar nos esforços.
Não parecem existir objetivos específicos, cronogramas, financiamento ou novos recursos relacionados ao CI Fortify neste momento.
Ação e Análise
**Incluído na Associação Health-ISAC**
[I] https://www.federalregister.gov/documents/2026/02/13/2026-02948/cyber-incident-reporting-for-critical-infrastructure-act-circia-rulemaking-town-hall-meetings
[Ii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[III] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[IV] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[V] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Vi] https://www.cisa.gov/topics/industrial-control-systems/ci-fortify
[Vii] https://health-isac.org/health-isac-hacking-healthcare-2-19-2026/
[Viii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[Ix] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[X] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Xi] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
- Recursos e notícias relacionados
- O que o decreto executivo de Trump sobre IA significa para o setor de saúde
- Relatório sobre o panorama das ameaças aos serviços de saúde e assistência social
- Inteligência Artificial Ativa na Área da Saúde é uma Proposta Arriscada
- Live@eXchange Dia 2 – Analista de Segurança de Dispositivos Médicos da Health-ISAC
- Saúde-ISAC Hacking Healthcare 6-3-2026
- Novas vulnerabilidades visam o setor da saúde
- Boletim Mensal – Junho 2026
- O que é realmente necessário para garantir a segurança dos cuidados de saúde?
- O inventário de dispositivos e o mapeamento de informações de saúde protegidas (PHI) serão as tarefas mais árduas quando a nova HIPAA entrar em vigor.
- Verizon DBIR: O setor de saúde resiste ao aumento de ataques de engenharia social.