Décadas de consolidação hospitalar converteram os hospitais comunitários locais em grande parte em anomalias. O prédio e o nome podem ser os mesmos, mas o hospital provavelmente agora pertence a um sistema de saúde preocupado com os custos que atende a uma geografia extensa.

Durante o auge da nova pandemia de coronavírus, as fusões e aquisições no setor de saúde caíram, mas agora parecem estar se recuperando lentamente.

Esta onda contínua de concentração do mercado tem consequências bem conhecidas : aumento de preços, diminuição da qualidade do atendimento e possíveis incompatibilidades entre as necessidades médicas da população local e os cuidados disponíveis.

Uma consequência negligenciada das fusões é o potencial para mais violações de dados de pacientes. Fusões de hospitais não unem apenas clínicas. Eles também combinam seus sistemas de TI subjacentes. Quão bem mantidos e seguros muitos desses sistemas são, em primeiro lugar, é variável. Juntá-los cria uma rede cujo elo mais fraco tem o potencial de criar um incidente de violação de dados cujos efeitos são sentidos muito além da população do hospital local. Pacientes em um estado podem ter seus dados expostos devido a um incidente de hacking que se originou em um hospital a três estados de distância.

Esse pode ser o caso de um incidente de ransomware no outono passado envolvendo a cadeia de hospitais católicos CommonSpirit, com sede em Chicago, que é o produto de uma fusão de 2019 entre a Catholic Health Initiatives e a Dignity Health. A CommonSpirit expandiu novamente em 2021 ao adquirir a Virginia Mason Franciscan Health no estado de Washington.

CommonSpirit disse às autoridades que o incidente causou uma violação de dados que afetou mais de meio milhão de pacientes de Washington, mas os efeitos do ataque de ransomware parecem ter sido sentidos em todo o megasistema de 140 hospitais operando em 21 estados.

Os autores de ações coletivas propostas movidas contra a CommonSpirit alegam que o número de indivíduos afetados pode chegar a dezenas de milhões.

Os hospitais afetados incluem o MercyOne, com sede em Des Moines, Iowa, que anteriormente era propriedade conjunta da CommonSpirit e da Trinity Health, com sede em Michigan, antes de ser adquirida pela Trinity Health no ano passado. No momento do incidente do ransomware, a MercyOne ainda usava os sistemas de TI CommonSpirit, e o acesso aos registros médicos eletrônicos do centro médico de Iowa e outras funcionalidades do aplicativo ficaram indisponíveis por várias semanas após o incidente do ransomware.

Comprador Cuidado

Incidentes como o ataque de ransomware CommonSpirit destacam a importância crítica para as entidades avaliarem e abordarem cuidadosamente os possíveis riscos de segurança de TI envolvendo uma possível fusão ou aquisição, dizem os especialistas.

“Estamos vendo que sistemas de saúde bem estabelecidos ou entidades com programas de segurança cibernética muito maduros assumem uma entidade menos segura”, diz John Riggi, consultor nacional de segurança cibernética e risco da American Hospital Association.

A associação aconselha fusões hospitalares a tratar o risco cibernético com a mesma prioridade que a análise financeira em uma fusão.

Mas determinar e identificar a variedade de sistemas e inúmeros dispositivos usados ​​por outra entidade de saúde que está sendo adquirida não é fácil.

“Quando você compra uma organização, normalmente não sabe tudo o que está comprando”, diz Kathy Hughes, CISO da Northwell Health, com sede em Nova York, que tem 21 hospitais e mais de 550 ambulatórios, muitos dos quais foram adquiridos pelo organização, que é o resultado de uma fusão de 1997 entre o North Shore Health System e o Long Island Jewish Medical Center.

O processo de fusão evita que os dois lados façam muitas perguntas sobre a postura de segurança cibernética do outro, especialmente sobre riscos envolvendo terceiros.

Hoje em dia, qualquer grande provedor de serviços de saúde depende de parceiros de negócios e outros fornecedores, e esses relacionamentos são segredos bem guardados, diz Van Steel, líder da prática de segurança de informações de saúde da empresa de consultoria LBMC Information Security.

Poucos indivíduos do lado do vendedor estão cientes de que uma transação de M&A está sendo explorada, diz ele. “Portanto, não podemos simplesmente ligar para o gerente de TI ou o diretor de segurança da informação e dizer: ‘Conte-me tudo sobre sua estrutura de segurança e sua lista de fornecedores e todas as suas conexões, métodos e coisas assim’, porque nós Não devemos nem falar com eles ainda, porque o negócio não está fechado.”

A organização de assistência médica compradora pode solicitar evidências de que o vendedor realizou uma avaliação de risco interna, conforme exigido pelas regras da HIPAA. “Muitas vezes eles não fizeram isso, mas espero que tenham feito”, diz Steel.

Cabe à entidade compradora “fazer as mesmas perguntas que faria a um fornecedor terceirizado sobre seus controles de segurança, práticas, compreensão do inventário de sistemas usados, quaisquer violações anteriores, coleta dessas informações”, diz Hughes.

Após a fusão, as organizações devem avançar lentamente na integração de sistemas, aconselha. “Você pode apenas querer abrir a capacidade da organização recém-adquirida para acessar o e-mail ou o sistema de ponto e presença”, diz ela.

“Com o tempo, à medida que você for capaz de remediar os sistemas de acordo com seus padrões ou migrá-los para suas plataformas corporativas existentes, é quando você se abrirá mais e se integrará mais.”

Parece certo que o ímpeto por trás da consolidação do mercado de saúde ainda não se esgotou. O presidente Joe Biden, em uma ordem executiva de 2021 , pediu às autoridades antitruste que reprimissem a consolidação de hospitais. Desde então, a Federal Trade Commission bloqueou quatro fusões hospitalares – e permitiu que 54 prosseguissem, revela uma investigação da ProPublica.

Uma razão para essa proporção é o foco que as diretrizes antitruste da agência colocam em fusões dentro de uma região geográfica. As fusões de hospitais localizados em regiões geográficas diferentes não recebem o mesmo tipo de escrutínio e constituem uma parcela crescente das fusões de hospitais. É por isso que a segurança dos dados de saúde muitas vezes depende das práticas dos hospitais que os pacientes nunca podem pisar… leia mais em Bank Info Security 07/02/2023