Quando as defesas falharem

A segurança da informação nunca esteve tão em pauta na comunidade de TI em Saúde no mundo inteiro como em 2017. Iniciativas para abordar o tema tornaram-se mais evidentes após os incidentes com ransomwares no primeiro semestre do ano onde instituições de saúde em todo o mundo tiveram parte de suas operações interrompidas devido aos ataques. Algumas dessas entidades já calcularam o prejuízo que tiveram, como foi o caso do Erie Country Medical Center (ECMC), na cidade de Bufalo, nos EUA.

De acordo com informações divulgadas pelo jornal americano The Bufalo News, o ECMC estima que as despesas relacionadas ao incidente que afetou mais de 6 mil computadores, e boa parte de sua infraestrutura de TI, em junho, gire em torno de US$ 10 milhões. Segundo o centro médico, metade desse montante foi destinado para manutenção de hardwares e softwares.

Já a outra metade do valor dispensado pelo hospital representa uma combinação de despesas como, pagamento de horas extras das equipes de manutenção de sistemas e especialistas em recuperação de dados e receitas equivalentes às perdas de negócios durante o tempo de inatividade do sistema.

Outro impacto considerável na operação do ECMC, e que vai além das perdas financeiras, foi a volta da utilização de formulários em papel nas áreas administrativa e assistencial. A entidade ainda estima custos adicionais que podem variar entre US$250 mil até US$400 mil para adoção de tecnologias relacionadas a cibersegurança. “O que nos aconteceu foi um alerta para toda a comunidade. Qualquer instituição que queira melhorar a segurança cibernética terá de fazer investimentos assim”, comentou o diretor-presidente do centro médico Thomas Quatroche Jr.

Um estudo conjunto, divulgado em julho, pela empresa de seguros Lloyd’s e Cyence, companhia de modelagem analítica de riscos cibernéticos, mostrou que um ciberataque que interrompe um provedor de serviços de nuvem pode causar um prejuízo de até US$ 53 bilhões. Outras informações do relatório também revelam que, apesar da demanda por seguros contra riscos cibernéticos seguir em crescimento em todo o mundo, grande parte dessas perdas não estão cobertas, deixando um déficit de bilhões de dólares em seguros e, automaticamente, gerando perdas para o mercado.

A Kaspersky, multinacional russa desenvolvedora de sistemas de segurança, desenhou um mapa global de ameaças cibernéticas onde o Brasil ocupa a 6ª posição entre os países preferidos para a atuação do cibercriminosos.

De acordo com o gerente de linhas financeiras da AIG, multinacional do segmento de seguros, Flávio Sá, a preocupação com a segurança cibernética vem aumentando consideravelmente no mundo, e o tema já considerado entre as principais pautas durante as reuniões de board das organizações. O mercado brasileiro para seguros voltados à área digital, como a de dados, por exemplo, possui um grande potencial, primeiro pela grande quantidade de empresas que vem migrando para a área digital, levando as organizações a uma maior exposição para ataques.

O executivo explica que, o seguro, por si só, não irá resolver o problema de segurança das instituições, mas funcionará como suporte caso os sistemas de defesa das empresas falhem, como no caso do hospital em Bufalo, nos EUA. “É necessário que a organização possua governança em TI, políticas de proteção de dados, sistemas de proteção como firewall, criptografia, antivírus e saber identificar quais são as informações fundamentais que precisam de proteção. Talvez esse seja um dos maiores desafios, fazer com que o profissional responsável pela TI entenda que um seguro contra ciberataques não será contratado para substituir uma determinada política ou sistema de segurança.”

No caso do serviço prestado pela seguradora, a cobertura pode contemplar os riscos relacionados ao cliente, como pagamento de resgate em casos de sequestro de dados, cobertura de faturamento em casos de interrupção das operações, despesas com equipes técnicas para recuperação dos sistemas entre outros.

Além disso, a apólice também cobre gastos com notificações em casos de vazamento de dados, investigações, gerenciamento de crise, investigação administrativa, em casos de órgãos reguladores como conselhos de medicina ou a ANS, custos judiciais e até indenizações.

O PI e cyber underwriter da AIG, Tiago Lino, explica que a multinacional possui alguns serviços atrelados às apólices como o monitoramento de segurança de seus clientes.  “Temos uma parceria com a IBM que faz monitoramento de segurança. Enviamos para eles 49 endereços IP para os quais são realizados o monitoramento para identificar se existem ataques ou atividades não convencionais relacionadas aos respectivos IPs.”

Para definir o valor da apólice são levadas em conta avaliação de risco, tipo de dado, vulnerabilidade, porte, tipo de instituição, o quanto ela é visada, se a companhia é high profile ou low profile, relevância, destaque nas mídias etc.

Sá avalia que o mercado brasileiro para seguros voltados à área digital possui grande potencial, dada a grande quantidade de empresas que vem migrando para suas plataformas e digitalizando processos, levando essas organizações a uma maior exposição a ataques. “Cada vez mais testemunhamos decisões judiciais a favor do sigilo, o marco civil da internet foi um grande passo para a legislação brasileira, mas ainda faltam questões a serem abordadas para termos algo parecido com outros países que já contemplam a proteção de dados em suas legislações”, conclui o executivo.