Manter informações sigilosas protegidas e em segurança é um desafio para empresas de todos os segmentos de negócios. E no setor da saúde não é diferente. Uma pesquisa realizada pela KPMG aponta que 81% das organizações desta área já foram comprometidas, ao menos uma vez, por malware, botnet ou outro tipo de ciberataque em um período de dois anos. Já um estudo sobre ransomware, organizado pela BitSight Insight em 2016, indica que as organizações de saúde aparecem na terceira posição como alvo preferido de ataques e fraudes.
Alguns fatores contribuem para que este setor seja um alvo cada vez mais frequente dos cibercriminosos. Isso ocorre porque, para os hackers, os dados de pacientes são extremamente críticos e valorizados. Por exemplo, no mercado negro, cada cadastro de paciente é vendido por um valor acima de R$ 150,00 enquanto o valor pago pelos dados de um cartão de crédito pessoal é de R$ 3,00. Por outro lado, os hospitais também estão mais propensos a aceitar chantagens. Em seus sistemas constam informações centralizadas sobre a saúde dos pacientes ou, até mesmo, acesso aos equipamentos que controlam um procedimento. O risco é significativo para as instituições e, consequentemente, aos seus pacientes. Muito mais que uma questão de privacidade, é uma questão de disponibilidade e integridade dos dados. Ficar sem acessos aos dados corretos de tratamento de um paciente ou perder o controle sobre um equipamento, em alguns casos, pode custar até vidas.
O fato é que hospitais e instituições de saúde têm se mostrado vulneráveis à ataques internos e externos. Metade das instituições de saúde no mundo registraram incidentes relacionados à perda ou exposição de informações de pacientes no período de 12 meses. Nos Estados Unidos, ocorreram 253 violações de informações em hospitais, clínicas e prestadores de serviços de saúde em 2015. Os prejuízos por ano nesse país chegam a US$ 5,6 bilhões. Já no Brasil, algumas instituições renomadas sofreram com o ataque de uma variante do vírus Petya, logo após o WannaCry, que afetou computadores e sistemas, ocasionando a suspensão de centenas de exames, atendimentos e consultas.
Além das invasões aos sistemas com bloqueio dos dados e solicitações de resgates (ransomware), há outro golpe que vem chamando a atenção. Hackers conseguem acesso aos prontuários e familiares de pacientes internados sofrem golpes por telefone com a solicitação de pagamentos dos procedimentos hospitalares. Ou seja, por falhas nos sistemas de segurança da informação ou na conduta dos profissionais, os criminosos se beneficiam. Recentemente, órgãos de defesa do consumidor apontaram que as instituições hospitalares devem ser responsabilizadas e arcar com os danos e prejuízos gerados aos pacientes, independentemente dos avisos utilizados pelos hospitais para alertarem aos pacientes sobre os golpes.
O fator humano também contribui para este cenário negativo. Segundo pesquisa do Instituto Ponemon, aproximadamente 40% dos profissionais que deveriam proteger os dados contra ciberataques, em empresas do setor de saúde, não sabem como fazê-lo. Para uma reversão deste cenário, as organizações que lidam com dados extremamente críticos devem priorizar a adoção de medidas preventivas.
Para isso, é fundamental seguir alguns passos, tais como:
- Infraestrutura tecnológica moderna que supre as necessidades da instituição
- Avaliar as vulnerabilidades dos sistemas
- Implementar controle de acesso às informações dos pacientes
- Adotar política de uso de dispositivos móveis
- Treinar os colaboradores quanto à cibersegurança
Por fim, estes pontos devem ser devidamente executados, e os profissionais responsáveis pela segurança da informação que atuam nessas instituições precisam compreender a dimensão dos riscos envolvidos. Além do impacto direto no negócio, ciberataques podem causar prejuízos financeiros e afetar a reputação das instituições. Para mitigar os riscos, prevenção é o melhor remédio sempre. É para pensar.
Rogério Reis é Diretor de Operações da Arcon, empresa de cibersegurança com foco em serviços gerenciados de segurança (MSS – Managed Security Services).