Notícias e Eventos

As 10 maiores violações de dados de saúde nos EUA mostram quanto o setor médico está vulnerável

O cenário de ameaças continuou a evoluir ao longo do ano, com hackers aumentando ataques sofisticados e direcionados. O ransomware continuou a atormentar o setor de saúde, enquanto ataques de phishing e erros internos levaram a algumas das maiores violações de 2018.

A boa notícia é que a conscientização continua aumentando no setor de saúde. No entanto, os recursos e as lacunas de pessoal continuam sendo o maior desafio. Além disso os hackers continuarão a atacar o setor com ataques direcionados nos próximos anos.

As 10 maiores violações de dados de saúde nos EUA

A ideia do artigo é apresentar uma lista das maiores violações de dados que ocorreram nos EUA, mostrando assim que a ameaça de ataques tem pleno potencial para se estender ao setor de saúde aqui no Brasil.

1. HealthEquity: 190.000 indivíduos atingidos

Os dados de cerca de 190.000 clientes do HealthEquity, empresa americana de assistência médica, foram violados por cerca de um mês, após um ataque em duas contas de email de funcionários.

As autoridades descobriram a violação em 5 de outubro de 2018, quando um hacker acessou as contas. A primeira conta foi violada em 5 de outubro, mas outra foi acessada em várias ocasiões entre 4 de setembro e 3 de outubro do mesmo ano.

Esta foi a segunda violação da HealthEquity este ano. Em junho, um hacker violou outra conta de email de funcionário, comprometendo assim dados de 16.000 clientes.

2. Medevolve: 205.000 pacientes

A Medevolve, fornecedora de soluções de gerenciamento de práticas médicas, deixou seu servidor FTP aberto ao público sem a necessidade de um login em maio, e dessa forma foram expostos dados de 205.000 pacientes de dois grandes fornecedores — o dermatologista Beverly Held, MD, e o Premier Urgent Care, da Pensilvânia.

Descoberto pela primeira vez por um pesquisador de segurança, o servidor FTP foi configurado para permitir logins anônimos, não exigia credenciais de logon e exibiu um banner que poderia direcionar os usuários a não acessar os arquivos dos pacientes.

3. Med Associates: 270.000 pacientes

A Med Associates, fornecedora de declarações de cobrança de assistência médica com sede em Albany, descobriu que um hacker acessou uma estação de trabalho em 22 de março, quando o computador exibiu atividade incomum. Uma investigação determinou que era um truque e que o cibercriminoso pode ter acessado 270.000 registros de pacientes.

Embora a estação de trabalho não contenha dados financeiros, os números do Seguro Social foram incluídos nos dados violados.

4. Centro de Ciências da Saúde da Universidade Estadual de Oklahoma: 279.865 pacientes 

O Centro de Ciências da Saúde da Universidade Estadual de Oklahoma começou a notificar 279.865 pacientes em janeiro de que seus dados podem ter sido violados, depois que um hacker obteve acesso à rede do provedor.

O cibercriminoso acessou os registros dos pacientes que continham os dados de cobrança do Medicaid, programa federal e estadual que ajuda com custos médicos para algumas pessoas com renda e recursos limitados.

As pastas comprometidas continham nomes de pacientes, números do Medicaid, detalhes do fornecedor, datas do serviço e informações sobre o tratamento.

5. Sistema de saúde da Augusta University: 417.000 pacientes

O fornecedor do sistema de saúde da Augusta University começou a notificar os pacientes em agosto sobre dois ataques cibernéticos ocorridos há quase um ano.

O sistema de saúde foi vítima de dois ataques de phishing em setembro de 2017, mas outros ataques cibernéticos violaram com êxito a AU Health em julho de 2018, setembro de 2016 e abril de 2017.

Os hackers conseguiram solicitar nomes de usuário e senhas para obter acesso a contas de email internas. Uma vez descoberta, as autoridades desativaram as contas infectadas. Entretanto, o aviso não explicava quando o acesso foi descoberto pela primeira vez, nem por que o aviso foi lançado quase um ano após o ataque inicial.

6. Lifebridge Health: 500.000 pacientes

O sistema de saúde de Baltimore foi vítima de um ataque de malware, que potencialmente violou os dados de quase meio milhão de pacientes por mais de um ano.

Em 18 de março, as autoridades descobriram uma infecção por malware em seu servidor. No entanto, a investigação determinou que os hackers obtiveram acesso pela primeira vez em 27 de setembro de 2016.

Os dados de violação continham um grande número de detalhes de pacientes, de informações demográficas a dados de seguros e históricos médicos. Além disso, para alguns pacientes, os números do Seguro Social foram incluídos na violação.

7. Health Management Concepts (HMC): 502.416 membros

Um ataque de ransomware ao HMC rapidamente se transformou em violação de dados de saúde, assim que os hackers receberam, inadvertidamente, um arquivo contendo dados pessoais de membros.

As autoridades descobriram a infecção pelo ransomware em julho, no servidor usado para compartilhar arquivos com os clientes.

A HMC pagou resgate aos hackers para liberar os arquivos e eles descriptografaram os dados. Autoridades disseram que enviaram acidentalmente o arquivo contendo números de Seguro Social, informações sobre planos de saúde e nomes de pacientes aos hackers — mas não disseram como ou por quê.

8. CNO Financial Group: 566.217 clientes

A maior unidade da CNO, Bankers Life, começou a notificar os clientes sobre uma violação descoberta em 7 de agosto. Os hackers acessaram várias credenciais de funcionários entre 30 de maio e 13 de setembro.

Esses usuários não autorizados usaram as informações para acessar sites da empresa, comprometendo assim os dados dos tomadores de seguro e outros clientes.

Os dados violados incluíam nomes, detalhes do seguro, datas de nascimento e os últimos quatro dígitos dos números do Seguro Social. Para alguns, números completos da Previdência Social, informações sobre crédito ou débito, medicamentos, diagnósticos e/ou detalhes do tratamento foram incluídos na violação.

9. Unitypoint Health: 1,4 milhão de pacientes

Um ataque de phishing ao sistema de email comercial do sistema de saúde de Iowa violou os dados de 1,4 milhão de pacientes.

Esta foi a segunda violação da UnityPoint este ano. Afinal, em abril, um ataque de phishing separado às contas de email da equipe em seu campus de Madison comprometeu 16.000 registros de pacientes.

O sistema de email foi atingido por uma série de emails de phishing altamente direcionados que pareciam ter sido enviados por um executivo de dentro da organização. Um funcionário caiu no golpe, dando assim aos hackers acesso a contas de email internas de 14 de março a 3 de abril. As notificações começaram em julho.

10. Accudoc Solutions: 2.65 milhões de pacientes

A maior violação de dados de saúde de 2018 foi causada por uma invasão do fornecedor de cobrança AccuDoc Solutions, que comprometeu os dados de pacientes por uma semana.

O fornecedor da Carolina do Norte prepara as contas dos pacientes e opera o sistema de cobrança da Atrium Health.

O AccuDoc descobriu que algumas de suas contas foram comprometidas por um ataque cibernético de 22 a 29 de setembro. A investigação determinou que os hackers podiam visualizar os dados, mas não extraí-los. Por fim, a Atrium Health foi notificada da violação em 1º de outubro.

Um prejuízo incalculável para o setor de saúde apenas no ano de 2018

Email, ataques de phishing direcionados e configurações incorretas do banco de dados estavam por trás das maiores violações de dados de pacientes no ano de 2018. Pela quantidade de pessoas afetadas em cada ataque é praticamente impossível estimar o prejuízo causado para cada instituição de saúde.

A maioria das organizações de saúde vê o impacto financeiro de um ataque cibernético em seu setor como significativo. Assim, interrupção comercial e vazamento de dados do paciente são os cenários de perda mais críticos para os ciberataques na área da saúde.

Dessa forma, o mais importante é que deve haver uma mudança de mentalidade e comportamento, por meio de educação ou campanhas, para incentivar uma cultura de conscientização a respeito da segurança e proteção de dados entre todas as partes interessadas — o público, os pacientes e a força de trabalho da saúde, que terão maior acesso aos registros médicos em mais de dispositivos e plataformas do que antes.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo assim para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.