Proteção de Dados

O setor de saúde em risco: um resumo dos ataques cibernéticos de 2019 e o que está por vir em 2020

Este foi outro ano movimentado para hackers. Afinal, em 2019 eles atacaram com sucesso as principais cidades, governos, empresas, hospitais e escolas de todo o mundo. Vamos nos preparar para a segurança cibernética no setor de saúde em 2020. Imagine agora esses ataques acontecendo e paralisando hospitais, tal como ocorreu nos últimos anos.

Somente nas últimas semanas, a cidade de Joanesburgo, capital da África do Sul, ponderou sobre o pagamento ou não de US$30.000 em Bitcoins a hackers. No final, a cidade não pagou, apesar da ameaça dos hackers de divulgar dados privados dos cidadãos.

Na área de saúde, as violações de dados custarão nos EUA US$ 4 bilhões este ano, com hackers superando a tecnologia e os processos de segurança das instituições, de acordo com a Black Book Market Research.

Aqui no Brasil não foi diferente e os incidentes de cibersegurança também chamaram a atenção no decorrer do ano. Grandes empresas e órgãos públicos tiveram problemas, como Detran, Eicon, Vivo e uma operadora de saúde que teve um vazamento de dados incluindo fichas cadastrais de pacientes.

Uma triste retrospectiva de 2019

Vamos dar uma olhada em alguns dos graves incidentes de segurança cibernética que ocorreram durante este ano.

No início de maio foi descoberto que o fornecedor de serviços de cobrança American Medical Collection Agency foi hackeado por oito meses entre 1 de agosto de 2018 e 30 de março de 2019. Cerca de 12 milhões de pacientes da Quest Diagnostics foram afetados.

O sistema invadido incluía uma grande quantidade de dados pessoais e financeiros da instituição, incluindo números de seguro social e informações médicas.

No início de outubro, foi revelado que vários hospitais em todo o estado do Arkansas foram atingidos por um ataque maciço. O ataque criptografou arquivos e restringiu o acesso a sistemas de computadores no Centro Médico Regional da DCH Health Systems, no Northport Medical Center e no Fayette Medical Center.

As equipes médicas tiveram que mudar para o modo manual e confiar em cópias em papel enquanto o sistema de TI estava sendo reparado.

Até 7,7 milhões de pacientes do LabCorp também foram potencialmente impactados, além de 422.000 pacientes do BioReference. Recentemente, mais duas entidades cobertas foram adicionadas ao registro: o Centro de Saúde Comunitária Penobscot, no Maine, com 13.000 pacientes afetados, e os Laboratórios de Patologia Clínica, com 2,2 milhões de pacientes.

No Brasil, como não há divulgação oficial desses incidentes, o caso relacionado ao setor de saúde que mais chamou atenção foi o de uma operadora. Dados pessoais de pacientes e dependentes, acessos a logins médicos, e-mails internos, planilhas financeiras, além de dados sensíveis, como exames de pacientes, certidões de óbito e imagens de raio X foram vazados.

Previsões sombrias para o setor de saúde em 2020

Mais de dois anos depois do Wannacry prejudicar instalações médicas e outras organizações no mundo todo, o setor de saúde parece estar aprendendo sua lição. Afinal, o número de dispositivos médicos atacados – computadores, servidores e equipamentos médicos – em 2019 diminuiu globalmente.

Entretanto, ainda que desejemos todos terem entendido os perigos de ataques similares ao Wannacry, continuamos vendo muitos ataques de ransomware contra instituições de saúde em diversos países.

Basicamente existem dois motivos principais para esses ataques cibernéticos continuarem acontecer durante o ano de 2020: falta de atenção aos riscos da digitalização e falta de conscientização sobre segurança cibernética entre os funcionários das instalações médicas.

Vejamos as previsões para o próximo ano:

  • O interesse em registros médicos na dark web aumentará. Nos fóruns clandestinos, é possível ver que os registros médicos de pacientes às vezes são ainda mais caros que as informações de cartão de crédito. Também abre métodos potencialmente novos de fraude: armado com os dados médicos de alguém, é mais fácil enganar o paciente ou seus parentes.
  • Aumentará significativamente o número de ataques a instituições médicas nos países que ainda estão iniciando o processo de digitalização na área da saúde. Espera-se ver o surgimento de ataques de ransomware direcionados contra hospitais em países em desenvolvimento. A perda de acesso a dados internos ou recursos internos pode interromper o diagnóstico do paciente e até interromper o auxílio de emergência.
  • Um número crescente de ataques direcionados contra institutos de pesquisa médica e empresas farmacêuticas que realizam pesquisas inovadoras. A pesquisa médica é extremamente cara e alguns grupos especializados em roubo de propriedade intelectual atacarão essas instituições com mais frequência em 2020.

Os orçamentos de segurança cibernética devem ser ampliados em 2020

Com a Lei Geral de Proteção de Dados entrando em vigor em 2020, as instituições de saúde devem aumentar significativamente os investimentos com segurança cibernética. O grande desafio é garantir que esses aportes se concentrem nas áreas certas.

Infelizmente, em alguns casos isso não ocorrerá. Assim, podemos esperar um aumento nas violações de dados em 2020, apesar da quantidade recorde de dinheiro investido em defesa cibernética em todo o mundo.

Parte do problema será a incapacidade de algumas organizações em acompanhar táticas básicas de segurança cibernética. Podemos citar por exemplo: patches, alterações frequentes de credenciais privilegiadas e utilização de autenticação multifatorial. Espera-se portanto, que os bandidos cibernéticos continuem penetrando nos ambientes médicos devido a essas negligências básicas.

Outra parte do problema é que haverá instituições de saúde utilizando tecnologia de segurança de “ontem” para combater batalhas de segurança digital de amanhã. Soluções de segurança baseadas em regras, como SIEMs, são ótimas para detectar vulnerabilidades conhecidas, mas elas são ineficazes contra ameaças novas e desconhecidas.

Portanto, apesar do aumento de investimentos em proteção de dados e privacidade, no geral as violações devem ocorrer regularmente.

Fraude na área da saúde será uma questão importante em 2020

Quanto às fraudes que podemos esperar ocorrer em 2020, apenas com o tempo saberemos o que acontecerá de fato. Enquanto isso, a quantidade de dinheiro a ser ganho das empresas de seguro de saúde, de provedores de assistência médica e dos consumidores individuais em virtude dos ataques virtuais é astronômica.

Os criminosos se envolvem em reivindicações de seguro falsas, duplicadas e infladas, através de sites de prestadores de serviços de saúde falsos, fraudes de seguros e muito mais. Assim, a lista de fraudes na área da saúde é longa e cresce em uma rede de ambiguidade cada vez mais complexa e interconectada.

Consequentemente a ênfase precisa ser colocada na prevenção e detecção,  especialmente em organizações como hospitais, que prestam serviços críticos e não podem pagar o tempo de inatividade.

Em resumo, as organizações de saúde devem assumir que sua estrutura tecnológica será violada e devem monitorar seus ambientes em busca de sinais de comprometimento, além de implementar políticas e processos de segurança cibernética, adotando recursos de proteção, a exemplo de certificados e assinatura digital e outras ferramentas.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo assim para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.