A cibersegurança é uma questão de importância crítica no setor de saúde, pois envolve a proteção de sistemas, redes, dados e dispositivos médicos, que armazenam informações confidenciais sobre as empresas, seus colaboradores, parceiros e pacientes – como prontuários médicos, diagnósticos e tratamentos. Esses dados podem ser usados para fins maliciosos, como roubo de identidade, chantagem ou até mesmo danos físicos, e, justamente por sua criticidade, precisam e devem ser protegidos contra eventuais ataques cibernéticos.
As empresas do setor de saúde são alvos muito atraentes para os cibercriminosos por diversos motivos, porque têm orçamentos limitados para cibersegurança, sistemas complexos, que podem ser difíceis de proteger, e dados muito valiosos se usados para fins ilícitos.
Os ataques cibernéticos ao setor de saúde podem causar uma série de danos:
- Violação de dados – com vazamento de informações médicas, que pode ter sérias consequências para as pessoas, como roubo de identidade, chantagem e danos à reputação;
- Interrupção dos serviços – o que pode colocar em risco a vida dos pacientes em risco;
- Extorsão – com exigência de um resgate pelos cibercriminosos para restaurar o acesso aos sistemas ou dados.
Segundo levantamento do RIS, plataforma Saas da Redbelt Security, de cada cinco empresas do setor de saúde (hospitais, clínicas, operadoras de planos de saúde efarmacêuticas), quatro apresentam problemas com controle de acesso e cadastros.
Essa é uma das principais vulnerabilidades, da qual decorrem a maior parte dos ataques ao setor de saúde no País. Apenas no primeiro semestre de 2023, em todo o mundo, 10,9% dos ciberataques foram direcionados para o setor de saúde, porcentagem que no Brasil já chegou a 12% no mesmo período.
Riscos envolvendo controle de acesso
Os problemas no controle de acesso podem ser considerados casos em que o acesso às informações de parceiros, funcionários e pacientes não está bem protegido. Casos em que dados de funcionários (login e senha corporativos) acabam ficando expostos na internet por problemas de desenvolvimento de aplicativos ou plataformas utilizadas por essas empresas, ou porque eles utilizaram seus e-mails corporativos para inúmeras tarefas pessoais, como, por exemplo, criar contas em sites de varejo.
Ao ter acesso a esses dados de cadastro de controle de acesso, os hackers podem, por exemplo, solicitar reembolsos de planos de saúde em nome de pacientes legítimos ou acessar dados de diversos clientes, como fotos de documentos, contas de luz e de água, e certidões de casamentos, que podem ser usados para fraudes. No geral, hackers costumam roubar dados assim para vender em fóruns criminosos na Dark Web. Outros criminosos compram esses dados para aplicar golpes mais graves, como extorsão contra essas empresas de saúde, ameaçando vazar dados caso um determinado valor em dinheiro não seja pago.
Um aspecto da cibersegurança que exige a atenção dos órgãos e empresas de saúde: a autorização
A autorização é o que falta dentro de boa parte dos sistemas de saúde no Brasil hoje. Na prática, isso quer dizer que, basta ter um e-mail de um funcionário de um hospital ou clínica para acessar qualquer informação que exista no ambiente digital dessas instituições. Por isso, é importante estabelecer uma política de acesso para todos os colaboradores da empresa. Assim, cada usuário terá uma autorização específica para acessar dados dentro do ambiente da organização, limitando o que cada um pode acessar.
Outra prática de cibersegurança que deve ser constante nas empresas de saúde é a realização de exercícios simulados de ataques cibernéticos, com o apoio de consultorias especializadas. Assim, as empresas de saúde conseguem detectar as brechas que podem ser exploradas por criminosos cibernéticos antes de quaisquer ataques. Além disso, investir em conscientização para que as pessoas que trabalham nessas instituições e empresas entendam os riscos de utilizar os e-mails corporativos fora do âmbito do trabalho, fortalece a proteção.
Devido a gravidade das consequências de eventuais ciberataques, não é à toa que empresas de saúde nacionais investiram, em média, R$ 1,2 milhão em cibersegurança em 2022, valor 15% superior a 2021. E 83% delas previam um aumento nestes gastos para este ano em função de investimentos em digitalização, na adequação à Lei Geral de Proteção de Dados (LGPD) e em solução para fazer frente à sofisticação dos ataques cibernéticos.
“O aumento dos investimentos em cibersegurança no setor de saúdebrasileiro é um sinal positivo, pois demonstra que as empresas estão tomandomedidas para proteger seus sistemas e dados para que não seja atacados porcibercriminosos. Porém, é fundamental que tenham uma orientação adequada sobrecomo realizar estes investimentos para que tenham maior efetividade”, comentaAmorim.
Algumas dicas específicas da Redbelt Security para melhorar acibersegurança no setor de saúde são:
- Use autenticação multifatorial (MFA) – ela adiciona uma camada extra de segurança ao exigir que os usuários forneçam duas ou mais formas de identificação para acessar um sistema ou aplicativo.
- Implemente criptografia para protege os dados contra acesso não autorizado.
- Mantenha os sistemas atualizados – os fabricantes geralmente lançam atualizações de segurança para corrigir vulnerabilidades conhecidas.
- Faça backup regularmente – eles permitem que sejam restaurados os dados em caso de ataque cibernético.
“Porém, o mais importante é ter um plano de resposta a incidentes, que definacomo a empresa responderá a um ataque cibernético. Além disso, procure ter oapoio de uma consultoria especializada, porque por mais preparadas que a equipede TI e segurança da informação internas estejam, os ataques estão cada vezmais sofisticados e especialistas sempre podem ajudar a resolver o problemamais rápido e reduzir os danos”, conclui Amorim.