Cibercriminosos de todos os cantos do mundo estão enviando 3,4 bilhões de e-mails de phishing diariamente, de acordo com a Earthweb, e as organizações de saúde dos EUA são o principal alvo. Em 2021, 61% dos entrevistados de um estudo de saúde da Sophos relataram que pagaram resgates, o que é uma taxa mais alta do que qualquer outro setor. E os ataques de ransomware a organizações de saúde aumentaram alarmantes 94% em apenas um ano.
A pandemia piorou a situação. Os hackers estão aproveitando os funcionários de saúde estressados e as redes desprotegidas para se infiltrar em seus sistemas. De acordo com dados da Paubox, o número de ataques contra profissionais de saúde tem aumentado constantemente e os e-mails maliciosos aumentaram 600% desde o início da pandemia.
Por que a saúde é particularmente vulnerável a ataques cibernéticos?
As organizações de saúde experimentaram um aumento nos ataques devido à sua alta propensão a pagar um resgate, ao valor dos registros dos pacientes e, muitas vezes, à segurança inadequada. O setor também tem uma escolha de soma zero entre pagar um resgate e arriscar a vida dos pacientes, que os maus atores exploram. Como os provedores de assistência médica não podem atender totalmente os pacientes sem acesso a registros e monitoramento de ferramentas médicas digitais conectadas a redes de saúde, eles geralmente cedem às demandas de colocar os pacientes em primeiro lugar. É importante observar, no entanto, que nem todas as organizações que pagam um resgate obtêm seus dados de volta.
Os ataques de phishing são excepcionalmente perigosos para as organizações de saúde porque os dados dos pacientes são um dos ativos mais valiosos para os criminosos atualmente. Informações de saúde protegidas (PHI) valem uma fortuna para os cibercriminosos e são uma das commodities mais populares da dark web. A Experian identifica os registros de pacientes roubados por US$ 1.000 cada, enquanto os números de cartão de crédito estão sendo vendidos por cerca de US$ 5 cada, uma conta hackeada do Instagram custa US$ 7 e os números do Seguro Social valem apenas US$ 1.
Além disso, criminosos experientes em tráfico de drogas e lavagem de dinheiro compram avidamente prontuários médicos para obter medicamentos prescritos, registrar alegações médicas falsas ou roubar as informações para abrir cartões de crédito e obter empréstimos fraudulentos. Os registros médicos são um rico recurso de pontos de dados valiosos e permanentes, enquanto contas e cartões de crédito são rapidamente cancelados.
Os ataques cibernéticos à saúde também rendem resgates exorbitantes. Por exemplo, o ransomware conhecido como Ryuk foi supostamente usado para extorquir milhões de unidades de saúde dos EUA desde 2018.
Além disso, o preço médio de uma violação de dados de saúde subiu para US$ 10 milhões, de acordo com o relatório O Custo de Uma Violação de Dados da IBM Security.
Como as organizações de saúde podem se proteger contra ameaças de segurança cibernética?
Toda empresa de saúde precisa priorizar a segurança. Em particular, como o e-mail é um dos pontos de entrada mais frequentes para violações de dados, recomenda-se que as organizações adotem uma abordagem de confiança zero.
Os prestadores de serviços de saúde também têm a obrigação legal de proteger os pacientes e suas PHI, especialmente ao enviar ou receber e-mails. Portanto, as estratégias e soluções de segurança de e-mail precisam abordar a segurança cibernética e a conformidade com HIPAA.
Os líderes de segurança cibernética devem seguir estas etapas para evitar uma violação de dados:
Eduque e treine a equipe para reduzir o risco de ataques de engenharia social via e-mail e acesso à rede.
Avalie o risco corporativo em relação a todas as vulnerabilidades potenciais e priorize a implementação do plano de segurança com o orçamento, a equipe e as ferramentas necessárias.
Desenvolva um roteiro de segurança cibernética que todos na organização de saúde entendam.
É recomendado que as organizações se familiarizarem com a crescente ameaça de ransomware.
O risco de não implementar um programa de segurança de e-mail é muito alto
Os líderes do sistema de saúde estão pedindo ajuda para combater os hackers. No entanto, as seguradoras às vezes não cobrem os danos, e há reclamações de que não há apoio suficiente do governo ou da aplicação da lei.
Considere o seguinte: até o momento, 60% das organizações de saúde aumentaram os preços para cobrir as despesas de uma violação. E a conformidade regulatória e as despesas legais podem se estender por anos. Esses custos estão se espalhando para a população dos EUA, já sobrecarregada com a inflação.
O melhor caminho a seguir para as organizações de saúde é reconhecer a grave ameaça da guerra cibernética, avaliar sua situação e planejar e implementar uma estratégia de segurança sob medida para o setor, fornecendo à equipe as ferramentas e os recursos necessários para evitar um ataque cibernético.