stock.adobe.com

Empresas de saúde são presas fáceis para cibercriminosos

A pandemia fez crescer os ataques do tipo ransomware, de sequestro de dados, contra hospitais e instituições de saúde e a falta de investimento e equipamentos com sistemas operacionais antigos os deixa vulneráveis, diz Trend Micro.

Não é de hoje que as empresas do segmento de saúde são alvo de cibercriminosos e mesmo antes da pandemia os ataques a hospitais, por exemplo, já estavam em ascensão. E isso por dois motivos: a facilidade de acesso dos hackers a equipamentos para exames de imagem, como ressonância magnética e tomografia, e a falta de investimentos em cibersegurança.
“De um lado, você tem um ambiente repleto de máquinas com sistemas operacionais antigos e vulneráveis, que é essa parte de exames, e de outro lado o setor administrativo, com máquinas ligadas à internet e usuários que acessam e-mails e preenchem prontuários. O risco surge exatamente quando você mistura estes dois ambientes e cria uma ponte para o atacante, que está do lado de fora só esperando uma brecha para entrar”, explica Robson Borges, especialista em Segurança da Informação da Trend Micro.
As empresas de saúde têm sofrido com ataques de ransomware. O relatório anual de segurança cibernética da Trend Micro 2020 mostrou que o segmento de healthcare está entre os principais alvos desse tipo de invasão, ao lado de bancos, órgãos governamentais e indústrias. O problema é que o setor de saúde é um dos mais vulneráveis.
O especialista da Trend Micro diz que o primeiro impacto de um ciberataque é a paralisação do serviço. “Temos que lembrar que quando eu paro o ambiente hospitalar estamos falando de vidas, de deixar de fazer um exame que uma pessoa está esperando, seja pela suspeita de uma doença grave ou pela necessidade de uma cirurgia”.
Já o segundo impacto é o roubo do dado. Borges lembra que em um hospital, por exemplo, tudo é informação pessoal sensível. “Quando se trata do cadastro e resultados de exames de uma pessoa, sua opção sexual, tudo é dado pessoal sensível. Por isso, um vazamento desse tipo é extremamente crítico”, avalia, lembrando que a Lei Geral de Proteção de Dados (LGDP) prevê, a partir deste mês, sanções a empresas que podem chegar até R$ 50 milhões.
E há, ainda, a possibilidade da tripla extorsão, onde o alvo é o próprio usuário do serviço de saúde. “Quando uma pessoa pública ou um executivo de alto escalão realiza um exame em uma instituição, que detecta uma doença grave, como um câncer, por exemplo, o hacker pode ameaçar o paciente de divulgar aquela informação, e dependendo do momento da empresa ou da carreira do profissional isso pode ser extremamente delicado”, acrescenta.

Falta investimento

Pesquisa realizada pelo Datafolha, no início do ano, revelou que o setor de saúde é o que menos investe em tecnologia. Somente 23% das empresas do segmento possuem departamento de cibersegurança, embora 58% delas admitam que já foram alvo de fraude e ataques digitais com alta e média frequência. O levantamento aponta, ainda, que 44% dessas empresas não estão preparadas para lidar com um ataque cibernético e mesmo assim em 49% a segurança digital não tem prioridade no orçamento. O levantamento ouviu 351 tomadores de decisão do setor de tecnologia de empresas de vários segmentos, como educação, financeiro, tecnologia e varejo. Desses, 57 eram da área de saúde.
O cibercrime é um problema global que ganhou mais destaque com a aceleração digital provocada pela pandemia. Entretanto, o Brasil é o país que leva mais tempo para conter uma invasão. Estatística da IBM aponta que a média mundial para identificar e conter um ataque é de 280 dias, mais no Brasil essa média sobre para 380 dias.
A falta de estratégia é a responsável pela lentidão no tempo de resposta aos ataques. Pesquisas mostram que as empresas que implementam uma estratégia de resposta a incidentes conseguem ser 70% mais rápidas. “Uma coisa é demorar a identificar o ataque e outra coisa é conter, e no Brasil a gente demora para os dois”.

Robson Borges diz que ter estratégia é estabelecer métricas que indiquem a ação de agentes maliciosos, adotar um plano de ação para corrigir o problema no caso de invasão e avaliar o aprendizado daquela situação, após o ataque. “Um planejamento adequado de resposta a incidentes de segurança inclui o antes, durante e depois. Envolve processos, pessoas e tecnologia”, finaliza.

Saiba mais sobre Prevenção de ameaças