No Brasil, pelo menos 32 dos empresários manifestaram ter sofrido algum tipo de crime digital no ano de 2011, uma média muito superior à do resto mundo (23%). Esse percentual é uma exposição muito grande, uma preocupação para a qual as empresas de saúde ainda não estão atentas e, com isso, acabam por expor seus clientes.
Era uma quarta-feira comum quando o norte-americano Stanley Hill foi despejar alguns itens pessoais no incinerador de resíduos público do Condado de York, nos Estados Unidos, e notou uma pilha de documentos espalhados pelo chão. A quantidade de papéis despertou a curiosidade do rapaz que, ao verificar do que se tratava, se surpreendeu ao encontrar inúmeros registros médicos de um consultório local. Surpreso e sem entender o motivo do despejo de informações de tamanha importância de um jeito tão descuidado, o homem que já tinha trabalhado com softwares em uma universidade da região pensou que seria necessário se mobilizar para garantir a segurança desses dados. Imediatamente, comunicou a um jornal local o ocorrido, levando a polícia a apurar o vazamento dos arquivos encontrados.
O caso sucedido no mês de junho de 2014 remete a outro acontrecimento de abril deste ano também nos Estados Unidos, quando oito computadores contendo informações médicas de cerca de 340 mil pessoas foram roubados de um escritório que prestava serviços contábeis a hospitais da cidade de Los Angeles. Ambas as situações demonstram o despreparo que as instituições de saúde têm ao cuidar das informações de seus pacientes. Estudos recentes indicam que, infelizmente, ainda há um certo desdém do setor de saúde em relação à segurança da informação, o que representa um risco não só aos negócios, mas também à vida e privacidade de milhares de pessoas.
Segundo relatório montado pela consultoria PwC em 2013 – Putting data security on the top table: how healthcare organisations can manage information more safely, ou Colocando a segurança da informação no topo das prioridades: como as organizações de saúde podem gerenciar informações de forma mais segura, em tradução livre, – CEOs de todo o mundo ainda não se preocupam com a questão da forma como deveriam.
Situação do Brasil
Os criadores do documento apontam que quando realizaram o último relatório anual mundial (em 2012) ficaram estarrecidos ao saber que apenas 24% dos CEOs que trabalham com saúde se preocupavam com a capacidade de proteger a propriedade intelectual dos seus dados e do cliente; algo impressionante, dado que somente nos EUA, ocorreram 571 falhas de segurança desde setembro de 2009. O panorama também nos preocupa, pois a situação no Brasil é ainda mais alarmante que o resto do mundo. Em outro levantamento da PwC, referente ao ano de 2012, já mostrava que, no Brasil, pelo menos 32 dos empresários manifestaram ter sofrido algum tipo de crime digital no ano de 2011, uma média muito superior à do resto mundo (23%). Esse percentual é uma exposição muito grande, uma preocupação para a qual as empresas de saúde ainda não estão atentas e, com isso, acabam por expor seus clientes.
Essas empresas devem tomar medidas preventivas, que dificultariam a ocorrência de roubos e invasões, como os relatos dos Estados Unidos. É importante que as empresas tenham uma política de segurança bem definida e que esta seja apresentada de forma clara para os colaboradores. Esses profissionais também precisam entender que determinadas ações colocam em risco toda a corporação e que há penalidades para elas. As campanhas de conscientização precisam ser contínuas. Vale também testar a eficácia das ações de conscientização enviando e-mails falsos (phishtests) para ver quem clica, ou fazendo ligações falsas se passando por pessoas de TI, pedindo informações confidenciais como login e senha, entre outras estratégias.
O perigo dos dispositivos móveis
Outro ponto que deve ser lembrado é o uso de aparelhos pessoais de médicos, enfermeiros e técnicos de saúde. A moda de utilizar aplicativos de smartphones, notebooks e tablets para auxiliar nas consultas, seja para aumentar a capacidade de análise, uso da internet corporativa, ou outras finalidades pode ser um sério agravante.
Na Real Protect, nós já identificamos situações em empresas nas quais os smartphones estavam sendo controlados por hackers. Se os celulares estiverem na mesma rede dos servidores, os criminosos podem fazer um movimento lateral interno e, a partir do aparelho, adentrar uma estação de trabalho ou servidor. Sem contar que, através de smartphones contaminados, um hacker pode acompanhar toda a vida profissional e pessoal de qualquer pessoa, saber onde ela está por meio do GPS e participar de reuniões de forma oculta acionando a câmera ou o microfone remotamente, por exemplo.
Por fim, o colaborador deve compreender que a segurança virtual da empresa depende de suas atitudes. É importante deixar claro para os usuários que não podem se deixar levar pela curiosidade de abrir um e-mail desconhecido, um link suspeito que um amigo do Facebook enviasse ou, até mesmo, pegar um pen drive abandonado no chão, pois estas podem ser a porta de abertura para quem deseja roubar informações sigilosas.
*Nadja Cunha, consultora de segurança da Real Protect
**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação