Quando se fala em Saúde, logo se pensa em medicamentos, tratamentos, atendimento médico ou qualidade de vida. Dificilmente nos vem à mente questões relacionadas à segurança de dados de pacientes. Porém, segundo pesquisa realizada pela KPMG, 81% dos executivos de organizações ligadas à Saúde afirmaram que as suas empresas já sofreram ataques virtuais. Somente metade dos gestores entrevistados se sentia preparado para proteger a instituição de futuros ataques e 39% afirmaram não possuir mecanismos confiáveis em segurança da informação para se prevenir de futuras invasões.
O IDC estima que os valores de informações médicas podem valer até 50 vezes mais do que outros dados atualmente roubados em ações criminais digitais. E mais: um em cada três pacientes terão seus dados roubados de instituições médicas. Um estudo recente revelou que o setor de Saúde respondeu por 9,2% das violações de dados em 2016, com mais de 4,1 mil violações reportadas, resultando na exposição de mais de 4,2 bilhões de registros médicos.
Informações sensíveis, como registro de histórico das consultas, procedimentos, exames, investigação de causas e condutas tomadas, além de dados bancários e pessoais ficam suscetíveis a ataques virtuais, e, consequentemente, a vazamentos. Todas essas informações são confidenciais e precisam ser 100% confiáveis, pois em planejamentos cirúrgicos e tratamentos, por exemplo, são essenciais para que a vida do paciente não seja posta em risco.
Os dados dos pacientes também podem ser vendidos no mercado negro, como histórico de consumo de medicamentos e doenças, violação de dados privados sensíveis de pessoas públicas ou políticas e muitas outras que podem levar a fraudes, obtenção ilegal de medicamentos, insumos para identidades falsas e ação direcionada de spearphishing a pacientes de alto valor. As fraudes podem comprometer o andamento de acompanhamentos terapêuticos e ocasionar, por exemplo, a administração de medicamentos que não sejam indicados para o paciente. Os prejuízos destroem a imagem da instituição e podem gerar indenizações milionárias em juízo.
Outras informações que podem ser lucrativas aos invasores e trazer consequências catastróficas às instituições são o planejamento estratégico do hospital, relatórios financeiros sigilosos ou movimentação bancária, propriedade intelectual de técnicas, metodologias, equipamentos ou sistemas e roubo de dados que podem ser vendidos para fraude de seguros. Além do roubo de informações, os criminosos podem causar indisponibilidade dos serviços, bloquear o acesso aos dados e até controlar aparelhos médicos remotamente, com a ascensão da internet das coisas (IoT).
Mas por que os hackers se voltaram tanto às instituições de Saúde? Ao que tudo indica, os cibercriminosos "migraram" seu interesse pelas instituições financeiras para as de saúde porque as financeiras passaram a aumentar significativamente o investimento em tecnologia, processos e pessoas com foco em segurança. Na Saúde, ao contrário, os investimentos em segurança da informação ainda são mínimos.
Se antes os dados dos pacientes eram restritos a datacenters, hoje devem ser disponibilizados na rede, com acesso, principalmente, por meios digitais. A troca de informações pela internet, a comunicação entre unidades, de hospital para hospital ou hospital para laboratório abre brechas para ciberataques.
Entre as falhas de segurança mais comuns estão: diversos dispositivos móveis conectados ao computador do profissional responsável por fazer o atendimento e a triagem, rede wi-fi que se utiliza de criptografia WEP com senha de 6 dígitos (de altíssima insegurança), ausência de módulos de backup e sistemas sem recursos de proteção extra (como autenticação de dois fatores).
Mas esse cenário começa a mudar. Ainda de acordo com o IDC, os gastos globais em segurança da TI vão crescer cerca de 8,3%, gerando um crescimento de US$ 73,7 bilhões para US$ 101,6 bilhões até 2020. Na Saúde, os gastos em segurança da informação devem crescer 10,3% – taxa maior que a de qualquer outro setor.
Sabemos ainda que medidas de segurança são instituídas por órgãos nacionais como a Agência Nacional de Saúde (ANS) e por organizações e leis internacionais como é o caso da Health Insurance Portability and Accountability Act (HIPPA), com normas que asseguram o controle das informações detidas por organizações de saúde. Tais normas incluem: instâncias dedicadas para garantir que o hardware não seja compartilhado; ferramentas que facilitam a aplicação de requisitos rigorosos de criptografia de dados de saúde protegidos – em repouso e em trânsito; controles de acesso aprimorados quando implantados por trás de um firewall virtual, com recursos de identificação de usuário habilitados; retenção de log, auditoria, procedimentos de backup de dados e mecanismos de recuperação de desastres. Porém, embora tais diretrizes sejam relevantes para diminuir o número de ataques, muitas vezes são insuficientes para impedir a ação de hackers.
Com um ambiente de segurança cada vez mais complexo, vários consoles, várias políticas, milhões de alertas por dia e muito trabalho administrativo, é importante saber os reais investimentos que devem ser feitos:
Testes recorrentes e avaliação de vulnerabilidades para garantir que todo o ambiente esteja sempre com as aplicações atualizadas, evitando riscos de intrusão.
- Ter um time especializado responder rapidamente a qualquer incidente que possa ocasionar danos.
- Ataques de estresse controlados para garantir alto desempenho e funcionamento de sistemas vitais à instituição.
- Assessment em Políticas de Segurança para garantir conformidade com todas as normas de segurança da HIPAA e ANS.
- Proteção para a borda da rede com Next Generation Firewall até a camada de aplicações com Web Application Firewall, para detectar e bloquear os tipos de ataques comuns e avançados
- Assessment e Gerenciamento de antivírus
- Gerenciamento e análise de instabilidades e alterações em aplicações e servidores
- Gerenciamento do ambiente de segurança
- Threat Intelligence para tratamento de vazamento de dados e ameaças avançadas
- Conscientização de segurança para toda a equipe, incluindo gestores, médicos, enfermeiros, administrativos e demais colaboradores.
- Controle de armazenamento, acesso e compartilhamento de dados dos pacientes com processos específicos.
- Soluções de segurança para o controle da rede interna e do acesso externo.
- Processo de backup para evitar perda de dados ou a realização de quaisquer alterações indevidas.
- Política de Disaster Recovery.
- Autenticação de 2 fatores como nível de segurança adicional para acesso a sistemas.
- Computação em nuvem pelo baixo custo e direcionamento do foco ao tratamento de pacientes (ao invés de gerenciamento de datacenters) com proteção implementada desde endpoints até redes.
Por fim, a maneira mais eficaz de promover o controle e a segurança nos ambientes de Saúde que trabalham com informação digital é implementar tecnologia de ponta para atuar na proteção do datacenter, transmissão de mensagens, barreira contra fraudes, sinalizações de perigo e intervenção em redes de perímetro, impossibilitando o avanço de ameaças em sistemas de dados. Com Saúde não se brinca, em nenhum momento.
Eduardo Bernuy Lopes, Diretor de Operações da Redbelt - Eduardo Bernuy Lopes fundou a Redbelt em 2009. Eduardo trabalha na área de Segurança da Informação há 15 anos, com formação em Penetration Testing e Pesquisa Forense. Atuou em projetos de auditoria de segurança do governo federal, seguradoras e grupos de cartões de crédito. Dentro das certificações, é ISO27001 Lead Auditor, Certified Ethical Hacker, entre outras.
