A indústria da saúde global
é um dos grandes alvos de ciber ataques. Hoje, as violações de informações
causam prejuízos de até US$ 5,6 bilhões por ano – dados da Fasoo, entidade que
pesquisa o setor nos EUA. Segundo órgãos do governo norte-americano, em 2015
aconteceram 253 violações de hospitais, clínicas e prestadores de serviços de
saúde em geral. A divulgação de informações confidenciais sobre pacientes
dessas entidades prejudicou diretamente cerca de 500 pessoas. As violações
colocaram em poder de hackers e ciber ativistas um volume de 112 milhões de
informações do prontuário de pacientes. Isso inclui listas de medicamentos
prescritos, descrição e justificação de cirurgias e de tratamentos, além de
informações sobre pagamentos realizados ou devidos.
A extrema criticidade dos
dados sobre a saúde de uma pessoa é o que torna as empresas do setor de saúde
tão vulneráveis a ataques. Uma das formas mais comuns de violações é o
sequestro (ransomware) do prontuário do paciente e o pedido de resgate. Em
geral, o paciente nem fica sabendo do ocorrido, pois o hospital ou a clínica
apressa-se a pagar o resgate para preservar tanto a reputação do paciente como
a sua própria imagem no mercado de prestadores de serviços de saúde.
As consequências de uma
violação de dados são desproporcionalmente altas para a indústria da saúde.
Segundo o Instituto Ponemon, o custo médio per capita de uma violação de dados
é R$ 600,00. Na vertical saúde, o custo per capita é de cerca de R$ 1000,00.
Diante desta realidade, vale
a pena aprofundar as várias frentes de batalha enfrentadas pelos CISOs das
empresas da vertical saúde:
1 – O próspero mercado negro
de dados de saúde
Os dados sobre o estado de
saúde das pessoas são muito valiosos para os hackers porque eles podem
vendê-los por alto preço no mercado negro. Nos EUA, cada cadastro de paciente é
vendido por mais de R$ 150,00. Isso é um alto valor, se compararmos essa marca
com o que se paga por dados de um cartão de crédito pessoal – cerca de R$ 3,00.
O objetivo dos hackers é ganhar muito dinheiro, realizando grandes violações em
que ameaçam expor ou vender os dados de milhões de pessoas.
2 – Fraudes contra
seguradoras geram riqueza para os criminosos
Isso não significa, no
entanto, que os ciber criminosos só querem os dados para poder vendê-los. Os
criminosos podem, também, usar os registros médicos para acionar de forma
fraudulenta as seguradoras e sistemas de saúde governamentais. Eles podem
roubar identidades de pacientes para, por exemplo, obter consultas ou
tratamento gratuitos ou, ainda, acesso a receitas de medicamentos controlados.
3 – O grande dilema: dados
na nuvem ou on premise?
A conformidade é uma das
principais preocupações para qualquer organização de saúde. Esta realidade faz
com que muitos provedores hesitem em atualizar-se ou mudar para novos sistemas
de segurança. Esse é um grande problema para a indústria da saúde. As ameaças
estão se tornando mais avançadas a cada dia e os sistemas de segurança de saúde
precisam evoluir na mesma velocidade.
Os gateways de cloud data
protection (CDP), por exemplo, proporcionam um controle flexível que protege as
informações confidenciais antes de elas saírem de uma rede corporativa. O
gateway intercepta as informações de saúde enquanto elas ainda estão on premise
(no data center interno da empresa usuária) e as substitui por um valor
tokenizado ou criptografado, que é então enviado para a nuvem. Dessa maneira,
os dados que forem interceptados na nuvem não têm significado algum. Essas
plataformas também garantem que os usuários finais mantenham a funcionalidade
exigida de sua aplicação SaaS na nuvem, mesmo sobre dados fortemente
criptografados ou tokenizados. Há também tecnologias que podem ser usadas para
monitorar e rastrear continuamente arquivos em busca de dados de saúde e
desencadear ações como impedi-los de ser enviados a ambientes de nuvem ou,
simplesmente, alertar a TI de que as informações foram enviadas para a nuvem.
4 – A importância da
criptografia
Políticas do governo
norte-americano enfatizam o papel benéfico que pode ser desempenhado pela
criptografia. A criptografia codifica os dados para que somente as partes
autorizadas capazes de descriptografar as informações possam lê-las. Assim, ela
não necessariamente impede alguém de interceptor os dados, mas impede alguém de
vê-los. É essencial que chaves de criptografia sejam fisicamente mantidas e
administradas pela equipe de TI de uma empresa de saúde. Isso não pode ser
feito pelos próprios provedores de nuvem. A perda da propriedade das chaves de
criptografia expõe a organização a riscos adicionais de divulgação de dados.
5 – Adeus ao imobilismo e ao
medo
A extrema criticidade dos
dados do setor de saúde pode levar o gestor da empresa desta vertical a um
certo imobilismo, uma reação contra a digitalização de dados e serviços. A
origem desta rigidez é o medo, e em nada colabora com a vitória do gestor na
guerra cibernética. Em vez de resistir à transformação digital e à nuvem, seria
melhor que CISOs e outros executivos das empresas do setor de serviços de saúde
estudassem e fossem em direção às novas soluções de controle e proteção de
dados – inclusive para a nuvem – que estão surgindo. Uma das ofertas mais
estratégicas, segundo o Gartner, é o CASB (Cloud Access Security Broker). Essa
plataforma dá visibilidade às ameaças contra a empresa de saúde, propiciando a
detecção e a análise de malware. Tudo é feito para transformar a nuvem num
ambiente controlado e seguro para as aplicações e os dados que formam o coração
da empresa do setor de saúde.
Fica claro, portanto, que em
vez de reagir contra a chegada do novo, melhor é antecipar estratégias digitais
plenamente capazes de combater as novas e muito reais ameaças que, diariamente,
se abatem sobre a vertical saúde.
Marcos
Oliveira - country manager da Blue Coat Brasil
Nenhum comentário:
Postar um comentário