Segundo a Redbelt Security, hospitais, clínicas, operadoras de planos de saúde e indústrias farmacêuticas têm muitas falhas nos sistemas de controle de acesso e de cadastro de pacientes, que podem servir de porta de entrada para ataques cibernéticos
A cibersegurança é uma questão de importância crítica no setor
de saúde, pois envolve a proteção de sistemas, redes, dados e dispositivos
médicos, que armazenam informações confidenciais sobre as empresas, seus
colaboradores, parceiros e pacientes - como prontuários médicos, diagnósticos e
tratamentos. Esses dados podem ser usados para fins maliciosos, como roubo de
identidade, chantagem ou até mesmo danos físicos, e, justamente por sua
criticidade, precisam e devem ser protegidos contra eventuais ataques
cibernéticos.
“As empresas do setor de saúde são alvos muito atraentes para os
cibercriminosos por diversos motivos, porque têm orçamentos limitados para
cibersegurança, sistemas complexos, que podem ser difíceis de proteger, e dados
muito valiosos se usados para fins ilícitos”, afirma William Amorim,
especialista em cibersegurança da Redeblt Security.
Os ataques cibernéticos ao setor de saúde podem causar uma série
de danos, incluindo: violação de dados – com vazamento de informações médicas,
que pode ter sérias consequências para as pessoas, como roubo de identidade,
chantagem e danos à reputação; Interrupção dos serviços - o que pode colocar em
risco a vida dos pacientes em risco; extorsão – com exigência de um resgate
pelos cibercriminosos para restaurar o acesso aos sistemas ou dados.
Segundo levantamento da Redbelt Security, de cada cinco empresas
do setor de saúde (hospitais, clínicas, operadoras de planos de saúde e
farmacêuticas), quatro apresentam problemas com controle de acesso e cadastros.
“Em nossa avaliação, essa é uma das principais vulnerabilidades, da qual
decorrem a maior parte dos ataques ao setor de saúde no País, alerta Amorim. O
especialista lembra que apenas no primeiro semestre de 2023, em todo o
mundo,10,9% dos ciberataques foram direcionados para o setor de saúde,
porcentagem que no Brasil já chegou a 12% no mesmo período.
Os problemas no controle de acesso podem ser considerados casos
em que o acesso às informações de parceiros, funcionários e pacientes não estão
bem protegidas. “Em alguns casos, dados de funcionários (login e senha
corporativos) acabam ficando expostos na internet por problemas de
desenvolvimento de aplicativos ou plataformas utilizadas por essas empresas, ou
porque eles utilizaram seus e-mails corporativos para inúmeras tarefas
pessoais, como, por exemplo, criar contas em sites de varejo”, explica Amorim.
O especialista da Redbelt Security explica que, ao ter acesso a
esses dados de cadastro de controle de acesso, os hackers podem, por exemplo,
solicitar reembolsos de planos de saúde em nome de pacientes legítimos ou
acessar dados de diversos clientes, como fotos de documentos, contas de luz e
de água, e certidões de casamentos, que podem ser usados para fraudes. “No
geral, hackers costumam roubar dados assim para vender em fóruns criminosos na
Dark Web. Outros criminosos compram esses dados para aplicar golpes mais
graves, como extorsão contra essas empresas de saúde, ameaçando vazar dados
caso um determinado valor em dinheiro não seja pago”, detalha o consultor da
Redbelt Security.
Amorim chama a atenção para um aspecto da cibersegurança que
exige a atenção dos órgãos e empresas de saúde: a autorização. “Em nossa
análise, a autorização é o que falta dentro de boa parte dos sistemas de saúde
no Brasil hoje. Na prática, isso quer dizer que, basta ter um e-mail de um
funcionário de um hospital ou clínica para acessar qualquer informação que
exista no ambiente digital dessas instituições. O correto seria estabelecer uma
política de acesso para todos os colaboradores da empresa. Assim, cada usuário
terá uma autorização específica para acessar dados dentro do ambiente da
organização, limitando o que cada um pode acessar”, ressalta o especialista da
Redbelt Security.
Outra
prática de cibersegurança que deve ser contante nas empresas de saúde é a
realização de exercícios simulados de ataques cibernéticos, com o apoio de consultorias
especializadas em cibersegurança. Assim, as empresas de saúde conseguem
detectar as brechas que podem ser exploradas por criminosos cibernéticos antes
de quaisquer ataques. “Além disso, é preciso investir sempre em conscientização
dos colaboradores, para que as pessoas que trabalham nessas instituições e
empresas entendam os riscos de utilizar os e-mails corporativos fora do âmbito
do trabalho”, enfatiza Amorim.
Devido a gravidade das consequências de eventuais ciberataques,
não é à toa que, de acordo com a pesquisa da PwC Digital Trust Insights 2022,
as empresas de saúde nacionais investiram, em média, R$ 1,2
milhão em cibersegurança em 2022, valor 15% superior a 2021. O estudo também
revelou que 83% delas previam um aumento nestes gastos para este ano em função
de investimentos em digitalização, na adequação à Lei Geral de Proteção de
Dados (LGPD) e em solução para fazer frente à sofisticação dos ataques
cibernéticos.
“O aumento dos investimentos em cibersegurança no setor de saúde
brasileiro é um sinal positivo, pois demonstra que as empresas estão tomando
medidas para proteger seus sistemas e dados para que não seja atacados por
cibercriminosos. Porém, é fundamental que tenham uma orientação adequada sobre
como realizar estes investimentos para que tenham maior efetividade”, comenta
Amorim.
Algumas dicas específicas da Redbelt Security para melhorar a
cibersegurança no setor de saúde são:
- Use
autenticação multifatorial (MFA) – ela adiciona uma camada extra de
segurança ao exigir que os usuários forneçam duas ou mais formas de
identificação para acessar um sistema ou aplicativo.
- Implemente
criptografia para protege os dados contra acesso não autorizado.
- Mantenha
os sistemas atualizados - os fabricantes geralmente lançam atualizações de
segurança para corrigir vulnerabilidades conhecidas.
- Faça
backup regularmente – eles permitem que sejam restaurados os dados em caso
de ataque cibernético.
“Porém,
o mais importante é ter um plano de resposta a incidentes, que defina como a
empresa responderá a um ataque cibernético. Além disso, procure ter o apoio de
uma consultoria especializada, porque por mais preparadas que a equipe de TI e
segurança da informação internas estejam, os ataques estão cada vez mais
sofisticados e especialistas sempre podem ajudar a resolver o problema mais
rápido e reduzir os danos”, conclui Amorim.
Redbelt Security
Nenhum comentário:
Postar um comentário