Como os ciberataques afetam o setor de saúde e o que pode ser feito para mitigar os riscos?
Você pode ou não saber que o setor de Healthcare paga o
preço mais alto para ataques cibernéticos em comparação com qualquer outro
setor - com a indústria relatando uma perda média impressionante de US$ 10,93
milhões por violação em 2023. Isso é quase o dobro da próxima “vítima” mais
pagadora, o setor financeiro, que teve uma perda média de US$ 5,9 milhões por
violação.
A saúde é um alvo principal devido à abundância de dados pessoais
e sensíveis que o setor trata, o que significa haver menos margem para ajustes.
Um exemplo recente de um ataque inclui o suposto pagamento de cerca de US$ 22
milhões em bitcoin pela UnitedHealth - multinacional americana
diversificada de cuidados de saúde e bem-estar - ao grupo de
ransomware denominado Blackcat (também conhecido como ALPHV) após
uma grande violação de dados.
Os ataques cibernéticos na área da saúde tiveram um aumento
acentuado durante a pandemia da Covid-19. Uma pesquisa em grande escala de 2021
nos Estados Unidos viu aproximadamente 43% dos entrevistados relatar que foram
submetidos a dois ataques de ransomware nos dois anos anteriores. De
acordo com um relatório separado, em novembro de 2023, quase 60% das
organizações de saúde em todo o mundo sofreram um ataque cibernético nos
últimos 12 meses. Desses 60%, os cibercriminosos tiveram o poder de
criptografar com sucesso quase 75% dos dados em ataques de ransomware.
O mercado de saúde no Brasil viu um rápido crescimento e mudanças
durante a pandemia de Covid-19. Antes da crise sanitária global, a indústria
gerava mais de US$ 117 milhões por ano. O impacto do novo coronavírus na
assistência à saúde aumentou a busca por soluções tecnológicas que possam
proporcionar mais agilidade, qualidade e suporte ao tratamento.
Segundo um levantamento da Kaspersky, com 483 mil detecções
de ransomware no Brasil em 2023, além dos 106 mil de 2024 (foram 800
bloqueios de ataques diários em 2024, que totalizam mais de 106 mil tentativas
de golpe desde janeiro) apontam o foco para os setores de ataque do cibercrime,
que se modificaram desde o ano anterior não só no país, mas também na América
Latina – com o setor da saúde em terceiro entre os mais atacados de 2024 na
região. Nos Estados Unidos, esse mesmo setor se mantém em primeiro lugar desde
2023.
O aumento dos ataques também foi acompanhado por uma diminuição
acentuada da confiança que muitas organizações têm na sua capacidade de lidar
com as consequências de um ataque. Um relatório da Organização Mundial de Saúde
afirmou que “curiosamente”, a proporção de inquiridos que não tinham confiança
na capacidade da sua organização para gerir os riscos associados a ataques de ransomware
aumentou durante 2020-2021 para 61%, contra 55% antes da pandemia.
Com este aumento dos crimes cibernéticos e a queda dos níveis de
confiança, é mais importante do que nunca que as organizações compreendam os
impactos que os ataques podem ter e o que podem fazer para mitigar os riscos,
especialmente no setor da saúde.
Os ciberataques nos cuidados de saúde podem afetar diretamente os
serviços prestados aos doentes. Além disso, uma vez comprometidos os dados,
estes podem ser divulgados na dark web. Devido à natureza sensível
destes dados, estes ataques podem conduzir a violações de privacidade extremas,
nas quais os dados relacionados com os cuidados de saúde são comprometidos e
divulgados ao público.
Os fatores que contribuem para essas vulnerabilidades incluem uma
má compreensão dos riscos no ambiente, falta de “educação tecnológica” para os
usuários e, em alguns casos, falta de financiamento e experiência para lidar
com essas vulnerabilidades. As principais atividades de mitigação incluem a
compreensão adequada dos principais riscos cibernéticos, o financiamento
adequado sendo disponibilizado e uma forte cultura de segurança cibernética
sendo colocada por meio de boa educação e treinamento do usuário.
A introdução da Inteligência Artificial (IA) também criou mais
rotas para os malfeitores atacarem e violarem. Estes variam desde o uso de IA
criado deep fakes para obter credenciais de login até o uso de IA para
verificar vulnerabilidades e direcioná-los para ser explorada.
O custo substancial de violações de dados, interrupção dos
serviços e risco potencial para os pacientes sublinham a necessidade urgente de
medidas de segurança cibernética aprimoradas. Os ataques hackers vêm
exigindo mudanças rápidas na área da saúde: elas envolvem investimento pesado
em cibersegurança, com a criação de camadas de proteção e vigilância contínua.
Em todo o mundo, as exigências de compliance são numerosas.
Nos Estados Unidos, a Lei de Portabilidade e Responsabilidade do Seguro Médico
(HIPAA), de 1996, é talvez a mais proeminente, estabelecendo várias diretrizes
e requisitos de proteção. Na Europa, o Regulamento Geral de Proteção de Dados
(GDPR) se estende ao setor de saúde. Já no Brasil, a Lei Geral de Proteção de
Dados (LGPD) entrou em vigor em 2020 para regulamentar a coleta e o tratamento
das informações fornecidas pela população na internet. A multa por infração às
regras pode chegar a R$ 50 milhões.
Ao implementar uma educação robusta do usuário, implantar soluções
tecnológicas confiáveis e aderir às regulamentações de privacidade de dados, as
organizações de saúde podem reduzir significativamente sua vulnerabilidade e
proteger informações confidenciais dos pacientes.
Nenhum comentário:
Postar um comentário