Manter informações sigilosas protegidas e em segurança é um desafio para empresas de todos os segmentos de negócios. E no setor da saúde não é diferente. Pesquisa realizada pela KPMG aponta que 81% das organizações desta área já foram comprometidas, ao menos uma vez, por malware, botnet ou outro tipo de ciberataque em um período de dois anos. Já um estudo sobre ransomware, organizado pela BitSight Insight em 2016, aponta que as organizações de saúde aparecem na terceira posição como alvo preferido de ataques e fraudes.
Alguns fatores contribuem para que este setor seja um alvo cada vez mais frequente dos cibercriminosos, conforme explica Rogério Reis, diretor de Operações da Arcon. “Isso ocorre porque, para os hackers, os dados de pacientes são extremamente críticos e valorizados. Por exemplo, no mercado negro, cada cadastro de paciente é vendido por um valor acima de R$ 150,00 enquanto o valor pago pelos dados de um cartão de crédito pessoal é de R$ 3,00”. Já no outro lado, os hospitais também estão mais propensos a aceitar chantagens.
“Em seus sistemas constam informações centralizadas sobre a saúde dos pacientes ou, até mesmo, acesso aos equipamentos que controlam um procedimento. O risco é significativo para as instituições e, consequentemente, aos seus pacientes. Muito mais que uma questão de privacidade, é uma questão de disponibilidade e integridade dos dados. Ficar sem acessos aos dados corretos de tratamento de um paciente ou perder o controle sobre um equipamento, em alguns casos, pode custar até vidas”, alerta o executivo.
O fato é que hospitais e instituições de saúde têm se mostrado vulneráveis à ataques internos e externos. Metade das instituições de saúde no mundo registraram incidentes relacionados à perda ou exposição de informações de pacientes no período de 12 meses. Nos Estados Unidos, ocorreram 253 violações de informações em hospitais, clínicas e prestadores de serviços de saúde em 2015. Os prejuízos por ano nesse país chegam a US$ 5,6 bilhões. Já no Brasil, algumas instituições renomadas sofreram com o ataque de uma variante do vírus Petya, logo após o WannaCry, que afetou computadores e sistemas, ocasionando a suspensão de centenas de exames, atendimentos e consultas.
Além das invasões aos sistemas com bloqueio dos dados e solicitações de resgates (ransomware), há outro golpe que vem chamando a atenção. Hackers conseguem acesso aos prontuários e familiares de pacientes internados sofrem golpes por telefone com a solicitação de pagamentos dos procedimentos hospitalares. Ou seja, por falhas nos sistemas de segurança da informação ou na conduta dos profissionais, os criminosos se beneficiam. Recentemente, órgãos de defesa do consumidor apontaram que as instituições hospitalares devem ser responsabilizadas e arcar com os danos e prejuízos gerados aos pacientes, independentemente dos avisos utilizados pelos hospitais para alertarem aos pacientes sobre os golpes.
O fator humano também contribui para este cenário negativo. Segundo pesquisa do Instituto Ponemon, aproximadamente 40% dos profissionais que deveriam proteger os dados contra ciberataques, em empresas do setor de saúde, não sabem como fazê-lo. Para uma reversão deste cenário, Rogério Reis esclarece que as organizações que lidam com dados extremamente críticos devem priorizar a adoção de medidas preventivas. “É fundamental contar com uma infraestrutura tecnológica moderna que supre as necessidades da instituição, avaliar as vulnerabilidades dos sistemas, implementar controle de acesso às informações dos pacientes e adotar política de uso de dispositivos móveis, além de treinar os colaboradores quanto à cibersegurança”.
É preciso que os profissionais responsáveis pela segurança da informação nessas instituições compreendam a dimensão dos riscos envolvidos e trabalhem com agilidade. Além do impacto direto no negócio, ciberataques podem causar prejuízos financeiros e afetar a reputação dessas instituições. Para mitigar os riscos, prevenção é o melhor remédio.