Elevado interesse do cibercrime pelas instituições de saúde é devido à alta taxa de probabilidade de que o resgate será pago. De acordo com dados globais recentes, esse setor amargou um aumento anual de 78% nos ciberataques em 2022, com uma média de 1.426 tentativas de violação por semana, uma estatística preocupante dada a criticidade dos serviços de saúde
A Check Point Software faz um alerta ao setor de saúde quanto a aumentar urgentemente suas defesas de segurança cibernética. Dados globais recentes da empresa apontam que o setor amargou um aumento anual de 78% nos ciberataques em 2022, com uma média de 1.426 tentativas de violação por semana, uma estatística preocupante dada a criticidade dos serviços de saúde.
No Brasil, uma organização do setor de saúde foi atacada em média 1.800 vezes por semana nos últimos seis meses (outubro de 2022 – março de 2023). A vítima mais recente foi o Hospital Universitário da USP (Universidade de São Paulo) que sofreu um ataque cibernético no último dia 23 de março, paralisando vários serviços e prejudicando o atendimento à população na cidade de São Paulo.
Em seu Relatório de Cibersegurança de 2023, a Check Point Software identificou que esse “hiper” foco em interromper uma infraestrutura nacional decorre não apenas do apelo de obter acesso aos dados e registros médicos mais confidenciais, mas também da garantia de cobertura da mídia. Ambos os fatores colocam as vítimas (instituições de saúde) sob imensa pressão, aumentando a taxa de probabilidade de que o resgate será pago.
Não se pode exagerar que, quando se trata de ataques cibernéticos no setor da saúde, é uma questão de vida ou morte. Na verdade, uma pesquisa realizada pelo Ponemon Institute descobriu que mais de 20% das organizações de saúde relataram um aumento nas taxas de mortalidade de pacientes após sofrer uma violação.
O setor de saúde é vulnerável por vários motivos. Em primeiro lugar, o aumento da sofisticação e da quantidade de ataques cibernéticos não é uma ameaça com a qual essas organizações foram criadas para lidar. Muitos hospitais contam com uma mistura de tecnologias antigas e novas, a maioria das quais não são gerenciadas diretamente ou esquecidas devido à documentação inadequada. Esse problema só aumentou com o tempo à medida que mais IoT e dispositivos médicos são adicionados, apesar de raramente serem construídos com segurança por design e há a preocupação por não serem gerenciados ativamente pela equipe de TI. A atual escassez de habilidades em segurança cibernética também significa que há falta de experiência para ajudar a gerenciar essa superfície de ataque cada vez maior.
Apesar desses desafios, existem tecnologias e estratégias que podem ajudar a proteger as instituições e os profissionais de saúde. Aqui estão cinco elementos-chave que toda organização deve seguir para garantir a segurança máxima:
1. Comunicação: As empresas precisam educar os funcionários sobre como se manter em segurança. Se não for gerenciado adequadamente, qualquer dispositivo que tenha acesso a uma rede é uma porta de entrada para cibercriminosos para todos os dispositivos conectados. Esse problema se multiplicou com práticas de trabalho híbrido e remoto e uma proliferação de dispositivos móveis pessoais sendo usados para acessar dados médicos em e-mail e ambiente Microsoft 365.
2. Visibilidade e segmentação: é impossível proteger com sucesso uma rede sem entender todos os ativos que ela contém. Ter uma visão abrangente, incluindo ativos de nuvem e data center, exporá quaisquer pontos fracos, como possíveis atualizações de segurança sem patches ou dispositivos com firmware desatualizado. Uma vez mapeada a rede, estratégias como a segmentação podem ser implementadas, o que cria barreiras internas virtuais que impedem que atacantes se movam lateralmente e causem danos generalizados.
3. A segurança consolidada agora é obrigatória: com o e-mail continuando a ser o vetor de ameaça número 1, seguido de perto por vulnerabilidades e configurações incorretas, uma estratégia de implementação de várias soluções de ponto único não é mais uma proteção adequada. As operações de segurança precisam de visibilidade total de ponta a ponta, menos falsos positivos e confiança absoluta de que todos os vetores têm o mesmo nível elevado de inteligência de ameaças compartilhada e segurança baseada em prevenção, garantindo que todas as ameaças potenciais sejam cobertas.
4. CISOs devem fazer sua parte: o papel de um CISO é garantir que a gerência executiva tenha uma compreensão clara e articulada dos riscos que uma organização enfrenta. O trabalho deles é esclarecer esses pontos em uma linguagem fácil de entender para todos os cargos, bem como explicar as consequências de uma segurança fraca para a organização. Se houver uma falta geral de comunicação entre os CISOs e os negócios, isso deve mudar para proteger melhor os serviços críticos.
5. Colaboração é fundamental: empresas de todos os setores precisam elevar seus programas de segurança cibernética, mas não podem fazer isso sozinhas. Os fornecedores de segurança precisam trabalhar juntos para criar cobertura unificada contra ameaças, e um órgão regulador unificado deve ser adotado para ajudar a implementar práticas padrão e reduzir as disparidades nos gastos com segurança cibernética.
“Muitas organizações do setor de saúde têm um bom gerenciamento de riscos, mas carecem de uma estratégia consolidada, colaborativa e abrangente que ofereça verdadeira resiliência de segurança cibernética. O nível de ameaça continua a crescer e as consequências só podem ficar mais sérias”, ressalta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
“Esses ataques podem não só atrapalhar as operações dessas organizações de saúde, mas levar à perda de vidas se os serviços forem impedidos de serem prestados. É necessário ter soluções para agir imediatamente, mas, acima de tudo, garantir a prevenção de tais ataques em primeiro lugar, em vez de apenas detecção”, completa Falchi.