A indústria da saúde global é um dos grandes alvos de ciberataques. Hoje, as violações de informações causam prejuízos de até US$ 5,6 bilhões por ano – dados da Fasoo, entidade que pesquisa o setor nos EUA. Segundo órgãos do governo norte-americano, em 2015 aconteceram 253 violações de hospitais, clínicas e prestadores de serviços de saúde em geral. A divulgação de informações confidenciais sobre pacientes dessas entidades prejudicou diretamente cerca de 500 pessoas. As violações colocaram em poder de hackers e ciberativistas um volume de 112 milhões de informações do prontuário de pacientes. Isso inclui listas de medicamentos prescritos, descrição e justificação de cirurgias e de tratamentos, além de informações sobre pagamentos realizados ou devidos.
A extrema criticidade dos dados sobre a saúde de uma pessoa é o que torna as empresas do setor de saúde tão vulneráveis a ataques. Uma das formas mais comuns de violações é o sequestro (ransomware) do prontuário do paciente e o pedido de resgate. Em geral, o paciente nem fica sabendo do ocorrido, pois o hospital ou a clínica apressa-se a pagar o resgate para preservar tanto a reputação do paciente como a sua própria imagem no mercado de prestadores de serviços de saúde.
As consequências de uma violação de dados são desproporcionalmente altas para a indústria da saúde. Segundo o Instituto Ponemon, o custo médio per capita de uma violação de dados é R$ 600,00. Na vertical saúde, o custo per capita é de cerca de R$ 1000,00.
Diante desta realidade, vale a pena aprofundar as várias frentes de batalha enfrentadas pelos CISOs das empresas da vertical saúde:
1 – O próspero mercado negro de dados de saúde
Os dados sobre o estado de saúde das pessoas são muito valiosos para os hackers porque eles podem vendê-los por alto preço no mercado negro. Nos EUA, cada cadastro de paciente é vendido por mais de R$ 150,00. Isso é um alto valor, se compararmos essa marca com o que se paga por dados de um cartão de crédito pessoal – cerca de R$ 3,00. O objetivo dos hackers é ganhar muito dinheiro, realizando grandes violações em que ameaçam expor ou vender os dados de milhões de pessoas.
2 – Fraudes contra seguradoras geram riqueza para os criminosos
Isso não significa, no entanto, que os ciber criminosos só querem os dados para poder vendê-los. Os criminosos podem, também, usar os registros médicos para acionar de forma fraudulenta as seguradoras e sistemas de saúde governamentais. Eles podem roubar identidades de pacientes para, por exemplo, obter consultas ou tratamento gratuitos ou, ainda, acesso a receitas de medicamentos controlados.
3 – O grande dilema: dados na nuvem ou on premise?
A conformidade é uma das principais preocupações para qualquer organização de saúde. Esta realidade faz com que muitos provedores hesitem em atualizar-se ou mudar para novos sistemas de segurança. Esse é um grande problema para a indústria da saúde. As ameaças estão se tornando mais avançadas a cada dia e os sistemas de segurança de saúde precisam evoluir na mesma velocidade.
Os gateways de cloud data protection (CDP), por exemplo, proporcionam um controle flexível que protege as informações confidenciais antes de elas saírem de uma rede corporativa. O gateway intercepta as informações de saúde enquanto elas ainda estão on premise (no data center interno da empresa usuária) e as substitui por um valor tokenizado ou criptografado, que é então enviado para a nuvem. Dessa maneira, os dados que forem interceptados na nuvem não têm significado algum. Essas plataformas também garantem que os usuários finais mantenham a funcionalidade exigida de sua aplicação SaaS na nuvem, mesmo sobre dados fortemente criptografados ou tokenizados. Há também tecnologias que podem ser usadas para monitorar e rastrear continuamente arquivos em busca de dados de saúde e desencadear ações como impedi-los de ser enviados a ambientes de nuvem ou, simplesmente, alertar a TI de que as informações foram enviadas para a nuvem.
4 – A importância da criptografia
Políticas do governo norte-americano enfatizam o papel benéfico que pode ser desempenhado pela criptografia. A criptografia codifica os dados para que somente as partes autorizadas capazes de descriptografar as informações possam lê-las. Assim, ela não necessariamente impede alguém de interceptor os dados, mas impede alguém de vê-los. É essencial que chaves de criptografia sejam fisicamente mantidas e administradas pela equipe de TI de uma empresa de saúde. Isso não pode ser feito pelos próprios provedores de nuvem. A perda da propriedade das chaves de criptografia expõe a organização a riscos adicionais de divulgação de dados.
5 – Adeus ao imobilismo e ao medo
A extrema criticidade dos dados do setor de saúde pode levar o gestor da empresa desta vertical a um certo imobilismo, uma reação contra a digitalização de dados e serviços. A origem desta rigidez é o medo, e em nada colabora com a vitória do gestor na guerra cibernética. Em vez de resistir à transformação digital e à nuvem, seria melhor que CISOs e outros executivos das empresas do setor de serviços de saúde estudassem e fossem em direção às novas soluções de controle e proteção de dados – inclusive para a nuvem – que estão surgindo. Uma das ofertas mais estratégicas, segundo o Gartner, é o CASB (Cloud Access Security Broker). Essa plataforma dá visibilidade às ameaças contra a empresa de saúde, propiciando a detecção e a análise de malware. Tudo é feito para transformar a nuvem num ambiente controlado e seguro para as aplicações e os dados que formam o coração da empresa do setor de saúde.
Fica claro, portanto, que em vez de reagir contra a chegada do novo, melhor é antecipar estratégias digitais plenamente capazes de combater as novas e muito reais ameaças que, diariamente, se abatem sobre a vertical saúde.
* Marcos Oliveira é country manager da Blue Coat Brasil