O mundo digital traz mais agilidade, precisão, conectividade… e ameaças. Entenda como os perigos trazidos pela transformação digital afetam a área da saúde
Acessar histórico do paciente com mais facilidade, automatizar exames, tornar mais precisos procedimentos médicos por meio da computação e da robótica: as vantagens da transformação digital para a área da saúde são notáveis e variadas. Desde o atendimento até a gestão, a transição vem agregando eficiência e flexibilidade para esse mercado, beneficiando a vida de milhares de pessoas.
Contudo, a exemplo de outros setores, o aumento de aplicações digitais invariavelmente leva a um aumento na superfície para ataques cibernéticos. Isso, por sua vez, atrai um crescente número de agentes maliciosos, indivíduos ou organizações preparados para explorar esse cenário em troca de ganhos ilícitos.
Os números são claros: a consultoria Frost & Sullivan constatou um aumento de 715% em ataques de ransomware no mundo entre 2019 e 2020, sendo a área da saúde a mais afetada.
O setor da saúde está preparado para tal aumento de volume e sofisticação de ataques cibernéticos? Levantamento feito pelo Datafolha responde: 44% das empresas da saúde afirmam não se sentirem preparadas para lidar com estes desafios, apesar de 81% dos pesquisados avaliarem a cibersegurança como tema muito importante para o segmento e 54% afirmarem que o tema é muito discutido no setor.
Então, quais os problemas quando se trata de segurança contra ataques cibernéticos na saúde? É o que você verá neste artigo, que traz um quadro sobre o investimento em segurança, os motivos de a saúde ser uma dos alvos preferidos do cibercrime e os ataques mais sofridos.
O investimento do setor da saúde em segurança
De acordo com a pesquisa da Datafolha, embora 58% acreditem que o investimento em cibersegurança traga mais confiança, o tema não é prioridade no orçamento para 49% dos entrevistados.
A primeira consequência é que só 23% das empresas têm uma área para cibersegurança separada. A maioria (72%) tem nessa função profissionais de TI, isto é, profissionais de tecnologia que nem sempre são especialistas em cibersegurança.
Outra consequência é a falta de capacitação da equipe, mesmo que 46% tenham um política de cibersegurança. Apesar de as pessoas serem os principais alvos dos vetores de ataques cibernéticos, 60% dos pesquisados afirmam que a empresa não oferece nenhum treinamento em segurança para os profissionais.
Esta postura se traduz em uma defesa mais permeável, com ferramentas menos efetivas, equipes despreparadas para identificar ameaças e formação de silos de segurança, os quais ocasionam as brechas por onde os agentes maliciosos atuam. Ao serem comparadas com empresas de tecnologia ou de finanças, as empresas ligadas à saúde são um alvo muito mais fácil de ser atingido, e isso pesa na hora do planejamento dos cibercriminosos. Mas há outro motivos, como veremos na próxima seção.
Por que a área da saúde é o alvo preferido de ataques cibernéticos?
É inegável que a falta de investimento em tecnologia por parte das organizações tem um papel crítico nesse quadro. Mas que outros motivos?
Pode parecer contraintuitivo imaginar que agentes criminosos possam se interessar por uma área que não lida primordialmente com finanças. Por que, então, o setor se vê sob ataque de forma sistemática e em escala global?
Primeiro, pela necessidade de se manter operante ininterruptamente. Ameaças como o ransomware podem ser altamente rentáveis em setores críticos. Um caso recente na Irlanda mostra o impacto dramático que o ataque pode causar, motivando suas vítimas a pagar rapidamente o resgate para poder retomar suas atividades, o que significa salvar vidas. Assim, organizações que não contam com proteção avançada podem ser fáceis de serem atacadas e altamente dispostas a pagarem resgate por seus dados, tornando-se um alvo preferencial de criminosos.
Contudo, isso, por si só, não é o único fator de atração. As organizações do setor lidam com uma enorme quantidade de dados pessoais (as chamadas PII, em inglês, informações pessoais verificáveis), as quais são de interesse de grupos criminosos. Eles as usam para fraudes em outras instituições, chantagens e uma série de outras atividades ilícitas.
Outro ponto de interesse dos criminosos está dentro de um aspecto mais técnico. Com o crescimento da IoT no mundo todo, os smart devices carregam grande poder computacional, o qual nem sempre é acompanhado de uma proteção à altura. Estes equipamentos podem ser invadidos para realização de mineração de criptomoedas, prejudicando seu funcionamento, potencialmente expondo dados e comprometendo a integridade da segurança da instituição.
Leia mais: IoT nos hospitais: aplicações, benefícios e estratégia
Os principais tipos de ataques cibernéticos que o setor deve esperar
Com investimento baixo em segurança cibernética e sob o olhar dos cibercriminosos, que tipos de ataque o setor deve se preparar para lidar?
Os criminosos estão evoluindo suas táticas, de modo que o cenário dos perigos está sempre mudando. Ainda assim, é recomendável olhar com atenção para ameaças que tiveram uma escalada mundial nos últimos anos:
DDoS
Ataques direcionados de negação de serviço são um problema, pois podem prejudicar o agendamento e a entrega de exames, além de derrubar sites de serviço de hospitais e laboratórios. Estas ações vêm se tornando mais comum com a pandemia, diante de tecnologias como a telemedicina.
Phishing
Esta e outras ameaças por email visam o usuário, ao invés de sistemas. Buscam obter suas credenciais de acesso para dar ao criminoso uma entrada ilegítima a sistemas que contêm informações de pagamento e dados de pacientes para exploração posterior, roubo de propriedade intelectual e outros.
É um problema comum e grave no Brasil: segundo a Kaspersky, o país é líder em ataques realizados desta forma. Evitar este problema requer tanto treinamento da equipe para identificar este tipo de golpe quanto investimento em ferramentas de proteção para prevenir e remediar seus efeitos.
Botnet
Os bots podem ser usados para atacar instituições por meio de distribuição de malware, realizando ataques de DDoS e outros, de modo que são formas de massificar as ações e maximizar seu impacto, por isso são perigosos.
Os equipamentos, computadores e servidores dos hospitais e empresas do ramo podem ser atacadas para instalação de bots, fazendo com que se tornem, involuntariamente, parte do arsenal de opções de criminosos contra outras instituições.
Agentes internos
Boa parte das ameaças está, de alguma forma relacionada ao fator humano, seja no papel de vítima, como no caso de phishing, seja como um agente infiltrado na empresa.
Segundo estudo da operadora de telecomunicações Verizon, até 22% das ações cibernéticas são executadas por funcionários da própria empresa que abusam de suas credenciais de acesso para favorecer terceiros mal-intencionados, em geral para ganho financeiro.
As defesas contra a nova era de ataques cibernéticos
O perigo de ataques cibernéticos, como se pode constatar, é real e, como tal, precisa ser enxergado como uma das prioridades do setor.
O primeiro grande passo é manter a conscientização de todos com relação ao papel do indivíduo na manutenção de um ambiente seguro para todos. Isso requer uma colaboração entre diversas áreas, incluindo comunicação, RH, TI e outras para formar bons programas de treinamento, gerar engajamento e trazer resultados efetivos e duradouros.
Além disso, é crucial investir em soluções integradas, inteligentes e que tragam as ferramentas mais recentes para fazer frente às ameaças. Este tipo de investimento tem sido cada vez mais percebido como uma fonte de economia, ao invés de gasto, na medida em que evita multas diante da LGPD já em vigor e perdas com processos por vazamento de dados sensíveis do paciente.
Finalmente, sempre é importante trabalhar sua transformação digital com um parceiro que entenda tanto da parte técnica, no desenvolvimento de projetos e aplicações sólidas e efetivas, mas também dos desafios e peculiaridades de seu mercado. Assim, sua jornada rumo à digitalização se torna mais fluida, com mais atenção a detalhes de conformidade às normas de seu setor e mais adequação às suas necessidades.
Fale com nossos especialistas e entenda como poderemos levar seu negócio para a era da transformação digital com agilidade, profissionalismo e segurança para você, seus clientes e pacientes.
