Segundo a Redbelt Security, hospitais, clínicas, operadoras de planos de saúde e indústrias farmacêuticas têm muitas falhas nos sistemas de controle de acesso e de cadastro de pacientes, que podem servir de porta de entrada para ataques cibernéticos
A cibersegurança é uma questão de importância crítica no setor de saúde, pois envolve a proteção de sistemas, redes, dados e dispositivos médicos, que armazenam informações confidenciais sobre as empresas, seus colaboradores, parceiros e pacientes – como prontuários médicos, diagnósticos e tratamentos. Esses dados podem ser usados para fins maliciosos, como roubo de identidade, chantagem ou até mesmo danos físicos, e, justamente por sua criticidade, precisam e devem ser protegidos contra eventuais ataques cibernéticos.
“As empresas do setor de saúde são alvos muito atraentes para os cibercriminosos por diversos motivos, porque têm orçamentos limitados para cibersegurança, sistemas complexos, que podem ser difíceis de proteger, e dados muito valiosos se usados para fins ilícitos”, afirma William Amorim, especialista em cibersegurança da Redeblt Security.
Os ataques cibernéticos ao setor de saúde podem causar uma série de danos, incluindo: violação de dados – com vazamento de informações médicas, que pode ter sérias consequências para as pessoas, como roubo de identidade, chantagem e danos à reputação; Interrupção dos serviços – o que pode colocar em risco a vida dos pacientes em risco; extorsão – com exigência de um resgate pelos cibercriminosos para restaurar o acesso aos sistemas ou dados.
Segundo levantamento da Redbelt Security, de cada cinco empresas do setor de saúde (hospitais, clínicas, operadoras de planos de saúde e farmacêuticas), quatro apresentam problemas com controle de acesso e cadastros. “Em nossa avaliação, essa é uma das principais vulnerabilidades, da qual decorrem a maior parte dos ataques ao setor de saúde no País, alerta Amorim. O especialista lembra que apenas no primeiro semestre de 2023, em todo o mundo,10,9% dos ciberataques foram direcionados para o setor de saúde, porcentagem que no Brasil já chegou a 12% no mesmo período.
Os problemas no controle de acesso podem ser considerados casos em que o acesso às informações de parceiros, funcionários e pacientes não estão bem protegidas. “Em alguns casos, dados de funcionários (login e senha corporativos) acabam ficando expostos na internet por problemas de desenvolvimento de aplicativos ou plataformas utilizadas por essas empresas, ou porque eles utilizaram seus e-mails corporativos para inúmeras tarefas pessoais, como, por exemplo, criar contas em sites de varejo”, explica Amorim.
O especialista da Redbelt Security explica que, ao ter acesso a esses dados de cadastro de controle de acesso, os hackers podem, por exemplo, solicitar reembolsos de planos de saúde em nome de pacientes legítimos ou acessar dados de diversos clientes, como fotos de documentos, contas de luz e de água, e certidões de casamentos, que podem ser usados para fraudes. “No geral, hackers costumam roubar dados assim para vender em fóruns criminosos na Dark Web. Outros criminosos compram esses dados para aplicar golpes mais graves, como extorsão contra essas empresas de saúde, ameaçando vazar dados caso um determinado valor em dinheiro não seja pago”, detalha o consultor da Redbelt Security.
Amorim chama a atenção para um aspecto da cibersegurança que exige a atenção dos órgãos e empresas de saúde: a autorização. “Em nossa análise, a autorização é o que falta dentro de boa parte dos sistemas de saúde no Brasil hoje. Na prática, isso quer dizer que, basta ter um e-mail de um funcionário de um hospital ou clínica para acessar qualquer informação que exista no ambiente digital dessas instituições. O correto seria estabelecer uma política de acesso para todos os colaboradores da empresa. Assim, cada usuário terá uma autorização específica para acessar dados dentro do ambiente da organização, limitando o que cada um pode acessar”, ressalta o especialista da Redbelt Security.
Outra prática de cibersegurança que deve ser contante nas empresas de saúde é a realização de exercícios simulados de ataques cibernéticos, com o apoio de consultorias especializadas em cibersegurança. Assim, as empresas de saúde conseguem detectar as brechas que podem ser exploradas por criminosos cibernéticos antes de quaisquer ataques. “Além disso, é preciso investir sempre em conscientização dos colaboradores, para que as pessoas que trabalham nessas instituições e empresas entendam os riscos de utilizar os e-mails corporativos fora do âmbito do trabalho”, enfatiza Amorim.
Devido a gravidade das consequências de eventuais ciberataques, não é à toa que, de acordo com a pesquisa da PwC Digital Trust Insights 2022, as empresas de saúde nacionais investiram, em média, R$ 1,2 milhão em cibersegurança em 2022, valor 15% superior a 2021. O estudo também revelou que 83% delas previam um aumento nestes gastos para este ano em função de investimentos em digitalização, na adequação à Lei Geral de Proteção de Dados (LGPD) e em solução para fazer frente à sofisticação dos ataques cibernéticos.
“O aumento dos investimentos em cibersegurança no setor de saúde brasileiro é um sinal positivo, pois demonstra que as empresas estão tomando medidas para proteger seus sistemas e dados para que não seja atacados por cibercriminosos. Porém, é fundamental que tenham uma orientação adequada sobre como realizar estes investimentos para que tenham maior efetividade”, comenta Amorim.
Algumas dicas específicas da Redbelt Security para melhorar a cibersegurança no setor de saúde são:
- Use autenticação multifatorial (MFA) – ela adiciona uma camada extra de segurança ao exigir que os usuários forneçam duas ou mais formas de identificação para acessar um sistema ou aplicativo.
- Implemente criptografia para protege os dados contra acesso não autorizado.
- Mantenha os sistemas atualizados – os fabricantes geralmente lançam atualizações de segurança para corrigir vulnerabilidades conhecidas.
- Faça backup regularmente – eles permitem que sejam restaurados os dados em caso de ataque cibernético.
“Porém, o mais importante é ter um plano de resposta a incidentes, que defina como a empresa responderá a um ataque cibernético. Além disso, procure ter o apoio de uma consultoria especializada, porque por mais preparadas que a equipe de TI e segurança da informação internas estejam, os ataques estão cada vez mais sofisticados e especialistas sempre podem ajudar a resolver o problema mais rápido e reduzir os danos”, conclui Amorim.