Saiba como evitar os principais riscos cibernéticos no setor de saúde
CategoriesSem categoria

Saiba como evitar os principais riscos cibernéticos no setor de saúde

O setor de saúde, um dos mais regulados globalmente, vem abraçando a transformação digital, em todo o mundo, entregando cada vez mais valor para os pacientes, na forma de tratamentos inovadores e ações interdisciplinares. Mas essa abordagem requer a implantação de tecnologias digitais que permitam o compartilhamento de dados e os hackers estão atentos a esse crescimento no tráfego de dados. Com isso, os riscos cibernéticos no setor de saúde não param de crescer e os criminosos digitais estão cada vez mais agressivos e ágeis na invasão de sistemas e roubos de dados.

O Certamente, Brasil irá ganhar mais importância no mapa dos riscos cibernéticos no setor de saúde. No início de 2018, a Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática aprovou o armazenamento eletrônicos de prontuários médicos. Atualmente, os hospitais são obrigados por lei a manter os prontuários manuscritos dos pacientes por 20 anos. De acordo com o texto do projeto, que ainda necessita da aprovação da Câmara dos Deputados, a digitalização do prontuário será realizada para assegurar a integridade, autenticidade e confidencialidade do documento e, também um passo importante para a implantação do prontuário eletrônico – um modelo de prontuário médico digital padronizado – em todas as instituições de saúde.

Por enquanto, os hackers estão efetuando ataques direcionados às redes, como o que afetou em 2017 o sistema de um hospital no interior de São Paulo, prejudicando a realização de exames. Os criminosos exigiram o pagamento de resgate de US$ 300 por computador, que deveriam ser pagos em bitcoins.

Prós e contras

Se por um lado a digitalização reduz custos e garante maior eficiência no atendimento ao paciente, por outro aumenta os riscos cibernéticos no setor de saúde em todo o mundo. Para se ter uma ideia do perigo em relação ao furto de prontuários eletrônicos, o roubo de um único laptop em uma clínica de dermatologia ligada ao sistema UNC Health Care, nos Estados Unidos, resultou no vazamento de pelo menos 30 mil fichas médicas, com informações pessoais como número do seguro social.

Na rede Community Health Systems, também nos EUA, hackers invadiram a rede e roubaram dados de 4,5 milhões de pacientes, incluindo os números do seguro social, seus endereços, datas de nascimento e números de telefone. Com isso, todos passaram a correr alto risco de serem vítimas de fraude, já que os criminosos podiam usar o número do seguro social para abrir contas no nome de outra pessoa, e até pedir cartões de crédito e empréstimos bancários.

Além disso, se o ataque deixar o sistema indisponível, a falta de acesso aos dados corretos de tratamento ou a perda de controle sobre um equipamento pode resultar até na morte de um paciente.

Risco cibernético no setor de saúde não para de crescer

Segundo uma pesquisa da consultoria KPMG, as instituições de saúde registraram entre 2016 e 2017 um grande aumento no número de invasões e comprometimento de dados, e 47% confirmaram que foram alvo de ataques, ante os 37% reportados em 2015.

Segundo os analistas da KPMG, as principais razões para o aumento do risco cibernético no setor de saúde são:

  • Adoção de registros digitais de pacientes e a automação de sistemas clínicos
  • Uso inadequado dos registros eletrônicos médicos
  • Facilidade de distribuição de informações eletrônicas de saúde internamente (via dispositivos móveis) e externamente (empresas de terceiros e serviços em nuvem)
  • Natureza heterogênea dos sistemas em rede e aplicações, o queO setor de saúde, um dos mais regulados globalmente, vem abraçando a transformação digital, em todo o mundo, entregando cada vez mais valor para os pacientes, na forma de tratamentos inovadores e ações interdisciplinares. Mas essa abordagem requer a implantação de tecnologias digitais que permitam o compartilhamento de dados e os hackers estão atentos a esse crescimento no tráfego de dados. Com isso, os riscos cibernéticos no setor de saúde não param de crescer e os criminosos digitais estão cada vez mais agressivos e ágeis na invasão de sistemas e roubos de dados.

    O Certamente, Brasil irá ganhar mais importância no mapa dos riscos cibernéticos no setor de saúde. No início de 2018, a Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática aprovou o armazenamento eletrônicos de prontuários médicos. Atualmente, os hospitais são obrigados por lei a manter os prontuários manuscritos dos pacientes por 20 anos. De acordo com o texto do projeto, que ainda necessita da aprovação da Câmara dos Deputados, a digitalização do prontuário será realizada para assegurar a integridade, autenticidade e confidencialidade do documento e, também um passo importante para a implantação do prontuário eletrônico – um modelo de prontuário médico digital padronizado – em todas as instituições de saúde.

    Por enquanto, os hackers estão efetuando ataques direcionados às redes, como o que afetou em 2017 o sistema de um hospital no interior de São Paulo, prejudicando a realização de exames. Os criminosos exigiram o pagamento de resgate de US$ 300 por computador, que deveriam ser pagos em bitcoins.

    Prós e contras

    Se por um lado a digitalização reduz custos e garante maior eficiência no atendimento ao paciente, por outro aumenta os riscos cibernéticos no setor de saúde em todo o mundo. Para se ter uma ideia do perigo em relação ao furto de prontuários eletrônicos, o roubo de um único laptop em uma clínica de dermatologia ligada ao sistema UNC Health Care, nos Estados Unidos, resultou no vazamento de pelo menos 30 mil fichas médicas, com informações pessoais como número do seguro social.

    Na rede Community Health Systems, também nos EUA, hackers invadiram a rede e roubaram dados de 4,5 milhões de pacientes, incluindo os números do seguro social, seus endereços, datas de nascimento e números de telefone. Com isso, todos passaram a correr alto risco de serem vítimas de fraude, já que os criminosos podiam usar o número do seguro social para abrir contas no nome de outra pessoa, e até pedir cartões de crédito e empréstimos bancários.

    Além disso, se o ataque deixar o sistema indisponível, a falta de acesso aos dados corretos de tratamento ou a perda de controle sobre um equipamento pode resultar até na morte de um paciente.

    Risco cibernético no setor de saúde não para de crescer

    Segundo uma pesquisa da consultoria KPMG, as instituições de saúde registraram entre 2016 e 2017 um grande aumento no número de invasões e comprometimento de dados, e 47% confirmaram que foram alvo de ataques, ante os 37% reportados em 2015.

    Segundo os analistas da KPMG, as principais razões para o aumento do risco cibernético no setor de saúde são:

    • Adoção de registros digitais de pacientes e a automação de sistemas clínicos
    • Uso inadequado dos registros eletrônicos médicos
    • Facilidade de distribuição de informações eletrônicas de saúde internamente (via dispositivos móveis) e externamente (empresas de terceiros e serviços em nuvem)
    • Natureza heterogênea dos sistemas em rede e aplicações, o que facilita a intrusão
    • Aumento do valor de dados no mercado negro onde cada cadastro de paciente é vendido por cerca de R$ 150,00, enquanto os dados de um cartão de crédito valem R$ 3,00. Além disso, as informações pessoais não podem ser facilmente alteradas como é o simples cancelamento de um cartão de crédito

     

    A pesquisa da KPMG também identificou que 87% das instituições têm a capacidade de identificar um evento, mas apenas 59% conseguem gerenciar o risco de forma proativa. Os testes de intrusão, que identificam as vulnerabilidades em sistemas e aplicações e avaliam, sob a ótica do hacker, quais são os maiores riscos, permitem adotar uma abordagem proativa.

     

    O elo mais fraco da cadeia

     

    Os profissionais responsáveis pela segurança em hospitais, clínicas e planos estão cientes de que a equipe interna é um grande problema quando se pensa em riscos cibernéticos no setor de saúde. Mais da metade das organizações pesquisadas pela KMPG já foi alvo de uma violação de dados por conta de um funcionário ser vítima de um ataque phishing e mais de um terço tive informações roubadas por um empregado insatisfeito.

     

    Um grande ataque pode começar com o envio de um e-mail phishing, que no ato do “clique aqui” acaba por instalar um software malicioso e o criminoso passa a ter o total controle da máquina.

     

    Por conta disso, os analistas afirmam que a implantação de processos formais e de inovadoras e robustas tecnologias são críticas para a segurança cibernética. Além do treinamento constante dos funcionários, é importante investir em tecnologias de segurança como o serviço de quebra de senha, executando, em ambiente seguro e controlado, o ataque a essas senhas utilizando os mesmos métodos que os hackers.facilita a intrusão

  • Aumento do valor de dados no mercado negro onde cada cadastro de paciente é vendido por cerca de R$ 150,00, enquanto os dados de um cartão de crédito valem R$ 3,00. Além disso, as informações pessoais não podem ser facilmente alteradas como é o simples cancelamento de um cartão de crédito

 

A pesquisa da KPMG também identificou que 87% das instituições têm a capacidade de identificar um evento, mas apenas 59% conseguem gerenciar o risco de forma proativa. Os testes de intrusão, que identificam as vulnerabilidades em sistemas e aplicações e avaliam, sob a ótica do hacker, quais são os maiores riscos, permitem adotar uma abordagem proativa.

 

O elo mais fraco da cadeia

 

Os profissionais responsáveis pela segurança em hospitais, clínicas e planos estão cientes de que a equipe interna é um grande problema quando se pensa em riscos cibernéticos no setor de saúde. Mais da metade das organizações pesquisadas pela KMPG já foi alvo de uma violação de dados por conta de um funcionário ser vítima de um ataque phishing e mais de um terço tive informações roubadas por um empregado insatisfeito.

 

Um grande ataque pode começar com o envio de um e-mail phishing, que no ato do “clique aqui” acaba por instalar um software malicioso e o criminoso passa a ter o total controle da máquina.

 

Por conta disso, os analistas afirmam que a implantação de processos formais e de inovadoras e robustas tecnologias são críticas para a segurança cibernética. Além do treinamento constante dos funcionários, é importante investir em tecnologias de segurança como o serviço de quebra de senha, executando, em ambiente seguro e controlado, o ataque a essas senhas utilizando os mesmos métodos que os hackers.