Área da saúde é uma das mais visadas pelo cibercrime

Sensibilidade do serviço e fluxo intenso de dados pessoais ou críticos tornam o setor da saúde um dos mais visados pelo cibercrime, com ataques de ransomware e pedidos de resgate para retirar a criptografia instalada pelos malfeitores - que também podem solicitar quantias extras para não expor dados de pacientes (dupla extorsão) e cobram até mesmo para não expor dados íntimos, como sessões de terapia (tripla extorsão).

Em setembro, relatório mundial de vulnerabilidade na saúde da Veritas apontou média de 2,47 ataques de ransomware por organização, com suspensão de serviços, nos 12 meses anteriores, e 12% das empresas atingidas mais de cinco vezes. Entre os entrevistados, 48% acreditavam correr risco maior de segurança por iniciativas de transformação digital e só 70% avaliavam estar em dia com as medidas de segurança.

Ataques bem-sucedidos ilustram a importância de lidar com consequências com recursos como backup, avalia o country manager Brasil da Veritas, Gustavo Leite. Instituições do ramo são vistas como mais dispostas a pagar resgates, diz o engenheiro de segurança Thiago Mourão, da Check Point Software Brasil.

No Brasil, o setor foi o segundo mais atacado entre abril e setembro de 2021, com média de 1,7 mil ataques por semana, em ranking liderado pelo comércio (varejo e atacado), com 2,1 mil ocorrências. Na média global a saúde ficou em sétimo lugar, com mais de 900 ataques semanais, segundo dados da empresa.

A percepção de criticidade do segmento aumenta conforme o cuidado se desloca do atendimento ambulatorial a serviços de laboratório e hospitalares, dos mais usuais aos mais sensíveis. O desafio é somar segurança e questões de eficiência, celeridade, assertividade e escalabilidade, que direcionam o setor para adoção de tecnologia em atendimento, diagnóstico e tratamento, com aplicativos móveis, telemedicina, inteligência artificial e equipamentos médicos baseados em internet das coisas (IoT). “O risco é agravado pela LGPD e ainda maior em hospitais, com influência de fatores emocionais e necessidade de rapidez na reação”, diz Marcos Sêmola, sócio de cybersegurança da EY Brasil.

Para a CEO da BP - A Beneficência Portuguesa de São Paulo, Denise Santos, a segurança digital na área da saúde envolve proteção de informações e equipamentos eletrônicos contra acesso, uso e divulgação não autorizados, o que inclui prontuários eletrônicos, dispositivos de monitoramento de paciente, bombas de infusão, equipamentos de diagnóstico por imagem, sistemas inteligentes de aquecimento, elevadores inteligentes e dispositivos de IoT.

Além da segurança de equipamentos, ela destaca a questão cultural, com políticas de segurança da informação e investimentos técnicos, para monitoramento constante, atualização do parque de equipamentos, implementação de procedimentos de backup, simulações periódicas, treinamentos e plano de contingência.

Alvo de um ataque este ano, o Grupo Fleury sustenta que sua base de dados se manteve íntegra e os sistemas foram rapidamente restabelecidos. O grupo contratou PwC, Accenture, Proteus, IBM e Microsoft para assessorá-lo no episódio. “Temos perspectiva de recuperar parte dessas despesas com a nossa apólice de seguros”, explicou a CEO do Fleury, Jeane Tsutsui, na apresentação de resultados.

Fornecedoras do setor também ganham musculatura. A provedora de soluções de segurança Compugraf fez acordo com a Medigate, americana com solução projetada para proteção de equipamentos médico-hospitalares conectados na rede de dados dos hospitais. Ferramentas de microssegmentação, para decompor ambientes em pedacinhos menores, e visibilidade do parque tecnológico também são essenciais, diz o head de cibersegurança Denis Rivello.

Já a Philips, além da certificação ISO 27001, referente à gestão de segurança da informação, oferece soluções como HealthSuíte, plataforma para armazenar com segurança dados capturados pelos sistemas de gestão de saúde, com análise avançada e recursos de inteligência artificial, afirma Elton Tognon, líder da divisão de informatics da Philips do Brasil.