Cybersegurança e proteção de dados no setor da saúde




O relatório Panorama de Ameaças 2021 da Kaspersky, levantamento realizado pela equipe de Pesquisa e Análise da empresa na América Latina, apontou um aumento de 23% dos ciberataques no Brasil nos oito primeiros meses de 2021, em comparação ao mesmo período do ano anterior. O estudo anual leva em conta os 20 malwares mais populares que, juntos, totalizaram 481 milhões de tentativas de infecção – média de 1.395 bloqueios por minuto.


O Panorama concluiu que as empresas não souberam realizar a migração para o ambiente de trabalho remoto de forma segura, expondo as empresas a ataques que exploram vulnerabilidades nas tecnologias de acesso remoto ou tentam adivinhar as senhas de acesso da máquina ou servidor conectado na internet, com o objetivo de entrar na rede das empresas para roubar dados e extorqui-las. Somente nestes casos, foi verificado um aumento de 78% no período, sendo o Brasil o país mais atacado (mais de 5 milhões de tentativas de ataques neste ano)


Certamente a pandemia ampliou a vulnerabilidade do setor da saúde, pois muitas adaptações e investimentos em novas tecnologias foram feitos para garantir a continuidade da assistência e cuidado em uma circunstância em que as pessoas precisaram adotar medidas como distanciamento social e isolamento, como plataformas de telemedicina e seus benefícios.


A área da saúde precisou se preocupar em salvar vidas, buscar soluções científicas para o combate ao novo coronavírus, sem a mesma disponibilidade para investir em adequações com a LGPD, que entrou plenamente em vigor durante a pandemia. Dados pessoais sensíveis como os de saúde, altamente discriminatórios e muito visados pelo cibercrime passaram a circular ativamente pela internet.


Muitas healthtechs que oferecem soluções tecnológicas precisaram ser contratadas como operadores de dados, pois elas acessam dados de saúde mesmo sem ter natureza jurídica voltada para a prestação de serviço de saúde. É um setor que precisa urgentemente revisar seus processos e investir em segurança da informação para evitar danos que podem ser causados por um ataque cibernético.


E isso é um caminho sem volta, pois a transformação digital faz bem para a saúde pública e privada.


Saúde sob ataque


A saúde é uma das indústrias mais visadas atualmente, sendo que o ataque ao setor de saúde vem aumentando nos últimos anos. A Cybersecurity Ventures prevê que o setor de saúde sofrerá 2 a 3 vezes mais ataques cibernéticos em 2021 do que a média de outros setores, conforme o relatório 2020-2021 Healthcare Cybersecurity Report publicado pela Herjavec Group. Em geral, o aumento dos ataques está relacionado a sistemas de TI desatualizados, menos protocolos de segurança cibernética, redução de equipes de TI, dados valiosos e a necessidade urgente de consultórios médicos e hospitais de pagar resgates rapidamente para recuperar dados.


A IBM Security, por sua vez, aponta no relatório X-Force Threat Intelligence Index 2021, que o setor de saúde foi classificado como o sétimo setor mais atacado em 2020, recebendo 6,6% de todos os ataques às dez principais indústrias, subindo do décimo lugar e 3% dos ataques em 2019. Isso é um salto apreciável e reflete o forte direcionamento de ataques ao setor de saúde durante a pandemia do COVID-19 em 2020, desde ataques de ransomware a ameaças que visam pesquisas e tratamentos relacionados ao COVID.


A Cybersecurity Ventures prevê também que, em função desse aumento nos ataques cibernéticos, o mercado global de cibersegurança na área de saúde crescerá 15% ano a ano nos próximos cinco anos, e chegará a US$ 125 bilhões cumulativamente ao longo de um período de cinco anos de 2020 a 2025.


Interesse do cibercrime em empresas do setor de saúde


A indústria da saúde processa e armazena muitos dados pessoais e dados pessoais sensíveis que são extremamente valiosos para os atacantes, como, por exemplo, o prontuário médico dos pacientes. Para garantir a continuidade da assistência do paciente e em seu benefício, estes dados sensíveis dos pacientes trafegam, e precisam trafegar, internamente e com outras organizações envolvidas. Entretanto, essa troca de informações, por muitas vezes, é realizada através de ambientes considerados inseguros, como, por exemplo, correio eletrônico, aplicativos de troca rápida de mensagens e redes sociais. O risco pode ser ainda maior, pois, como no setor o tráfego virtual de dados é intenso, a troca de informações pode, em alguns casos, ocorrer sem o consentimento inequívoco do paciente-titular.


Esta fragilidade nos controles sobre os dados sensíveis faz da saúde um alvo para os cibercriminosos, que sabem quão valiosas são estas informações, principalmente em função da LGPD.


Principais desafios da área da saúde em relação à segurança digital


A diversidade de ambientes para armazenamento e processamento dos dados pessoais e dados pessoais sensíveis, a necessidade de cumprimento de obrigações legais e regulatórias, associado à falta de conscientização sobre a necessidade de investir em mecanismos técnicos e administrativos de segurança da informação, são os maiores desafios de segurança e privacidade para a indústria da saúde.


A diversidade de ambientes utilizados pelo setor de saúde inclui, mas não se limita a, por exemplo, rede local, nuvem, plataformas digitais que armazenam o prontuário eletrônico, dispositivos eletrônicos conectados à internet (IoT) e arquivos físicos em papel.


O desafio da segurança relativa à diversidade de ambientes se observa não somente internamente nas empresas, mas principalmente no necessário tráfego de dados de saúde entre outras organizações envolvidas na continuidade da assistência do paciente, como no caso de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir transações financeiras e administrativas resultantes do uso e da prestação desses serviços. Esses diversos ambientes envolvidos podem não possuir o mesmo nível de controle e de segurança da informação.


Em relação às obrigações legais e regulatórias, há na indústria da saúde a necessidade de conservação dos dados por 20 anos, que, por muitas vezes, por total desconhecimento das partes envolvidas, é questionada em função dos direitos dos usuários estabelecidos pela LGPD.


Como minimizar estes riscos


É difícil assegurar totalmente a segurança relativa a esse necessário tráfego de dados que contempla o ecossistema de saúde e que pode ocorrer com a dispensa do consentimento.


Os dados sensíveis, por terem uma proteção especial conferida pela LGPD, possuem regras mais rigorosas para seu tratamento, a fim de evitar riscos ou danos relevantes aos titulares de dados. Essa realidade foi contemplada pelo parágrafo 4º do artigo 11 da LGPD. Privacidade, segurança da informação e sigilo são princípios enraizados desde sempre. Não é algo totalmente novo trazido pela LGPD.


Partindo deste princípio, as organizações de saúde e profissionais, habituados a enviar dados por correio eletrônico (e-mail), serviços de trocas rápidas de mensagens (e.g., Whatsapp, Telegram), redes sociais, e outros meios considerados inseguros, deverão corrigir suas práticas, pois nestes meios não temos como assegurar que o acesso seja restrito a profissionais efetivamente relacionados com a atenção do paciente-titular de dados. É uma mudança gradativa e contínua que começa com a conscientização, mapeamento e revisão de processos.


Assim sendo, é de suma importância para o setor, montar uma rede segura para a troca de dados de saúde entre os controladores, co-controladores e operadores de dados que contemplam esse ecossistema., onde as trocas de informações sejam realizadas de forma cada vez mais integrada, automatizada, controlada, monitorada e rastreável, utilizando as melhores soluções tecnológicas disponíveis, alinhadas à estratégia e disponibilidade financeira da empresa. Como exemplos, podemos citar a integração de aplicações por APIs, trocas de arquivos via mecanismos de SFTP, portal específico com autenticação por certificado digital (ICP Brasil), uso de mecanismos de autenticação de multi-fator para acesso e o uso de uma rede blockchain para comunicação com parceiros.


Adicionalmente, algumas medidas podem ajudar a minimizar os riscos de incidentes de segurança e organizar a gestão e boas práticas de proteção de dados, começando com o mapeamento dos processos que tratam dados pessoais, incluindo processos que contemplam o tráfego com outros agentes de tratamento, sejam co-controladores ou operadores, a transferência internacional e o controle de acessos.


Outro passo essencial é a implantação de um programa de segurança da informação com um conjunto de políticas, procedimentos, diretrizes e regras que tenham por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação. Além, é claro, de investir em tecnologia para minimizar a exposição, com base à criticidade dos dados, associado à probabilidade de vazamento/roubo desses dados e impacto ao negócio (financeiro, operacional, imagem). Como exemplos de ferramentas podemos citar Firewalls, IPS/IDS, antivirus / antimalware, DLP, CASB, desenvolvimento seguro (OWASP), gerenciamento de identidade (IAM), gerenciamento de equipamentos (MDM), monitoramento de ambientes (redes, links, servidores), SOC e NOC (security e network operational center), ferramentas de controle de logs (SIEM), planos de continuidade e recuperação de negócios (BCP / DRP), backups, criptografia, autenticação de multi-fatores, testes períodicos de invasão (pentests), análises de vulnerabilidades dos sistemas, Sandbox, rede de acesso privado (VPN), controle de acesso à rede (NAC), perímetro definido por software (SDP), Zero Trust Network Access (ZTNA), etc.


Todavia, nada disso é eficiente se não houver investimento em treinamentos constantes das equipes e conscientização sobre as medidas técnicas e administrativas de segurança da informação adotadas pela organização.


A tendência é que a área da saúde continue a ser um alvo cada vez mais frequente dos ciberataques e as ações de prevenção e combate precisam ser priorizadas e implementadas o mais breve possível. O caminho é longo, intenso e desafiador e precisa ser iniciado o mais breve possível.


Maurício Cereto - Formado em Ciências da Computação pela PUC, com pós-graduação em Capacitação Gerencial pela USP e um MBA em Marketing pela FGV. Trabalha com Segurança da Informação desde 1997 e atualmente é Gerente de Segurança da Informação na Teladoc Health Brasil.


29 visualizações