Em um ano em que o mundo estava focado no combate à pandemia da Covid-19 foi muito rentável para os criminosos cibernéticos e eles concentraram nas oportunidades criadas pela situação e buscaram novas brechas para lograr êxito em seus objetivos: roubar dados pessoais que pudessem ser convertidos em lucro fácil. Entre as violações de dados identificadas neste segmento as três principais foram os incidentes de ransomware e phishing, o acesso ou divulgação não autorizados e roubo de dados.
O HIPAA Journal relatou que 2020 foi o pior ano de violações de dados do setor de Saúde. Somente nos EUA houve 642 violações de dados relatadas em que o número de registros roubados ultrapassou a casa dos 500 e, no total, quase 29,3 milhões de registros de Saúde foram expostos.
Os incidentes de TI, como ransomware e phishing, contribuíram para impressionantes 91,99% dos registros de saúde violados, com um um aumento de 25% no número de ataques de ransomware direcionados ao sistema da informação do setor de Saúde. Na verdade, em outubro de 2020, o Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA), e o Department of Health and Human Services (HHS) já haviam divulgado um relatório sobre os ataques neste setor, com a exposição de informações de Saúde protegidas eletrônicas (Electronic Protected Health Information – PHI), históricos médicos, informações de pacientes, números de previdência social, detalhes de seguros de saúde e informações financeiras.
Outro estudo também apontou que um registro de Saúde perdido ou roubado custa US$ 429,00 – bem acima da média de US$ 150,00 em todos os setores.
A situação atual, percebe-se, é preocupante e as organizações que atuam na Saúde necessitam obter uma visibilidade total sobre os dados que estão sob seus domínios para que possam aplicar políticas eficazes de segurança. Como o crescente número de pessoas que buscam os seus serviços é notório o aumento, como consequência, dos dados que são coletados dos pacientes, os quais têm o direito de ter suas informações protegidas, principalmente sob à luz da LGPD.
Medidas práticas para combater as possíveis invasões aos seus sistemas de dados na Saúde:
Identificar as informações ePHI em seus sistemas – Isso pode ser feito através da utilização de métodos como correspondência de palavras-chave e de padrões para verificar os ePHI existentes nos repositórios de arquivos e criar e manter um inventário detalhado dos dados confidenciais, agendando varreduras de descoberta de dados em intervalos regulares;
Avaliar os riscos associados ao ePHI armazenado – Analisar a sensibilidade, localização e risco dos dados; apurar e controlar quais as permissões que os usuários possuem; delimitar outros parâmetros críticos para avaliar as possíveis vulnerabilidades e promover a correção onde for necessário para seguir modelos de privilégios mínimos e garantir que as informações sejam armazenadas apenas em locais seguros;
Descobrir e classificar os arquivos que contêm dados de Saúde – É recomendável a utilização de ferramenta tecnológica que permita promover a classificação de dados em conjunto com a com a descoberta de dados. Saber onde estão os dados melhora, e muito, a eficácia dos sistemas de monitoramento e resposta a incidentes;
Auditar todos os acessos a arquivos confidenciais – Relate os usuários que acessam arquivos críticos para saber quem acessou os dados de saúde, quando e de onde. Adote perfis de alerta baseados em limites e uma biblioteca atualizada de tipos de arquivos de ransomware conhecidos. Execute scripts personalizados para desligar as máquinas infectadas e interromper o progresso do malware, reduzindo assim os danos;
Monitorar uploads e downloads de dados – O uso de aplicativos em nuvem em terminais deve ser firmemente controlado. Rastreie uploads, downloads e outras atividades de usuários em plataformas de armazenamento em nuvem;
Implementar uma estratégia de prevenção de perda de dados (DLP) – A partir de políticas de DLP personalizadas é possível detectar e bloquear tentativas de transferência de arquivos prejudiciais para dispositivos de armazenamento externos e aplicativos da web.
Como estas sugestões, é vital analisar os incidentes identificados pelas ferramentas de proteção de dados utilizadas e ajustar as políticas de resposta às possíveis perdas de dados. Muito mais do que seguir um roteiro, acreditamos ser eficiente, é importante estar atento às motivações dos criminosos cibernéticos, de um lado, e dos fabricantes de soluções de segurança, de outro. Buscar apoio profissional especializado em proteção de dados pode ajudar as organizações no combate a estes desafios.
Dyogo Junqueira é VP de Vendas e Marketing da ACSoftware, parceira ManageEngine no Brasil