É inegável que o setor da Saúde vem se tornando um dos principais alvos do cibercrime. No ano passado, laboratórios, clínicas, convênios médicos e até sistemas públicos, em todo o mundo, relataram algum tipo de ocorrência como invasão, vazamento/sequestro de dados e até mesmo a interrupção parcial ou total de serviços. “Esse cenário comprova a importância estratégica da segurança de dados”, avalia Roberto Reis, cientista da informação e gerente de pré-vendas da Cipher, empresa do Grupo Prosegur, especializada em cibersegurança.
Pesquisa divulgada em outubro de 2023 pelo Identity Theft Resource Center (ITRC), organização sem fins lucrativos criada nos EUA para apoiar vítimas de crimes de identidade, aponta que naquele país foram registrados 733 incidentes cibernéticos entre julho e setembro de 2023 (Q3 2023), 113 dos quais na área de Saúde. Segundo o relatório do ITRC, o setor de saúde é o quarto mais visado dos Estados Unidos, atrás de Educação, Finanças e Governo.
Com base no estudo, Reis explica que todo ambiente rico em informações sensíveis pode servir de munição para ações criminosas. “Hoje, por onde olhamos, é possível ver toda sorte de dispositivos conectados enviando e recebendo informações em grande quantidade e velocidade. No setor da Saúde, as redes costumam conter dados pessoais, prontuários médicos, configurações críticas em sistemas de segurança e suporte à vida e até equipamentos inteligentes, entre outros, oferecendo um amplo perímetro de exposição que atrai criminosos” afirma.
O especialista informa que ataques de ransomware e DDoS (Distributed Denial of Service, ou ataque distribuído de negação de serviço) se destacaram entre os incidentes cibernéticos com maiores ocorrências nos últimos anos e devem permanecer entre os golpes esperados para 2024. “Uma simples entrada USB pode tornar toda a rede vulnerável, sendo que, hoje em dia, boa parte das camas e poltronas hospitalares trazem uma porta USB embutida”, comenta Reis.
Arquitetura de rede segura
De acordo com o gerente da Cipher, proteger redes, especialmente quando elas incluem IoT (Internet das Coisas) – dispositivos de suporte à vida, equipamentos para segurança física, como câmeras e sensores, etc. – é crucial para garantir a integridade dos dados e a proteção dos pacientes. Ele esclarece que a segurança da informação é um conjunto de estratégias, ferramentas e melhores práticas que vão da atualização de sistemas à educação dos usuários. E essas práticas devem envolver toda a operação, a partir das lideranças, ressalta.
Vale acrescentar que que muitos equipamentos de apoio a diagnóstico têm vida útil longa e acabam não sendo substituídos com frequência, e isso é um perigo, pois eles se tornam vulneráveis por não suportarem mais atualização de sistemas operacionais. Esse é o caso de alguns dispositivos para exames por imagem, por exemplo, que costumam permanecer muitos anos em uso. “Chega uma hora que o processador não suporta atualizações e os sistemas operacionais não recebem patches de segurança necessários”, revela Reis.
O especialista em cibersegurança esclarece que o problema não é a aplicação em si, mas o fato desse equipamento estar em rede, podendo expor dados críticos. Nesse caso, em vez de gastar com novos terminais para executar para velhas tarefas, é possível investir numa arquitetura de rede mais segura, com medidas como controle de acesso, firewalls, sistemas de detecção de intrusão e criptografia e isolamento da parte vulnerável da rede. “Educar e treinar usuários também devem ser ações recorrentes e integradas ao dia a dia da operação”, acrescenta.
Monitoramento de vulnerabilidades
Reis afirma que o acompanhamento dinâmico da rede é necessário para identificar previamente anomalias no sistema, comportamentos fora do escopo ou possíveis vulnerabilidades e contar com um centro de operações que possibilite avaliações regulares de segurança em todas as aplicações e equipamentos conectados é crucial para prevenir incidentes ou mitigar problemas com mais celeridade e menores danos.
Segundo o cientista da computação, esses monitoramentos podem ser complementados com auditorias regulares para garantir o cumprimento das políticas de segurança da informação e bloquear possíveis lacunas. Ele também recomenda incluir testes periódicos de penetração em sistemas críticos.
Conformidade com regulamentações
Vale mencionar que, além dos prejuízos com roubo de dados ou interrupção do serviço, empresas que sofrem crimes cibernéticos ainda estão sujeitas às leis vigentes em cada país. No Brasil, é a LGPD (Lei Geral de Proteção de Dados) que regula padrões para redes de dados e sanções para quem não cumpre a legislação. Um caminho seguro para empresas estarem alinhadas com padrões de segurança reconhecidos são a adoção de certificações como ISO 27001, para garantir a conformidade e a implementação de práticas seguras.
