Os ataques cibernéticos ao setor de saúde registraram aumento de 78% em 2022 globalmente, com uma média de 1.426 tentativas de violação por semana, de acordo com dados da fornecedora líder de soluções de cibersegurança Check Point Software. No Brasil, cada instituição de saúde foi atacada em média 1.800 vezes por semana nos últimos seis meses — outubro de 2022 a março deste ano.
A vítima mais recente foi o Hospital Universitário da Universidade de São Paulo (USP) que sofreu um ataque cibernético no último dia 23 de março, paralisando vários serviços e prejudicando o atendimento à população da capital paulista.
Em seu “Relatório de Cibersegurança 2023”, a Check Point Software identificou que esse “hiperfoco” em interromper uma infraestrutura crítica nacional decorre não apenas do apelo de obter acesso aos dados e registros médicos mais confidenciais, mas também da garantia de cobertura da mídia. Ambos os fatores colocam as vítimas (instituições de saúde) sob imensa pressão, aumentando a taxa de probabilidade de que o resgate será pago.
Uma pesquisa realizada pelo Ponemon Institute descobriu que mais de 20% das instituições de saúde relataram um aumento nas taxas de mortalidade de pacientes após sofrer uma violação.
De acordo com o relatório da Check Point, o setor de saúde é vulnerável por vários motivos. Em primeiro lugar, o aumento da sofisticação e da quantidade de ataques cibernéticos não é uma ameaça com a qual essas instituições foram criadas para lidar. Muitos hospitais contam com uma mistura de tecnologias antigas e novas, a maioria das quais não são gerenciadas diretamente ou esquecidas devido à documentação inadequada. Esse problema só aumentou com o tempo à medida que mais IoT e dispositivos médicos são adicionados, uma vez que não integram segurança por design. Outra razão é atual escassez de habilidades em segurança cibernética, que também significa que há falta de experiência para ajudar a gerenciar a superfície de ataque cada vez maior.
Apesar desses desafios, existem tecnologias e estratégias que podem ajudar a proteger as instituições e os profissionais de saúde. A Check Point lista cinco elementos-chave que toda organização, de saúde ou não, deve seguir para garantir a segurança máxima:
1.Comunicação: As empresas precisam educar os funcionários sobre como se manter em segurança. Se não for gerenciado adequadamente, qualquer dispositivo que tenha acesso a uma rede é uma porta de entrada para cibercriminosos para todos os dispositivos conectados. Esse problema se multiplicou com práticas de trabalho híbrido e remoto e uma proliferação de dispositivos móveis pessoais sendo usados para acessar dados médicos em e-mail e ambiente Microsoft 365.
2.Visibilidade e segmentação: é impossível proteger com sucesso uma rede sem entender todos os ativos que ela contém. Ter uma visão abrangente, incluindo ativos de nuvem e data center, exporá quaisquer pontos fracos, como possíveis atualizações de segurança sem patches ou dispositivos com firmware desatualizado. Uma vez mapeada a rede, estratégias como a segmentação podem ser implementadas, o que cria barreiras internas virtuais que impedem que atacantes se movam lateralmente e causem danos generalizados.
3.Segurança consolidada agora é obrigatória: com o e-mail continuando a ser o vetor de ameaça número 1, seguido de perto por vulnerabilidades e configurações incorretas, uma estratégia de implementação de várias soluções de ponto único não é mais uma proteção adequada. As operações de segurança precisam de visibilidade total de ponta a ponta, menos falsos positivos e confiança absoluta de que todos os vetores têm o mesmo nível elevado de inteligência de ameaças compartilhada e segurança baseada em prevenção, garantindo que todas as ameaças potenciais sejam cobertas.
4.CISOs devem fazer sua parte: o papel de um CISO é garantir que a gerência executiva tenha uma compreensão clara e articulada dos riscos que uma organização enfrenta. O trabalho deles é esclarecer esses pontos em uma linguagem fácil de entender para todos os cargos, bem como explicar as consequências de uma segurança fraca para a organização. Se houver uma falta geral de comunicação entre os CISOs e os negócios, isso deve mudar para proteger melhor os serviços críticos.
5.Colaboração é fundamental: empresas de todos os setores precisam elevar seus programas de segurança cibernética, mas não podem fazer isso sozinhas. Os fornecedores de segurança precisam trabalhar juntos para criar cobertura unificada contra ameaças, e um órgão regulador unificado deve ser adotado para ajudar a implementar práticas padrão e reduzir as disparidades nos gastos com segurança cibernética.
“Muitas organizações do setor de saúde têm um bom gerenciamento de riscos, mas carecem de uma estratégia consolidada, colaborativa e abrangente que ofereça verdadeira resiliência de segurança cibernética. O nível de ameaça continua a crescer e as consequências só podem ficar mais sérias”, ressalta Fernando de Falchi, gerente de engenharia de segurança da Check Point Software Brasil.
