É inegável que o avanço da tecnologia no setor de saúde, acelerado sobretudo pela pandemia da covid-19, trouxe benefícios imensuráveis não só na questão de agilidade e conveniência, mas sobretudo do ponto de vista de prevenção, diagnósticos e tratamentos.
Segundo pesquisa global realizada pela IDC, os atendimentos remotos impulsionarão um crescimento de 70% nos investimentos em tecnologias de saúde conectadas por provedores e empresas do segmento até 2023.
Toda essa revolução digital também implica em alguns riscos relacionados à segurança de informações. Somente em 2021, cerca de 38% das empresas sofreram com algum ataque de ransomware, com diferentes níveis de impacto de acordo com sua maturidade e preparo para tal situação.
E para se proteger de tal risco, do ponto de vista tecnológico, a primeira dica às empresas é pensar com a mente de quem está atacando, e não somente contra-atacar. Afinal, quem ataca vai explorar as vulnerabilidades que não foram percebidas na montagem da sua defesa. Fazendo uma analogia, seria como construir um muro e não levar em consideração que o invasor já está a postos com uma escada. E o maior valor de negócios (ou seja, o tesouro escondido dentro dos muros) está, em especial, nos dados.
Organizações de saúde, assim como todas as demais, precisam buscar uma estratégia de proteção de dados pessoais, que vise a preservar informações de seus pacientes e também estar em conformidade com a LGPD (Lei Geral de Proteção de Dados Pessoais). Além disso, também se faz necessária uma estratégia de proteção para casos de ciberataques, que podem levar as empresas à inatividade por tempo indeterminado.
Pensando especificamente nos dados, muitas empresas podem considerar que apenas um sistema de backup já é o suficiente para elas estarem protegidas. Porém, pesquisas já mostram que as perdas de dados chegam até 71% em casos de dependência do backup, uma vez que os backups convencionais em sua grande maioria são lentos, incompletos e com intervenções manuais sujeitas a erros.
Em geral, quando o ataque é declarado, o invasor já está há mais de 100 dias dentro do ambiente de dados, inclusive contaminando o backup.
E como resolver essa situação sob o viés de proteção de dados? A resposta para esta pergunta é direta e precisa: virtualização dos ambientes e anonimização dos dados. Isto é, utilizar a tecnologia para que as informações capturadas não possam ser identificadas ou revertidas, garantindo, assim, uso de dados protegidos e a recuperação rápida em caso de uma falha ou ataque.
Para colocar esse plano de ação em prática, os quatro passos sugeridos são:
- estabelecer e implantar uma estratégia contínua de proteção, recuperação, detecção e conformidade de dados, protegendo e recuperando dados de forma imutável a qualquer momento até o segundo limite de transação;
- implantar APIs e automação para recuperar instantaneamente aplicativos em um ambiente de recuperação isolado;
- testar e validar dados automaticamente para detectar violação de bloco, arquivo ou banco de dados; e
- criar perfis, mascaramentos e provisionamentos de dados automaticamente para ambientes de desenvolvimento e análise de aplicativos.
Não há dúvidas de que a maioria das empresas já sofreram ou sofrerão ataques de ransomwares. Porém, devido a tecnologias modernas, já é possível que elas se defendam de corrupção, extorsão e roubo de dados com proteção permanente, podendo recuperá-los rapidamente.
Até porque, no final, o que pode ser determinante para diferenciar o tamanho do impacto causado por um ataque às empresas do setor de saúde, de fato, é o que foi feito para prevenir antes de remediar
*Bruna Bolorino é formada em administração de negócios pela Escola Superior de Propaganda e Marketing (ESPM) e vice-presidente para América Latina e Caribe da Delphix.