Você pode ou não saber que o setor de Healthcare paga o preço mais alto para ataques cibernéticos em comparação com qualquer outro setor – com a indústria relatando uma perda média impressionante de US$ 10,93 milhões por violação em 2023. Isso é quase o dobro da próxima “vítima” mais pagadora, o setor financeiro, que teve uma perda média de US$ 5,9 milhões por violação.
A saúde é um alvo principal devido à abundância de dados pessoais e sensíveis que o setor trata, o que significa haver menos margem para ajustes. Um exemplo recente de um ataque inclui o suposto pagamento de cerca de US$ 22 milhões em bitcoin pela UnitedHealth – multinacional americana diversificada de cuidados de saúde e bem-estar – ao grupo de ransomware denominado Blackcat (também conhecido como ALPHV) após uma grande violação de dados.
Os ataques cibernéticos na área da saúde tiveram um aumento acentuado durante a pandemia da Covid-19. Uma pesquisa em grande escala de 2021 nos Estados Unidos viu aproximadamente 43% dos entrevistados relatar que foram submetidos a dois ataques de ransomware nos dois anos anteriores. De acordo com um relatório separado, em novembro de 2023, quase 60% das organizações de saúde em todo o mundo sofreram um ataque cibernético nos últimos 12 meses. Desses 60%, os cibercriminosos tiveram o poder de criptografar com sucesso quase 75% dos dados em ataques de ransomware.
O mercado de saúde no Brasil viu um rápido crescimento e mudanças durante a pandemia de Covid-19. Antes da crise sanitária global, a indústria gerava mais de US$ 117 milhões por ano. O impacto do novo coronavírus na assistência à saúde aumentou a busca por soluções tecnológicas que possam proporcionar mais agilidade, qualidade e suporte ao tratamento.
Segundo um levantamento da Kaspersky, com 483 mil detecções de ransomware no Brasil em 2023, além dos 106 mil de 2024 (foram 800 bloqueios de ataques diários em 2024, que totalizam mais de 106 mil tentativas de golpe desde janeiro) apontam o foco para os setores de ataque do cibercrime, que se modificaram desde o ano anterior não só no país, mas também na América Latina – com o setor da saúde em terceiro entre os mais atacados de 2024 na região. Nos Estados Unidos, esse mesmo setor se mantém em primeiro lugar desde 2023.
O aumento dos ataques também foi acompanhado por uma diminuição acentuada da confiança que muitas organizações têm na sua capacidade de lidar com as consequências de um ataque. Um relatório da Organização Mundial de Saúde afirmou que “curiosamente”, a proporção de inquiridos que não tinham confiança na capacidade da sua organização para gerir os riscos associados a ataques de ransomware aumentou durante 2020-2021 para 61%, contra 55% antes da pandemia.
Com este aumento dos crimes cibernéticos e a queda dos níveis de confiança, é mais importante do que nunca que as organizações compreendam os impactos que os ataques podem ter e o que podem fazer para mitigar os riscos, especialmente no setor da saúde.
Os ciberataques nos cuidados de saúde podem afetar diretamente os serviços prestados aos doentes. Além disso, uma vez comprometidos os dados, estes podem ser divulgados na dark web. Devido à natureza sensível destes dados, estes ataques podem conduzir a violações de privacidade extremas, nas quais os dados relacionados com os cuidados de saúde são comprometidos e divulgados ao público.
Os fatores que contribuem para essas vulnerabilidades incluem uma má compreensão dos riscos no ambiente, falta de “educação tecnológica” para os usuários e, em alguns casos, falta de financiamento e experiência para lidar com essas vulnerabilidades. As principais atividades de mitigação incluem a compreensão adequada dos principais riscos cibernéticos, o financiamento adequado sendo disponibilizado e uma forte cultura de segurança cibernética sendo colocada por meio de boa educação e treinamento do usuário.
A introdução da Inteligência Artificial (IA) também criou mais rotas para os malfeitores atacarem e violarem. Estes variam desde o uso de IA criado deep fakes para obter credenciais de login até o uso de IA para verificar vulnerabilidades e direcioná-los para ser explorada.
O custo substancial de violações de dados, interrupção dos serviços e risco potencial para os pacientes sublinham a necessidade urgente de medidas de segurança cibernética aprimoradas. Os ataques hackers vêm exigindo mudanças rápidas na área da saúde: elas envolvem investimento pesado em cibersegurança, com a criação de camadas de proteção e vigilância contínua.
Em todo o mundo, as exigências de compliance são numerosas. Nos Estados Unidos, a Lei de Portabilidade e Responsabilidade do Seguro Médico (HIPAA), de 1996, é talvez a mais proeminente, estabelecendo várias diretrizes e requisitos de proteção. Na Europa, o Regulamento Geral de Proteção de Dados (GDPR) se estende ao setor de saúde. Já no Brasil, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 para regulamentar a coleta e o tratamento das informações fornecidas pela população na internet. A multa por infração às regras pode chegar a R$ 50 milhões.
Ao implementar uma educação robusta do usuário, implantar soluções tecnológicas confiáveis e aderir às regulamentações de privacidade de dados, as organizações de saúde podem reduzir significativamente sua vulnerabilidade e proteger informações confidenciais dos pacientes.
Felipe José Alves da Silva, IT Consulting Leader Partner da RSM.