Nos últimos anos, a indústria da saúde tem enfrentado uma crescente ameaça de ciberataques, com criminosos invadindo sistemas e sequestrando dados sensíveis de pacientes e instituições médicas. Isso coloca, inclusive, em risco tanto o cuidado quanto a segurança do paciente, deixando todo o setor vulnerável.
O Brasil é um dos países que está mais exposto a este tipo de ataque, é o que revela o estudo apresentado pela Apura Cyber Intelligence, empresa especializada em segurança cibernética e apuração em meios digitais. Apenas no primeiro semestre de 2023, em todo o mundo,10,9% dos ciberataques foram direcionados para o setor; no Brasil a porcentagem foi ainda maior e já chegou a 12%.
"A indústria da saúde é um alvo primário para os criminosos cibernéticos devido à natureza sensível dos dados que ela lida. Os registros de pacientes contêm informações pessoais, históricos médicos e planos de tratamento, tornando-os muito valiosos no mercado do cibercrime", explica Maurício Paranhos, COO da Apura.
Com tantos tipos de ataques cibernéticos como Ransomware, Phishing, Malware, DDoS, entre outras formas, é muito importante que as instituições de saúde invistam em medidas de segurança para proteger as informações dos pacientes e garantir a integridade dos sistemas médicos.
Maurício Paranhos, COO da Apura
"Os ataques cibernéticos podem interromper os serviços médicos, causando atrasos ou cancelamentos de procedimentos e impactando o atendimento ao paciente. Os ataques também podem resultar em perdas financeiras significativas para as organizações de saúde, pois elas podem ser obrigadas a pagar resgates ou arcar com o custo de restaurar sistemas e dados e ainda, podem ser legalmente responsáveis por não proteger os dados do paciente, levando a processos judiciais onerosos e danos à reputação", explica Paranhos.
Por esta razão, o COO da Apura afirma que as organizações de saúde devem investir em medidas robustas de segurança, como firewalls, sistemas de detecção de intrusão e criptografia, para proteger contra ataques cibernéticos. Conhecer e entender as principais ameaças cibernéticas é necessário para defender o sistema contra riscos internos e externos. Estes são alguns exemplos de ataques cibernéticos comuns e tipos de violações de dados:
- Roubo de identidade, fraude, extorsão;
- Vazamento de senha;
- Malware, phishing, spam, spoofing, spyware, cavalos de troia e vírus;
- Hardware roubado, como laptops ou dispositivos móveis;
- Violação de acesso;
- Abuso por mensagens instantâneas;
- Infiltração de sistema;
- Desfiguração de site;
- Explorações de navegadores da Web privados e públicos;
- Ataques de negação de serviços distribuídos;
- Roubo de propriedade intelectual ou acesso não autorizado.
Além dos casos acima, mais tradicionais, as organizações de saúde também sofrem riscos específicos ao segmento, e os ciberataques a equipamentos médicos é um dos principais. A informatização das clínicas e hospitais, com a integração de sistemas informáticos com dispositivos médicos conectados, torna o trabalho dos profissionais de saúde altamente dependente da tecnologia. Atualmente, um ciberataque pode interromper o processamento de exames e até mesmo impactar o funcionamento de equipamentos essenciais ao suporte à vida. A "Internet dos Dispositivos Médicos" (IoMT, na sigla em inglês) é um ponto de atenção para o setor.
Ciberataques na área da saúde
Um caso emblemático foi o ataque ao Grupo Sabin, um dos maiores grupos de diagnóstico e saúde do país. Recentemente, a organização Sabin Diagnóstico e Saúde relatou ter sido vítima de um ataque cibernético lançado por um grupo criminoso de ransomware. O ataque ocorreu em 12 de março de 2023 e, apesar da criptografia de alguns arquivos, a empresa acredita que não houve comprometimento significativo de dados pessoais nem impacto relevante em suas operações.
Em 14 de junho, foi identificado que alguns dados associados à empresa estavam disponíveis na dark web. Desde então, o Sabin tem trabalhado com uma consultoria internacional para investigar a veracidade dessas informações. A Autoridade Nacional de Proteção de Dados e a polícia civil foram informadas sobre o incidente.
Segundo a empresa, não houve impacto na integridade ou na disponibilidade das informações dos clientes, apenas uma parcela muito pequena (menos de 0,01%) dos dados armazenados pelo Sabin foi afetada.
O Grupo Fleury, gigante no setor de medicina diagnóstica no Brasil, sofreu com a instabilidade de seus sistemas após um ataque cibernético ocorrido em junho de 2023. A companhia destacou que ativou seus protocolos de segurança para minimizar o impacto em suas operações, contando com o apoio de empresas especializadas no setor. Nas redes sociais, no entanto, clientes relataram problemas para acessar resultados de exames e fazer agendamentos.
Mesmo não sendo a primeira vez que o grupo é alvo de ciberataques, a empresa destacou que utiliza tecnologias disponíveis para garantir a proteção de seu ambiente tecnológico.
Contudo, em junho de 2021, essa mesma empresa sofreu um ataque semelhante que acabou prejudicando suas operações. Na ocasião, um ransomware interrompeu o acesso aos sistemas, causando um prejuízo de R$29,4 milhões.
"As consequências de um ataque cibernético à saúde podem ser graves e de longo alcance. Se os dados do paciente forem comprometidos em um ataque cibernético, isso pode levar à perda de confiança no sistema de saúde, tornando difícil para os pacientes buscarem atendimento médico", diz Paranhos.
Assim como o Sabin e o Fleury, é fundamental o desenvolvimento de planos de resposta a incidentes, para garantir que estejam preparados para responder de forma rápida e eficaz no evento de um ataque cibernético.
"Ao tomar essas medidas, as organizações de saúde podem ajudar a proteger os dados do paciente e garantir a continuidade da entrega de cuidados médicos de alta qualidade e confiança de que os serviços estarão sendo preservados", ressalta o executivo.
Oito formas de prevenir e reagir aos ciberataques:
- Utilizar ferramentas de segurança, incluido software antivírus e firewall;
- Gerenciar a segurança de terceiros;
- Usar autenticação de múltiplos fatores;
- Apresentar controles internos robustos;
- Educar os associados da empresa;
- Criar processos de backup e restore de dados com testes de efetividade periódicos;
- Manter sistemas atualizados;
- Utilizar um provedor de inteligência de ameaças para atuar preventivamente aos riscos.