fonte: Folha de SP
por Antônio José Pereira, superintendente do Hospital das Clínicas da Faculdade de Medicina da USP
O dado foi divulgado em pleno agosto de 2021: 60% dos hospitais não consideram a segurança cibernética uma prioridade. Ele foi identificado na pesquisa Perspectives in Healthcare Security desenvolvida pela CyberMDX com colaboração da Philips.
Para chegar a esse resultado, foram consultados 130 executivos de hospitais de grande e médio porte que ocupam funções nas áreas de TI (tecnologia da informação) e SI (segurança da informação), além de biomédicos, com experiência média de 15 anos em suas áreas.
Reconhecidamente, o maior desafio é o ransomware —quase metade dos respondentes afirmou ter tido um desligamento de suas operações nos últimos seis meses em decorrência desse tipo de ataque que, em linhas gerais, é um sequestro dos dados dos dispositivos da instituição, e sua liberação condicionada ao pagamento de um resgate.
Em 2015, os ataques de ransomware custaram US$ 325 milhões ao mundo; relatório da Cybersecurity Ventures prevê que, neste ano, esse custo suba para US$ 20 bilhões, ou 57 vezes mais do que há seis anos. Até 2031, a estimativa é de custos de US$ 265 bilhões anuais, com um novo ataque a cada dois segundos.
No Brasil, já houve casos no Tesouro Nacional, no Laboratório Fleury e na Accenture. A JBS pagou US$ 11 milhões de resgate por seus dados e sistemas.
Em outubro de 2020, a ameaça de crimes cibernéticos contra hospitais e prestadores de cuidados com a saúde já tinha sido levantada pela Agência de Segurança de Infraestrutura e Cibersegurança dos EUA. Em novembro, o Ministério da Saúde reconheceu a possibilidade de ter sido alvo de um ataque cibernético que o deixou sem telefone e acesso a emails.
No mês seguinte, um novo episódio ocorreu —uma falha expôs dados pessoais de mais de 200 milhões de usuários do SUS e de 16 milhões de pessoas que tiveram suspeita ou confirmação de Covid-19. Nesse caso, há mais um agravante: a LGPD (Lei Geral de Proteção de Dados) leva a divulgação das informações chamadas “sensíveis” a multas e penalidades sérias.
As consequências de um ataque podem ser devastadoras também para os cuidados com a saúde em si. Em maio, o serviço do National Health Service Executive da Irlanda, similar ao SUS, foi interrompido em um crime considerado o maior cibernético contra o país. Ao desligar sistemas para protegê-los do ataque, foi preciso cancelar consultas e testes de Covid-19.
Agora em setembro, uma pesquisa da consultoria alemã Roland Berger mostrou que o Brasil tem sido um dos principais alvos de ataques de hackers a empresas em geral, ocupando a 5ª posição no mundo. Só no primeiro semestre de 2021, eles identificaram 9,1 milhões de ocorrências apenas de ransomware, número já maior do que as ocorrências do ano de 2020 inteiro. Seus especialistas reforçaram que os criminosos online são criativos, se adaptam às mudanças e estudam calmamente vulnerabilidades antes de atacar.
A RÁPIDA RECUPERAÇÃO DAS LOJAS RENNER
Após um ataque de ransomware a seus sistemas, as Lojas Renner conseguiram voltar ao ar em 48 horas, um período considerado recorde no mundo de TI. O Laboratório Fleury, que passou pelo mesmo problema este ano, voltou a publicar seus sistemas três dias depois do ataque —prazos surpreendentes quando se considera que a média mundial é de 23 dias, segundo o portal ZDNet, mas que não minimizam os prejuízos financeiros, de credibilidade e de relacionamento com seus clientes.
Os porta-vozes da Renner explicaram que a capacidade de identificar como cada item se conecta e conversa com outros na rede foi essencial para a rápida recuperação. Isso, segundo a empresa, demonstra profundo conhecimento do seu ambiente de TI. Também frisaram como essencial a documentação frequente, considerada um ponto de partida deixado de lado por empresas, geralmente por falta de recursos.
Finalmente, o backup foi crucial para o retorno —um backup corrompido há meses já não é útil, então os testes devem ser frequentes também. As ferramentas não atuam sozinhas, é preciso manter investimento e equipe atenta a isso.
EDUCAÇÃO E INVESTIMENTO PARA EVITAR OS ATAQUES
Não há melhor forma de reduzir o impacto de um ataque como esses do que o trabalho prévio de reconhecimento do próprio ambiente e a elaboração de um plano de recuperação de desastres bem estruturado. O envolvimento de recursos de tecnologia, como firewall de perímetro e data center, isolamento de redes, uso de antivírus baseado em comportamento, monitoramento de ativos e atualização de parque tecnológico são apenas alguns dos pontos relevantes neste quebra-cabeça, ao lado de ações de conscientização, engajamento, treinamento e adequação de processos que envolvem todos os níveis da organização.
Destacam-se nessa jornada três grandes pilares de atuação: confidencialidade, através de controles de autenticação corporativa, seguindo a política do menor privilégio, ou seja, permitir somente o necessário e para quem realmente precise; integridade, na qual dados são preservados e armazenados de forma sigilosa e redundante, garantindo as características íntegras da informação; disponibilidade, através de infraestrutura redundante e mecanismos de segurança, a informação estará disponível no momento em que usuários autorizados requisitem o acesso.
Publicado no securelink.com, o valor do dado de saúde comercializado na DeepWeb e DarkWeb pode chegar até US$ 250, contra US$ 5,40 de dados bancários e de cartão de crédito.
Manter os sistemas atualizados, monitorados e alertas para acessos não autorizados são ótimas iniciativas tecnológicas. Para além desse aspecto, é preciso olhar para o lado humano: educar e treinar os usuários reduz as chances de infecção por esse caminho.
Para tanto, sugerem-se campanhas contínuas de educação entre os colaboradores para reconhecer tentativas de phishing, varreduras de email que alertam quando um link malicioso é criado e transparência —a divulgação dos ataques, para que todos conheçam as consequências. A Tessian aponta que usuários negligentes respondem por 62% das portas de entrada de ataque, sendo 25% desses de credenciais roubadas e 14% de usuários maliciosos que fazem ataques dentro da própria organização.
Também, é essencial que as empresas mantenham planos de contingenciamento e a adequação à LGPD.
Ensinar a todos o valor da prevenção é inestimável —a máxima de que é melhor prevenir do que remediar nunca foi tão real nesse cenário, especialmente quando nós, da Saúde, bem sabemos os custos e o sabor amargo que um remédio pode trazer.