Nossa preocupação como pessoas e cidadãos quando tratamos de questões
relacionadas à saúde e pesquisas médicas tendem a ser direcionada ao
atendimento médico, a melhoria dos medicamentos, novos tratamentos, ao
aumento da qualidade de vida e questões estéticas. Por trás desta
indústria, existe uma das maiores necessidades de mercado por
informações sensíveis onde diversas delas são de valor financeiro e
estratégico, seja dos pacientes, das indústrias e hospitais, assim como
dos centros de pesquisa.
Nos últimos anos, grupos de hackers perceberam isso e começaram a
mudar seu foco dos setores financeiros e bancários para a saúde. Mas o
que causa este movimento, visto que informações médicas, apesar de alto
valor não podem ser utilizadas facilmente no mercado?
Em primeiro lugar temos a mudança do perfil de segurança das
instituições financeiras. Estas estão aumentando significativamente o
investimento em tecnologia, processos e pessoas com foco em segurança em
toda a cadeia de valor de seus produtos. Desta forma as fraudes em
cartões de crédito e bancos passam a ser identificadas mais rapidamente.
Em segundo lugar, temos as ações criminosas no universo cibernético
ocorrendo de forma profissionalizada e em alguns casos supostamente
subsidiada por governos. Estas ações visam ações de ganho financeiro,
estratégicos ou de desestabilidade política e econômica.
Por último temos a busca por informações de propriedade intelectual.
Este é o ativo de maior valor para qualquer instituição que lidacom
pesquisas de produtos, serviços e dados de clientes que geram valor de
mercado para organizações.
Voltando ao setor de saúde, o que estas situações significam para o
aumento de exposição de segurança no setor? As peças se encaixam de tal
forma que apontam o novo alvo preferido de ações criminosas, tais como
redes médicas, hospitalares e de pesquisa cientifica (incluam neste
grupo faculdades, centros de excelência e hospitais de referência).
Porque esta mudança ocorre?
Estudos de ataques publicados pela IBM e pelo ISACA (Information
Systems Audit and Control Association) apresentam que os criminosos
efetivamente mudaram o foco desde 2015. No ano passado, o volume de
incidentes que geraram perda de valor estratégico ou financeiro no
segmento médico ultrapassou significativamente todos os outros setores e
alcançou o primeiro lugar. Em 2014 o setor não aparecia no TOP 5.
Em 2016 ocorreu o mesmo fato, porém com foco direcionado em
propriedade intelectual e dados de pacientes. Durante o evento de
infraestrutura crítica e segurança realizado em novembro deste ano em
São Paulo, pelo Data Center Dynamics, o ISACA apresentou a expectativa
de que as perdas geradas com comprometimento de segurança podem passar
dos 500 Bilhões de USD em todo o mundo. Enquanto que o investimentos em
segurança global está próximo dos 30 Bilhões.
O IDC (International Data Corporation) estima que os valores de
informações médicas podem valer até 50 vezes mais do que outras
informações atualmente roubadas em ações criminais digitais. E que um em
cada três pacientes terão seus dados roubados de instituições médicas.
Numa recente pesquisa divulgada pela Universidade Estadual da
Carolina do Norte, dos Estados Unidos, aponta na mesma direção e
acrescenta uma informação importante: o setor médico considera os riscos
cibernéticos como operacional e não estratégicos.
Um documento do NIST (National Institute of Standards and Technology)
divulgado em conjunto com a GE, em 2011, mostrava que os equipamentos e
procedimentos médicos são inseguros desde a concepção dos equipamentos.
A mudança do tratamento da exposição é uma necessidade de
posicionamento do setor e não um risco operacional. Em 2014, na Áustria,
um paciente baleado hackeou o hospital onde estava para aumentar sua
própria dose de morfina. Se um paciente baleado consegue fazer estas
alterações, o que um hacker ou criminoso poderia fazer?
Para entender melhor porque as informações de hospitais são de
tamanho valor é simples. Elas são persistentes e seguem a vida inteira
dos afetados. Além disso, nos registros médicos podem ser obtidas
informações bancárias, dados pessoais, histórico de consumo de
medicamentos e doenças, violação de dados privados sensíveis de pessoas
públicas ou políticas e muitas outras que permitem fraudes, obtenção
ilegal de medicamentos, insumos para identidades falsas, ação
direcionada de spearphishing a pacientes de alto valor, etc.
Todo este conjunto de possibilidades online e digitalizadas faz com
que os dados contidos em hospitais e centros de pesquisa sejam mais
lucrativos do que dados bancários sozinhos, além de normalmente ser mais
fácil a sua obtenção.
Qualquer pessoa pode mudar de conta, banco, cartão de crédito, mas
ela não mudará a si mesma, as suas características, as informações
pessoais, dentre outros dados orgânicos.
A digitalização e agilidade dos hospitais e centros de pesquisa é um
caminho obrigatório para a eficiência e agilidade do setor, porém é
necessário que ações de segurança sejam iniciadas o quanto antes.
*André Dutra é IT Consulting da Protiviti, consultoria global
especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão
da Ética, Prevenção à Fraude e Gestão da Segurança.
Nenhum comentário:
Postar um comentário