Num setor que cada vez mais tem visto a importância da conexão de dados, a cibersegurança é um assunto de extrema relevância. Sobretudo por conta do volume de armazenamento e alta transferência de informação nas corporações.
Nesse sentido, ataques cibernéticos podem significar uma grave ameaça. Prova disso foi o aumento de ransomware com foco em hospitais e provedores de saúde registrado em outubro de 2020, que gerou um alerta da Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA).
O comunicado foi emitido em co-autoria com o FBI e o Departamento de Saúde e Serviços Humanos (HHS), pouco tempo depois do registro da primeira morte ligada diretamente a um ataque de ransomware, na Alemanha. Na ocasião, uma paciente não pode ser atendida porque o hospital alemão estava lidando com o ataque que infectou mais de 30 servidores internos.
Esse evento demonstra a vulnerabilidade das redes e sistemas dentro das instituições de saúde, muitas vezes devido a uma espécie de descrença no perigo. E alerta para a necessidade de atenção com a cibersegurança, que requer investimentos robustos. Principalmente no momento em que o uso de dispositivos baseados em IoT na área médica cresce exponencialmente.
Por isso, trouxemos neste artigo alguns dados sobre segurança de sistemas e redes, evidenciando o quão fundamental é adotar uma proteção de dados efetiva dentro da instituição de saúde. Acompanhe!
O que é cibersegurança?
Chamamos de cibersegurança as práticas de proteção de sistemas conectados, servidores, dispositivos móveis, computadores e redes contra ataques maliciosos e crimes cibernéticos. Ou seja, ela protege software e hardware, sendo também denominada como segurança da tecnologia da informação.
Categorias de cibersegurança
Aplicada a uma série de contextos, a cibersegurança pode ser dividida em categorias, tais como:
Segurança de rede
Proteção de redes de computadores contra acessos indevidos, que podem ser de invasores direcionados ou por conta de malware (software malicioso).
Segurança de informações
A cibersegurança protege a integridade dos dados, bem como sua privacidade. Isso ocorre enquanto os dados são armazenados ou durante a transferência.
Segurança operacional
Neste categoria estão as práticas de cibersegurança voltadas ao tratamento dos arquivos com a proteção de dados. Isso inclui as permissões de acesso à rede, além dos procedimentos que determinam onde e como os dados são armazenados e compartilhados.
Segurança de aplicativos
Categoria focada em manter a proteção dos softwares de dispositivos móveis evitando seu comprometimento. Inclui sistemas de smartphones, tablets e gadgets, entre outros. Esse tipo de cibersegurança é fundamental para o setor de saúde, pois protege os dispositivos de IoMT, que possuem alta vulnerabilidade.
No entanto, a segurança desse tipo de sistema deve começar na fase de projeto, antes mesmo que o programa seja implantado. Isso porque os recursos de cibersegurança para dispositivos que já estão em uso ainda é limitado.
Quais os tipos de ameaças virtuais?
Existem diversos tipos de ameaças cibernéticas que tornam necessárias ações de cibersegurança. Algumas utilizam softwares maliciosos e outras são feitas a partir da ação direto dos chamados cibercriminosos.
De acordo com os analistas da Wandera, empresa especializada em cibersegurança na nuvem, o tráfego de rede malicioso é a principal ameaça para hospitais e provedores de saúde, atingindo mais de 70% das instituições.
Conforme apontado no relatório “Cibersegurança no setor de saúde“, que analisou ameaças de alto risco mais comuns, a porcentagem de organizações afetada por cada tipo de ameaça é a seguinte:
- 1º lugar – Tráfego de rede malicioso: 72%
- 2º lugar – Phishing: 56%
- 3º lugar – Sistema Operacional vulnerável: 48%
- 4º lugar – Ataque man-in-the-middle: 16%
- 5º lugar – Malware: 8%
Tráfego de rede malicioso
Consiste numa ameaça que estabelece o acesso à rede de um aplicativo através de serviço da web conhecido por demonstrar comportamento malicioso. Como exemplo, podemos citar o download de software não autorizado e a coleta de dados confidenciais.
Phishing
Esse é um tipo de ameaça cibernética bastante comum, geralmente destinada a usuários, mas que também pode ser direcionada para empresas e organizações. O pishing é caracterizado pelo envio de emails falsos, porém muito semelhantes aos da fonte verdadeira.
Esse tipo de ataque tem por objetivo roubar dados confidenciais, como logins, senha de acesso bancário e números de cartão de crédito.
Sistema Operacional Vulnerável
Ao utilizar versões antigas de sistemas operacionais, abre-se a porta de ataques, uma vez que a segurança desses sistemas já foi explorada, o que os torna mais vulneráveis. Assim, quando um sistema operacional de uma instituição de saúde está desatualizado, torna-se mais propenso a todo tipo de ataques cibernéticos.
Ataques man-in-the-middle (MitM)
Os ataques man-in-the-middle (MitM) são considerados uma espécie de espionagem. Eles envolvem um invasor, que intercepta as mensagens e retransmite entre as partes, que acreditam estar se comunicando normalmente. Desse modo, é possível alterar o tráfego e capturar as informações.
Malware
O malware é o chamado vírus, um tipo bastante comum de ataque cibernético, desenvolvido para obter acesso de forma não autorizada, que pode causar danos ao computador.
Engenharia social
Essa é uma tática desenvolvida para induzir o usuário a revelar suas informações. Assim, os criminosos solicitam pagamentos em dinheiro sob a ameaça de acessar dados confidenciais. A engenharia social pode ser combinada com quaisquer outras ameaças virtuais, aumentando a probabilidade de que o usuário clique em links e acabe por baixar um malware no computador.
Ransomware
Aqui está outro tipo de software malicioso, projetado para extorquir dinheiro através do bloqueio de sistemas e acesso a arquivos. É como uma espécie de sequestro de dados. Contudo, o pagamento do resgate não garante que os dados não sejam corrompidos ou que o sistema possa ser restaurado.
Como aplicar a cibersegurança na proteção dos dados em saúde?
Gestores e profissionais que atuam no mercado de saúde devem entender mais a fundo o que é a segurança cibernética e preparar-se para as ameaças virtuais, com a devida proteção dos dados.
Todavia, para estabelecer medidas efetivas, é necessário ir além dos investimentos tecnológicos, adotando uma cultura de cibersegurança dentro da instituição. Dessa forma, um nível de condição superior para a resposta a incidentes e recuperação de ataques definirá o grau de maturidade da organização.
Sobretudo nos hospitais e provedores de saúde, a continuidade dos negócios fica fortemente comprometida com a perda de dados e restrição de operações. Além disso, adotar medidas efetivas para a prevenção de ataques, bem como políticas de recuperação, são cruciais para restaurar a capacidade operacional, e garantir a segurança dos pacientes.
Na prática, a cibersegurança numa instituição de saúde passa por uma série de medidas e ações como:
Estabelecer uma cultura organizacional
Promover educação e treinamento contínuos sobre cibersegurança, enfatizando a responsabilidade de cada membro pela proteção dos dados dos pacientes, criando uma cultura de segurança da informação.
Proteção de dispositivos móveis
Uma vez que os dispositivos móveis estão se tornando mais presentes no cotidiano dos hospitais, é fundamental estabelecer medidas de proteção e utilizar ferramentas de criptografia para garantir a segurança dos dados compartilhados por esses dispositivos.
Criar e manter boas práticas no uso de computadores
O treinamento de funcionários sobre as melhores práticas no uso de equipamentos e computadores é uma importante estratégia para evitar ataques cibernéticos. Principalmente quanto ao uso de softwares e manutenção do sistema operacional.
Backup e computação em nuvem
Manter uma prática regular de backups, de modo que a restauração dos arquivos seja rápida, é uma forma garantir a segurança em caso de ataques inesperados. Do mesmo modo, adotar o armazenamento em nuvem dessas informações, para que fiquem fora do sistema principal, pode contribuir significativamente para a proteção dos dados em saúde.
Firewall e limite de acesso à rede
Temos aqui duas medidas fundamentais de cibersegurança: o uso de firewall em toda a rede da instituição evita que qualquer máquina ou dispositivo conectado à internet tenha um acesso facilitado.
No mesmo sentido, limitar o acesso a rede para que a instalação de softwares, aplicativos e qualquer outra adição ao sistema operacional só ocorra mediante o consentimento do gestor ou responsável.
Controle de acesso às informações
O controle de acesso interno às informações protegidas deve ser altamente rigoroso, e concedido somente àqueles que precisam utilizar ou visualizar os dados.
Para além dos desafios de implantar uma cultura de segurança e executar todas essas recomendações, há também o problema da falta de profissionais qualificados. Sobretudo porque quanto maior o volume de informações, maior também a necessidade de manter uma equipe de TI capacitada para analisar, gerenciar e responder efetivamente aos incidentes.
Por isso, as instituições de saúde devem desenvolver estratégias contínuas para garantir a proteção de dados. Investir em soluções de tecnologia e na formação de profissionais em segurança cibernética é fundamental para garantir a segurança desse processo.
Especialmente por conta da confidencialidade, e mais ainda para manter o funcionamento das atividades, evitando o risco de danos, que vai além do material. Mas que envolvem diretamente a vida dos pacientes.
Depois de saber mais sobre cibersegurança, descubra quais os impactos da LGPD no setor de saúde.
