Por André Dutra
Nossa preocupação como pessoas e cidadãos quando tratamos de questões relacionadas à saúde e pesquisas médicas tendem a ser direcionada ao atendimento médico, a melhoria dos medicamentos, novos tratamentos, ao aumento da qualidade de vida e questões estéticas. Por trás desta indústria, existe uma das maiores necessidades de mercado por informações sensíveis onde diversas delas são de valor financeiro e estratégico, seja dos pacientes, das indústrias e hospitais, assim como dos centros de pesquisa.
Nos últimos anos, grupos de hackers perceberam isso e começaram a mudar seu foco dos setores financeiros e bancários para a saúde. Mas o que causa este movimento, visto que informações médicas, apesar de alto valor não podem ser utilizadas facilmente no mercado?
Em primeiro lugar temos a mudança do perfil de segurança das instituições financeiras. Estas estão aumentando significativamente o investimento em tecnologia, processos e pessoas com foco em segurança em toda a cadeia de valor de seus produtos. Desta forma as fraudes em cartões de crédito e bancos passam a ser identificadas mais rapidamente.
Em segundo lugar, temos as ações criminosas no universo cibernético ocorrendo de forma profissionalizada e em alguns casos supostamente subsidiada por governos. Estas ações visam ações de ganho financeiro, estratégicos ou de desestabilidade política e econômica.
Por último temos a busca por informações de propriedade intelectual. Este é o ativo de maior valor para qualquer instituição que lidacom pesquisas de produtos, serviços e dados de clientes que geram valor de mercado para organizações.
Voltando ao setor de saúde, o que estas situações significam para o aumento de exposição de segurança no setor? As peças se encaixam de tal forma que apontam o novo alvo preferido de ações criminosas, tais como redes médicas, hospitalares e de pesquisa cientifica (incluam neste grupo faculdades, centros de excelência e hospitais de referência). Porque esta mudança ocorre?
Estudos de ataques publicados pela IBM e pelo ISACA (Information Systems Audit and Control Association) apresentam que os criminosos efetivamente mudaram o foco desde 2015. No ano passado, o volume de incidentes que geraram perda de valor estratégico ou financeiro no segmento médico ultrapassou significativamente todos os outros setores e alcançou o primeiro lugar. Em 2014 o setor não aparecia no TOP 5.
Em 2016 ocorreu o mesmo fato, porém com foco direcionado em propriedade intelectual e dados de pacientes. Durante o evento de infraestrutura crítica e segurança realizado em novembro deste ano em São Paulo, pelo Data Center Dynamics, o ISACA apresentou a expectativa de que as perdas geradas com comprometimento de segurança podem passar dos 500 Bilhões de USD em todo o mundo. Enquanto que o investimentos em segurança global está próximo dos 30 Bilhões.
O IDC (International Data Corporation) estima que os valores de informações médicas podem valer até 50 vezes mais do que outras informações atualmente roubadas em ações criminais digitais. E que um em cada três pacientes terão seus dados roubados de instituições médicas.
Numa recente pesquisa divulgada pela Universidade Estadual da Carolina do Norte, dos Estados Unidos, aponta na mesma direção e acrescenta uma informação importante: o setor médico considera os riscos cibernéticos como operacional e não estratégicos.
Um documento do NIST (National Institute of Standards and Technology) divulgado em conjunto com a GE, em 2011, mostrava que os equipamentos e procedimentos médicos são inseguros desde a concepção dos equipamentos. A mudança do tratamento da exposição é uma necessidade de posicionamento do setor e não um risco operacional. Em 2014, na Áustria, um paciente baleado hackeou o hospital onde estava para aumentar sua própria dose de morfina. Se um paciente baleado consegue fazer estas alterações, o que um hacker ou criminoso poderia fazer?
Para entender melhor porque as informações de hospitais são de tamanho valor é simples. Elas são persistentes e seguem a vida inteira dos afetados. Além disso, nos registros médicos podem ser obtidas informações bancárias, dados pessoais, histórico de consumo de medicamentos e doenças, violação de dados privados sensíveis de pessoas públicas ou políticas e muitas outras que permitem fraudes, obtenção ilegal de medicamentos, insumos para identidades falsas, ação direcionada de spearphishing a pacientes de alto valor, etc.
Todo este conjunto de possibilidades online e digitalizadas faz com que os dados contidos em hospitais e centros de pesquisa sejam mais lucrativos do que dados bancários sozinhos, além de normalmente ser mais fácil a sua obtenção.
Qualquer pessoa pode mudar de conta, banco, cartão de crédito, mas ela não mudará a si mesma, as suas características, as informações pessoais, dentre outros dados orgânicos.
A digitalização e agilidade dos hospitais e centros de pesquisa é um caminho obrigatório para a eficiência e agilidade do setor, porém é necessário que ações de segurança sejam iniciadas o quanto antes.
*André Dutra é IT Consulting da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.