Informações roubadas de um banco de dados, normalmente se tornam inúteis rapidamente, uma vez que a violação cibernética é descoberta e as senhas são alteradas. Mas os dados do setor de saúde, que incluem tanto identidade pessoal e histórico médico, são completamente diferentes, como mostra um amplo artigo do portal Computer World.

Os “ciberataques” vão custar aos hospitais e estabelecimentos de saúde em geral, mais de US$ 305 bilhões nos próximos cinco anos (estimativa do mercado nos EUA) e 1 em cada 13 pacientes terão seus dados comprometidos por ação de algum hacker, de acordo com a Accenture, empresa de consultoria norte-americana.

Um estudo realizado pela empresa de consultoria estratégica Brookings Institution prevê que um em cada quatro violações de dados em 2016 será no setor de saúde. “A Brookings mostrou que, desde o final de 2009, as informações médicas de mais de 155 milhões de norte-americanos foram expostas sem permissão através de cerca de 1.500 violações”.

A referida pesquisa demonstra que o setor da saúde é particularmente vulnerável a violações de privacidade. “Por um lado, as regulamentações governamentais forçaram que instituições de cuidados de saúde adotassem registros eletrônicos (EHR) e outros avanços gerados pelo Affordable Care Act (também chamado Obamacare, uma lei federal dos EUA sancionada em 2010), mesmo se não estivessem prontos para investir adequadamente na segurança”.

Dados de saúde contêm as informações mais valiosas disponíveis, incluindo números do seguro social (semelhante ao CPF), endereços residenciais e histórico de saúde do paciente. Isso faz essas informações – mais completas – serem valiosas para os hackers do que outros tipos de dados, de acordo com o estudo realizado pelo Centro de Tecnologia e Inovação da Brookings Institution. “Os cibercriminosos podem vender os dados no mercado negro por um alto valor, por isso têm um grande incentivo para concentrar seus ataques no setor de saúde”.

“Com o impulso para a prestação de serviço mais integrada, os dados médicos estão sendo compartilhados com um variado número de entidades, nas quais muitos funcionários têm acesso a registros de pacientes”, disse o estudo. “O amplo acesso aos registros médicos aumenta o potencial de violações de privacidade”, alerta.

Para cumprir requisitos legais, as organizações de saúde, muitas vezes, armazenam informações médicas detalhadas por muitos anos. No Brasil a lei diz que os prontuários médicos devem ser guardados por no mínimo 20 anos em forma de papel, e após este período, pode ser arquivado eletronicamente, guardado de forma permanente.

A probabilidade de uma violação – e a potencial gravidade das consequências – aumenta de acordo com a quantidade de dados armazenados e o tempo que é armazenado.

Foco na conformidade regulatória, não na segurança

Com a indústria tão concentrada na conformidade regulatória conforme se move para a manutenção de registros digitais, a segurança cibernética tem sido, muitas vezes, uma preocupação secundária, de acordo com Lisa Gallagher, ex-vice-presidente de soluções técnicas da Healthcare Information and Management Systems Society (HIMSS – organização global que visa melhorar a saúde por meio da tecnologia da informação), em Chicago.

“As empresas com um sistema interno consolidado estão tentando conectar e integrar os chamados Electronic Health Records (EHRs). A segurança nem sempre é considerada como parte disso, e a aplicação de sistemas de TI é sempre cheia de perigos. Você está sempre um pouco atrás”, analisa. “É uma fórmula para ficar para trás”. Lisa Gallagher acredita que o setor de saúde enfrenta ameaças cada vez mais sofisticadas e persistentes de hackers e invasores cibernéticos que buscam os dados do paciente para usá-los como barganha no futuro. “Não acho que estávamos preparados”, diz ela, que era anteriormente diretora sênior de cibersegurança na HIMSS.

Um dos ataques mais comuns contra os profissionais de saúde envolve o uso de ransomware, onde os registros de pacientes ou as redes hospitalares são cortadas e, posteriormente, bloqueadas até que um resgate seja pago, normalmente em moeda eletrônica não rastreável, como o bitcoin.

Ataques ransomware

Recentemente um hacker alegou ter roubado bancos de dados de três organizações de saúde dos EUA e uma seguradora, bloqueando 10 milhões de registros de pacientes.

Em fevereiro, um hospital de Los Angeles pagou cerca de US$ 17 mil em bitcoins para hackers que desativaram sua rede de computadores. Hackers não se concentram apenas em hospitais e operadoras de planos de saúde; eles também vão atrás de fornecedores filiados que atendem a indústria.

O Hospital Geral de Massachusetts (MGH, na sigla em inglês) anunciou que cerca de 4.300 pacientes tiveram seus registros de saúde expostos quando “um fornecedor terceirizado confiável” – que oferece software para os prestadores – teve sua base de dados hackeada.

A CenturyLink, uma empresa de comunicação mundial com sede em Monroe, Lousiana, está rastreando atualmente 150 variantes de ransomware, sendo os mais comuns os difundidos por campanhas de e-mail. “Alguns relatórios indicam que são mais de 300 milhões de amostras de malware”.

Cory Kennedy, engenheiro de segurança da informação da CenturyLink, diz que “em termos de ransomware, as histórias sobre hospitais que pagam o resgate estão se espalhando entre os criminosos, deixando eles saberem que é uma área bem sucedida para atacar”.

A defesa contra hackers pode ser relativamente simples: profissionais de saúde, operadoras ou prestadores de serviços filiados precisam apenas manter backups desligados, disse Kennedy. “Quando ocorre um ataque, os backups podem ser usados ​​para restaurar os dados”. As organizações de saúde também têm sido lentas para educar os funcionários sobre os perigos de ataques cibernéticos, bem como em gerenciar quem, internamente, tem acesso a sistemas críticos que armazenam dados confidenciais.

No entanto, enquanto as instituições podem se tornar mais pró-ativas sobre segurança, os ciberataques só vão crescer em sofisticação. “Por exemplo, hackers recentemente implantaram um ataque contra usuários da Amazon Prime (serviço especial da empresa de comércio eletrônico), que estava disfarçado como e-mails de confirmação de envio”. Outra novidade dos hackers é a capacidade de disfarçar links ransomware de uma maneira que faz parecer um endereço eletrônico legítimo. “Os criminosos continuarão fazendo o que eles fazem, procurando brechas”, alertou Kennedy.

Não é uma questão de se, mas quando

O Institute for Critical Infrastructure Technology (Instituto de Infra-estruturas de Tecnologias Críticas, em tradução livre) projeta que esses ciberataques vão causar mais estragos ainda este ano. “Especialistas em segurança cibernética concordam que não é uma questão de se ou quando os seus dados irão ser hackeados, mas como você vai saber que seus dados foram hackeados”.

Em vez de concentrar esforços em endurecer as defesas, como anti-virus, firewalls e regras para bloquear PDFs ou outros documentos externos, Cory Kennedy e outros especialistas acreditam que a detecção e a criptografia de dados são as melhores técnicas de segurança cibernética. “Suponha que dados serão atacados, mas torne isso inútil”, disse Kaveh Safavi, diretor sênior de negócios da Accenture, empresa global de consultoria em saúde.

Atualmente, a maior ameaça para o setor de saúde, na visão de Safavi, não são hackers que procuram pagamentos rápidos, mas de governos estrangeiros que podem armazenar dados de saúde pessoais íntimos para uso futuro contra os pacientes. Em 2015, por exemplo, hackers roubaram registros de cerca de 80 milhões de clientes da Anthem Inc., a segunda maior seguradora de saúde dos EUA. “A presunção era que eles eram players estatais”, disse Safavi. “O objetivo era obter o banco de dados a fim de criar um dossiê de indivíduos que poderiam ser usados na engenharia social para futuros ataques”. No contexto de segurança da informação, a engenharia social refere-se a manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais.

Governos estrangeiros poderiam usar informações de saúde para direcionar a funcionários públicos e-mails que contenham avisos relacionados com condições médicas que possam ter. Quando um indivíduo com determinada patologia abre um desses e-mails, o vírus infecta seu computador.

“Não há nada no banco de dados que vá fornecer [aos hackers] a resposta a essa pergunta, mas as informações estão nos registros de saúde”, declarou Safavi. “Eles estão tentando construir um grande banco de dados de norte-americanos com algum objetivo futuro”.

Guardar dados em “clouds” (nuvens) é mais seguro?

O conceito de computação em nuvem (cloud computing) refere-se à utilização da memória e da capacidade de armazenamento e cálculo de computadores/servidores compartilhados e interligados por meio da Internet. Nesse sistema operacional, a partir de qualquer computador e em qualquer lugar, pode-se ter acesso a informações, arquivos e programas, independente de plataforma.

As organizações de saúde podem proteger melhor os dados, reconhecendo que não estão adaptadas ao negócio de segurança cibernética. “Um provedor de armazenamento em nuvem é mais qualificado para lidar com a segurança”, diz o especialista. Safavi ainda complementa ao afirmar que “há um debate sobre se armazenar dados em nuvem é mais ou menos seguro do que em um sistema privado. O pensamento tradicional era ‘se eu tiver controle sobre os dados em meu próprio centro de dados privado, nada seria mais seguro’. Esse pensamento está começando a mudar”.

Segundo o diretor da Accenture, “o argumento é que nenhuma empresa individual jamais terá o nível de segurança nem se manterá na corrida armamentista da maneira como a Amazon ou Microsoft conseguem, por exemplo”, comparou.

Há dois anos, a CIA pagou ao Amazon Web Services US$ 600 milhões para desenvolver um serviço de computação em cloud para as 17 unidades que compõem a agência de inteligência dos EUA. “Há um pensamento em evolução entre os gerentes de TI de que um dos benefícios do armazenamento em nuvem é que seria possível aproveitar a segurança no estado da arte (“state-of-the-art”, termo que se refere ao nível mais alto de desenvolvimento, seja de um aparelho, de uma técnica ou de uma área científica) que provavelmente nunca poderia ser replicada através da sua própria organização de TI”, considera Kaveh Safavi.

Segundo Safavi, o setor saúde também está focando o combate “olho por olho, dente por dente”, usando a tecnologia blockchain** como uma base de dados distribuída em peer-to-peer*** para armazenar informações confidenciais. “A natureza da blockchain requer ambas as senhas criptografadas (públicas e privadas) o que torna-a praticamente impossível para alguém obter dados”, explicou Safavi.

“Com mais de 175,5 milhões de registros perdidos em violações de saúde e novas ameaças surgindo a cada dia, o setor deve agir rapidamente para proteger os dados que não podem ser recuperados depois de roubados”, ressaltou Lisa Gallagher.

Compartilhar é se importar

Um problema é que as organizações podem não fazer ideia de que os dados já estão comprometidos. Isso aponta para a necessidade de Sistemas de Detecção de Intrusão (IDS, na sigla em inglês) e de segurança de informações, além de um software de Gerenciamento e Correlação de Eventos de Segurança (SIEM, em inglês), o que permitiria monitorar redes em relação a atividades maliciosas e alertar os administradores quando algo é detectado. De forma geral, com o SIEM as atividades e alertas gerados por aplicações de segurança (firewalls, proxies e antivírus são coletadas, por exemplo), são normalizadas, armazenadas e correlacionadas; com rápida resposta aos incidentes.

Além disso, a indústria da saúde requer acesso a melhores recursos (de leis locais e federais) no que diz respeito a ameaças a dados. “Se eu foi perguntado por um gerente de TI onde ir para obter dados de ameaças cibernéticas, eu tenho que oferecer uma lista de pelo menos cinco ou seis fontes, talvez mais – seja do FBI, da segurança interna ou de alguma empresa privada”, avaliou Gallagher. “Há uma série de diferentes fontes de dados, e às vezes em diferentes formatos”, complementou.

Houve vários esforços do Congresso dos EUA para promulgar uma lei que fomentasse o compartilhamento de informações de segurança. O mais recente foi o Cybersecurity Information Sharing Act (CISA) – Ato de Cibersegurança de Compartilhamento de Informação – que foi incorporada em uma lei de gastos e assinada em dezembro de 2015. O CISA abre o caminho para o compartilhamento de dados sobre ameaças cibernéticas entre sete entidades governamentais e policiais dos EUA.

No entanto, Rod Piechowski, diretor sênior de sistemas de informação de saúde na HIMSS, observou que o problema da segurança de dados vai além do que o governo ou um software sofisticado podem fazer. Para ele, as organizações de saúde devem se concentrar em educar os membros de suas equipes médicas e administrativas. Basta que uma pessoa abra um anexo de e-mail para que hackers obtenham acesso a sistemas hospitalares. “Educar os funcionários sobre como detectar e reportar e-mails suspeitos é crucial”, ponderou Piechowski.

“Eu reitero que a segurança é um assunto de todos. Não é apenas do departamento de TI”, diz Piechowski. “Se você trabalha com dispositivos eletrônicos, é sua responsabilidade também”, concluiu.

*Hacker é o indivíduo que se dedica a conhecer e modificar aspectos mais internos de dispositivos, programas e  redes de computadores – como roubar dados internos de uma instituição, por exemplo.

**Blockchain é a estrutura de dados utilizada para dar mais confiabilidade às transações financeiras feitas com Bitcoin. Um blockchain funciona como uma espécie de regulador, em que as transações são registradas permanentemente. Em resumo, é um grande arquivo público com todas as transferências e pagamentos realizados com Bitcoin. É replicado e compartilhado entre todos os participantes do sistema, sendo mantido de forma descentralizada e voluntária).

***Peer-to-peer, ou ponto-a-ponto, é uma arquitetura de redes de computadores onde cada um dos pontos da rede funciona tanto como cliente quanto como servidor, permitindo compartilhamentos de serviços e dados sem a necessidade de um servidor central.