Mundo, Tecnologia e Inovação | 21 de fevereiro de 2020

Violações de dados de saúde quase triplicaram nos EUA em 2019

Mais de 41 milhões de dados de pacientes foram violados, segundo relatório
Violações de dados de saúde quase triplicaram nos EUA em 2019

Nos Estados Unidos, a segurança de dados é uma das principais preocupações de hospitais, clínicas, operadoras de planos de saúde, governo e pacientes. As violações de dados de saúde em 2019 quase triplicaram em comparação com 2018, quando 15 milhões de registros de pacientes foram afetados por incidentes de violação, de acordo com o relatório 2020 Breach Barometer, das empresas Protenus e DataBreaches.net.

Somente nos EUA, mais de 41 milhões de dados de pacientes foram violados em 2019. Um único ataque de hackers, por exemplo, afetou quase 21 milhões de registros. O país é considerado o campeão em ataques a dados de saúde no mundo.

As informações do relatório incluem violações divulgadas ao Department of Health and Human Services (HHS) – órgão equivalente ao Ministério da Saúde no Brasil – e matérias publicadas pela mídia norte-americana em 2019.

Também houve um aumento alarmante no número de violações da privacidade dos dados de paciente desde o ano de 2016. Quatro anos atrás, houve 450 incidentes de segurança envolvendo dados do paciente – em 2019, houve um salto para 572 incidentes. Entretanto, é provável que esses números estejam subestimados, informa a Protenus – de acordo com a empresa, ocorre pelo menos uma violação de dados de saúde por dia.

As 3 principais tendências de cibersegurança, apontadas pela Protenus:

1. Hackers atacam mais e estão mais criativos

Indicadores demonstram que ações de hackers, particularmente ransomware estão aumentando – hackers foram responsáveis por 58% do número total de violações em 2019, afetando 36,9 milhões de registros de pacientes. O ransomware são softwares maliciosos que infectam o computador e exibem mensagens exigindo o pagamento de uma taxa para fazer o sistema voltar a funcionar.

Uma tendência é particularmente preocupante, conforme o estudo: os hackers estão ficando mais criativos na maneira como exploram os dados das organizações de saúde e dos pacientes.

Em 2019, houve incidentes de hackers tentando extorquir dinheiro de pacientes, não apenas da organização de saúde afetada. Em um caso na Flórida, os hackers enviaram pedidos de resgate a vários pacientes afetados, “ameaçando a divulgação pública de suas fotos e informações pessoais, a menos que as demandas sejam negociadas e atendidas”, aponta o relatório.

2. Grandes ataques de violação de dados

O maior ataque à privacidade relatado no ano passado foi uma grande violação de segurança na American Medical Collection Agency (AMCA), uma empresa de cobrança de contas médicas. Pelo menos quatro laboratórios de análises clínicas, incluindo a Quest Diagnostics e o LabCorp, foram afetados pela violação de segurança da AMCA que, até o momento, expôs os dados sensíveis de 21 milhões de pacientes.

A violação foi descoberta quando analistas encontraram informações de pacientes, incluindo datas de nascimento, números de previdência social e endereços físicos à venda na dark web (ou internet obscura), de acordo com a Protenus. A dark web tem acesso restrito e está dentro da deep web, acessada por um sistema chamado TOR (The Onion Router). Esta área é conhecida por vender dados sensíveis, armas, drogas, medicamentos de uso restrito, dentre outros produtos ou serviços ilegais.

Após a violação, a controladora da AMCA, Retrieval-Masters Creditors Bureau, solicitou proteção contra falência, demonstrando o impacto avassalador que a falta de segurança de dados pode ocasionar para as empresas.

hacker_hospital

3. Funcionários e o risco à segurança

Os funcionários das organizações de saúde foram responsáveis por violar 3,8 milhões de registros de pacientes em 2019, contra 2,8 milhões de registros no ano anterior (2018).

O relatório caracterizou incidentes internos como erro humano ou delito interno, que inclui roubo de informações por parte dos funcionários, acesso indevido dos arquivos de pacientes e outros casos em que os colaboradores violaram de forma consciente as regras de respeito à privacidade.

Como exemplo, o relatório destacou um incidente em que uma enfermeira é suspeita de obter acesso às informações do paciente e fornecer os dados a terceiros para fins fraudulentos. Estima-se que 16.542 pacientes poderiam ter sido afetados ao longo de quase dois anos antes da descoberta. A investigação ainda está em andamento.

Os ataques de phishing – mensagens que se passam como legítimas, por exemplo de um banco pedindo senhas – também continuam afetando os serviços de saúde. O treinamento dos funcionários para detectar é imperativo para que seja possível se antecipar às ações dos hackers, segundo o relatório.

“Os hackers também estão usando ataques de preenchimento de credenciais, tornando cada vez mais importante treinar funcionários para não utilizar senhas gravadas em equipamentos/sistemas no ambiente de trabalho e em contas pessoais”, alerta o relatório.

Brasil 

No Brasil, ainda se discute a prorrogação da Lei nº 13.709/2018 (LGPD), que trata entre outros pontos, de regras para manipular dados e ações para a segurança de informação de dados sensíveis – como dados da saúde.

VEJA TAMBÉM