Estudo avalia dados da conta da Netflix em 3 dólares, carta de condução em 20 dólares e processo clínico em 1000 dólares. Tem um tesouro entre mãos. Proteja-o.
De acordo com o fornecedor de software de segurança, Keepersecurity[1], um processo clínico completo vale cerca de 45 vezes mais do que os dados de um cartão de crédito.
O valor dos dados de saúde é, para os criminosos, muito superior ao valor dos dados de cartões de crédito e outros serviços bancários ou financeiros, uma vez que contemplam, além de informação de saúde, dados de identidade pessoal do próprio e do agregado familiar.
A venda destes dados resulta em ganhos financeiros consideráveis, porque as informações pessoais e sensíveis incluídas num registo médico não podem ser facilmente alteradas, ao contrário dos dados mantidos em bancos ou empresas de serviços financeiros. Portanto, os dados roubados têm uma “vida útil” longa para os criminosos que os roubam e para as partes a quem os vendem.
A diretiva NIS foi a primeira legislação de cibersegurança da União Europeia (UE) com o objetivo de melhorar a cibersegurança em todo território. De acordo com esta diretiva, os Operadores de Serviços Essenciais, que incluem os sectores da energia, transportes, bancário, saúde, entre outros, têm a obrigatoriedade de notificar incidentes de cibersegurança de impacto relevante às autoridades nacionais de cibersegurança de cada um dos países.
Desde 2020, o sector da saúde tem sido recorrentemente a área de negócio com mais incidentes de cibersegurança, no espaço da UE, com uma média de 31% do total de incidentes notificados, comparativamente com os setores bancário (16%) ou da energia (13%). De acordo com dados do NIS Cooperation Group[2],o número de incidentes de cibersegurança com impacto relevante no setor da saúde aumentou de 88 para 284, nos últimos dois anos.
A maioria dos incidentes teve origem em falhas de sistema. No entanto, os incidentes que envolvem agentes maliciosos têm vindo a aumentar ao longo dos anos.
Ransomware
O ransomware é um ataque em que os cibercriminosos assumem o controlo de ativos de um alvo e exigem um resgate em troca da devolução da disponibilidade do ativo. O sector da saúde é particularmente vulnerável a este tipo de ataques, que podem impedir o acesso dos profissionais aos dados e registos dos utentes e, assim, perturbar e comprometer a prestação de cuidados e os serviços utilizados diariamente.
O factor principal de um ataque deste tipo é, muitas vezes, desencadeado por uma campanha de phishing, seguida por um comprometimento com ransomware, que pode ou não resultar na exfiltração de dados dos utentes.
De acordo com a Agência da União Europeia para a Cibersegurança[3], entre janeiro de 2021 e março de 2023, a maioria dos incidentes de cibersegurança em organizações de saúde afetou prestadores de cuidados de saúde (53%) e especialmente hospitais europeus (42% do total de incidentes). Seguem-se as autoridades, órgãos e agências de saúde (14%) e ataques na indústria farmacêutica (9%).
A saúde é um alvo atrativo para os agentes maliciosos, que aproveitam a oportunidade para rentabilizar as suas atividades com base na extorsão, sob a ameaça de divulgação de dados de natureza pessoal e sensível.
As instituições de saúde devem reforçar e garantir não só as condições de segurança dos dados de saúde, como ter em consideração os impactos resultantes da atividade de fornecedores ou prestadores de serviços.
[1] Keeper, Como os hackers ganham dinheiro. Disponível em https://www.keepersecurity.com/pt_BR/how-much-is-my-information-worth-to-hacker-dark-web.html
[2] NIS Cooperation Group publication (2023), Threats and risk management in the health sector – Under the NIS Directive. Disponível em https://ec.europa.eu/newsroom/ECCC/redirection/document/97124
[3] Agência da União Europeia para a Cibersegurança (2023), ENISA Threat Landscape: Health Sector. Disponível em https://www.enisa.europa.eu/publications/health-threat-landscape/@@download/fullReport.