*André Dutra
Nossa preocupação como
pessoas e cidadãos quando tratamos de questões relacionadas à saúde e pesquisas
médicas tendem a ser direcionada ao atendimento médico, a melhoria dos
medicamentos, novos tratamentos, ao aumento da qualidade de vida e questões
estéticas. Por trás desta indústria, existe uma das maiores necessidades de
mercado por informações sensíveis onde diversas delas são de valor financeiro e
estratégico, seja dos pacientes, das indústrias e hospitais, assim como dos
centros de pesquisa.
Nos últimos anos, grupos
de hackers perceberam isso e começaram a mudar seu foco dos setores financeiros
e bancários para a saúde. Mas o que causa este movimento, visto que informações
médicas, apesar de alto valor não podem ser utilizadas facilmente no mercado?
Em primeiro lugar temos a
mudança do perfil de segurança das instituições financeiras. Estas estão
aumentando significativamente o investimento em tecnologia, processos e pessoas
com foco em segurança em toda a cadeia de valor de seus produtos. Desta forma as
fraudes em cartões de crédito e bancos passam a ser identificadas mais
rapidamente.
Em segundo lugar, temos as
ações criminosas no universo cibernético ocorrendo de forma profissionalizada e
em alguns casos supostamente subsidiada por governos. Estas ações visam ações
de ganho financeiro, estratégicos ou de desestabilidade política e econômica.
Por último temos a busca
por informações de propriedade intelectual. Este é o ativo de maior valor para
qualquer instituição que lida com pesquisas de
produtos, serviços e dados de clientes que geram valor de mercado para
organizações.
Voltando ao setor de
saúde, o que estas situações significam para o aumento de exposição de
segurança no setor? As peças se encaixam de tal forma que apontam o novo alvo
preferido de ações criminosas, tais como redes médicas, hospitalares e de
pesquisa cientifica (incluam neste grupo faculdades, centros de excelência e
hospitais de referência). Porque esta mudança ocorre?
Estudos de ataques
publicados pela IBM e pelo ISACA (Information Systems Audit and Control
Association) apresentam que os criminosos efetivamente mudaram o foco desde
2015. No ano passado, o volume de incidentes que geraram perda de valor
estratégico ou financeiro no segmento médico ultrapassou significativamente
todos os outros setores e alcançou o primeiro lugar. Em 2014 o setor não
aparecia no TOP 5.
Em 2016 ocorreu o mesmo
fato, porém com foco direcionado em propriedade intelectual e dados de
pacientes. Durante o evento de infraestrutura crítica e segurança realizado em
novembro deste ano em São Paulo, pelo Data Center Dynamics, o ISACA apresentou
a expectativa de que as perdas geradas com comprometimento de segurança podem
passar dos 500 Bilhões de USD em todo o mundo. Enquanto que o investimentos em
segurança global está próximo dos 30 Bilhões.
O IDC (International Data Corporation) estima que os valores de
informações médicas podem valer até 50 vezes mais do que outras informações
atualmente roubadas em ações criminais digitais. E que um em cada três
pacientes terão seus dados roubados de instituições médicas.
Numa recente pesquisa
divulgada pela Universidade Estadual da Carolina do Norte, dos Estados Unidos,
aponta na mesma direção e acrescenta uma informação importante: o setor médico considera
os riscos cibernéticos como operacional e não estratégicos.
Um documento do NIST
(National Institute of Standards and Technology) divulgado em conjunto com a
GE, em 2011, mostrava que os equipamentos e procedimentos médicos são inseguros
desde a concepção dos equipamentos. A mudança do tratamento da exposição é uma
necessidade de posicionamento do setor e não um risco operacional. Em 2014, na
Áustria, um paciente baleado hackeou o hospital onde estava para aumentar sua
própria dose de morfina. Se um paciente baleado consegue fazer estas
alterações, o que um hacker ou criminoso poderia fazer?
Para entender melhor
porque as informações de hospitais são de tamanho valor é simples. Elas são
persistentes e seguem a vida inteira dos afetados. Além disso, nos registros
médicos podem ser obtidas informações bancárias, dados pessoais, histórico de
consumo de medicamentos e doenças, violação de dados privados sensíveis de
pessoas públicas ou políticas e muitas outras que permitem fraudes, obtenção
ilegal de medicamentos, insumos para identidades falsas, ação direcionada de spearphishing
a pacientes de alto valor, etc.
Todo este conjunto de
possibilidades online e digitalizadas faz com que os dados contidos em
hospitais e centros de pesquisa sejam mais lucrativos do que dados bancários
sozinhos, além de normalmente ser mais fácil a sua obtenção.
Qualquer pessoa pode mudar
de conta, banco, cartão de crédito, mas ela não mudará a si mesma, as suas
características, as informações pessoais, dentre outros dados orgânicos.
A digitalização e
agilidade dos hospitais e centros de pesquisa é um caminho obrigatório para a
eficiência e agilidade do setor, porém é necessário que ações de segurança
sejam iniciadas o quanto antes.
*André Dutra é IT Consulting da Protiviti, consultoria global
especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da
Ética, Prevenção à Fraude e Gestão da Segurança.