Logo MEDICINASA 2020 WHITE OK
Instagram Linkedin Facebook Twitter

Cibersegurança na saúde: o elo frágil entre pacientes, sistemas e hackers

O número de ataques cibernéticos usando técnicas da engenharia social, que explora a confiança e a psicologia humana, aumenta no Brasil e no resto do mundo. E o setor de saúde é um dos mais visados, afirma Ingrid Winkler, membro do Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE), maior organização profissional técnica do mundo dedicada ao avanço da tecnologia em benefício da humanidade. Phishing (enviar e-mails falsos que solicitam informações de login, dados financeiros ou sensíveis), pretexting (hacker se faz passar por um funcionário de suporte técnico para obter acesso a contas ou sistemas) e vishing (fazer ligações telefônicas para enganar a vítima) são algumas das artimanhas mais aplicadas pelos cibercriminosos especializados em engenharia social.

Ingrid Winkler

Nem mesmo mecanismos de proteção de dados sensíveis como a Lei Geral de Proteção de Dados Pessoais (LGPD, no Brasil), o Regulamento Geral sobre a Proteção de Dados (GDPR, da União Europeia) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPPA, nos Estados Unidos) inibem o aumento de investidas maliciosas.

“Os diferentes grupos de cibercriminosos ambicionam visibilidade ao obter informações sigilosas para serem revendidas na Deep Web ou mesmo para atuar em colaboração com outros hackers em ataques com métodos da engenharia social. Um dos crimes mais comuns é interromper a prestação de serviço de uma organização, cobrando resgates para normalizar os sistemas corrompidos”, diz Ingrid, sublinhando que o setor de saúde costuma ser um alvo preferencial dos hackers por armazenarem ativos sensíveis e cobiçados em um sistema de conexão com fornecedores terceirizados e prestadores de serviços que dificultam o gerenciamento de um perímetro de monitoramento.

A título de ilustração, para continuar na saúde, pública e privada, esse setor ainda é alvo de ações criminosas com dispositivos capazes de interromper operações, indisponibilizar atendimento e rotinas como marcação de consultas e atendimento por telemedicina. Sem contar na captura de prontuários de pacientes ou investida na cadeia de suprimentos de terceiros diretamente vinculados à rotina da organização.

Além disso, o uso da Inteligência Artificial (IA) para normalizar movimentos fora do padrão e a oferta de ransomware (um software malicioso) como serviço (RaaS) para hackers habilita novos cibercriminosos para ataque às empresas. O ransomware é uma ameaça cibernética frequente, “envolvido em 20% de todos os incidentes de cibercrime, segundo o IBM X-Force Threat Intelligence Index.

Apesar de setores como sistemas financeiro e saúde estarem entre os mais atacados por hackers usando engenharia social, as pessoas físicas também estão cada vez mais vulneráveis. Segundo pesquisa publicada no relatório Global de Tendências de Fraude Omnichannel da TransUnion, divulgado em junho deste ano pela Agência Brasil, “40% dos brasileiros já foram alvo de fraudes por e-mail, internet, telefone ou mensagens de texto e 10% dos pesquisados disseram ter caído nos golpes. As perdas atingiram uma média de R$ 6.311”.

Ainda conforme o relatório: “53% dos entrevistados globalmente foram alvo de esquemas fraudulentos por canais como e-mail, internet, telefone e mensagens de texto entre agosto e dezembro de 2024. E ao menos 47% disseram não reconhecer que foram alvos desses golpes”.

Como os setores podem se proteger nesse cenário

Os players do segmento financeiro, de saúde e outros ecossistemas indefesos precisam mobilizar esforços para saber quando serão ou são atacados, como isso acontece e o que pode ser feito para minimizar esse risco antecipadamente.

Ingrid recomenda a adoção de governança de risco, somada à segmentação de redes e gestão de terceiros. A estratégia de defesa também inclui backups imutáveis, patching (correção) contínua, proteção redobrada de API (Application Programming Interface, em inglês) a interface de programação de aplicativos. E mais: sistemas em nuvem, de treinamento antiphising e conscientização das equipes que podem ser vítimas de aliciamentos ou chantagens para viabilizar o acesso ilegal aos sistemas.

“Segurança é um risco de negócio inerente ao desenvolvimento de novas ferramentas para simplificar a resolução de problemas. Dessa forma, a tecnologia, os processos e os fatores humanos precisam convergir na mesma direção, com o mesmo propósito”, enfatiza Ingrid, destacando a contribuição dos Centros Setoriais de Troca de Inteligência de Segurança, conhecidos como Information Sharing and Analysis Centers (ISACs) e H-IASC no setor de saúde, por exemplo.

Em outra frente de atuação com o mesmo objetivo, existe um mecanismo de cooperação entre universidades e institutos internacionais de investigação como a sinergia entre o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) e o Comitê Gestor da Internet no Brasil (CGI.br), a OEA/Interpol e centros de ensino no Brasil, como a Universidade SENAI CIMATEC, na Bahia.

Outro caminho para prevenir cibercrimes está sendo desenvolvido no laboratório da mesma instituição de ensino na Bahia. A equipe de Ingrid está debruçada em analisar como o uso de eye-tracking ou rastreamento ocular e análise de sentimento conseguem potencializar a simulação de ataques cibernéticos e, ao mesmo tempo, treinar profissionais desse setor para responderem a esses incidentes. A proposta do trabalho é medir níveis de estresse dos envolvidos na atividade e monitorar a eficácia dessas ações de controle.

Tags:

Sobre

A Medicina S/A é a mais importante revista de negócios, gestão e liderança do setor médico-hospitalar no Brasil. Com alto padrão editorial, nosso conteúdo apresenta os mais recentes e importantes avanços em Inovação, Tecnologia e Boas Práticas em Saúde. Compartilhamos a visão de empresas, instituições e profissionais que estão transformando o mercado de healthcare.

Institucional

Siga nossas Redes

Instagram Linkedin Facebook Twitter

Medicina S/A 2021 © Todos os direitos reservados.

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: A Medicina S/A usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Veja nossa Política de Privacidade.