As vulnerabilidades das instituições de saúde e o cyber risco
As empresas do setor de saúde são alvos cada vez mais populares entre os criminosos cibernéticos. O Brasil está listado em quinto lugar entre países com maior grau de ataques cibernéticos no segmento, segundo a empresa Check Point Research (CPR). A principal ameaça é do tipo ransomware que são muito prejudiciais porque qualquer interrupção em seus sistemas pode afetar a capacidade das instituições de prestarem cuidados e colocar vidas em risco.
Cerca de 50% dos incidentes cibernéticos globais no terceiro trimestre de 2020 no setor de saúde foram desses chamados ransomware, que se caracterizam pelo sequestro de dados de dispositivos e liberação apenas com o pagamento de um “resgate”. Esses ataques estão se tornando mais prevalentes para provedores de saúde, uma vez que os grupos maliciosos julgam que essas instituições estão mais dispostas a pagar um resgate pela devolução de seus dados ou acesso ao sistema, em vez de sofrer os impactos associados a um incidente cibernético. Além disso, muitas organizações foram forçadas a realizar mudanças imediatas, quase inimagináveis, em seus ambientes de trabalho de TI, o que pode ter levado a um aumento em suas vulnerabilidades cibernéticas.
Recentemente, um ataque ao serviço de saúde pública da Irlanda paralisou o sistema e afetou o cadastro para imunização no país. E no ano passado, uma invasão cibernética atingiu três hospitais do estado Alabama, nos Estados Unidos, forçando-os a recusar todos os pacientes, exceto os mais críticos. Além de enfrentarem a forte pressão do número crescente de casos de coronavírus, essas instituições enfrentam a difícil tarefa de encarar a complexidade de adotar sistemas robustos, computação em nuvem e estratégias de segurança cibernética corporativa.
O setor da saúde também tem se preocupado especialmente com o vazamento de informações, já que tratam de informações classificadas como sensíveis, conforme classificação da Nova Lei Geral de Proteção de Dados, e ficam sujeitas a responder por eventuais responsabilidades que sejam imputadas, inclusive multas e penalidades estabelecidas na LGPD. Em 2020, uma falha de segurança no sistema do Ministério da Saúde expôs dados pessoais de mais de 200 milhões de brasileiros que fazem uso do SUS (Sistema Único de Saúde) e informações de 16 milhões de pessoas que tiveram diagnóstico suspeito ou confirmado de covid-19.
Como instrumento de proteção, o seguro cyber deve ser visto como um investimento para auxiliar e mitigar perdas financeiras em caso de eventuais vazamentos de dados, bem como prejuízos em face à interrupção dos negócios das instituições, em virtude de um ataque cibernético. Atualmente o seguro também é colocado como boas práticas de gestão de cyber risks, fazendo parte do controle de risco das grandes organizações, reduzindo exposições e sendo parte dos controles internos.
Os crimes cibernéticos estão cada vez mais sofisticados, por isso é importante as empresas estarem adequadas com políticas internas efetivas de segurança de informações e de dados, além de planos de contingenciamento, assim como adequação às diretrizes relacionadas à LGPD. Hoje é imprescindível realizar a gestão desses riscos e o seguro de cyber é um instrumento significativo para reduzir os prejuízos financeiros relacionados ao tema trazendo um significado de boas práticas de governança para o mercado.
*Ana Cristina Albuquerque é Head de linhas financeiras da Willis Towers Watson.