O setor de saúde foi o terceiro mais atacado em 2021. Essa constatação é do relatório anual da Apura Cyber Intelligence. De acordo com o mapeamento, muitas das informações roubadas em ciberataques são vendidas na dark web (servidores anonimatos na internet) e chegam a valer mais do que informações bancárias.
O estudo destaca que, durante a pandemia, hospitais, clínicas e outras instituições da área da saúde, públicas e privadas, tiveram forte impacto da digitalização. Porém, a mudança dos serviços para o mundo virtual não foi acompanhada por investimentos em infraestrutura e segurança, o que deixou o setor de saúde à mercê de ciberataques. Dados pessoais armazenados pelas empresas do segmento passaram a ser alvo principal de hackers, colocando em risco até a vida de pacientes.
Segundo o relatório, a área da saúde foi a terceira mais atacada no Brasil por ransomware, ficando atrás apenas de Governo e Indústria. “Até então, as empresas de saúde não se sentiam alvos por não lidarem com dados bancários, porém, as informações de um paciente não mudam nunca e podem nutrir detalhes para golpes ainda maiores do que um desvio do saldo bancário. E por que esse dado no mercado vale mais do que de cartão de crédito? Porque ele permite que você faça fraudes muito maiores do que realizar uma compra na internet ou um empréstimo. A partir do dado pessoal do paciente, é possível fraudar seguro de vida, por exemplo, com valores muito maiores do que um roubo de cartão. Em média, dados referentes ao histórico médico de um paciente valem, na dark web, em torno de 50 vezes mais que dados bancários”, explica Alexandre Sgarbi, Diretor da consultoria de negócios Peers Consulting.
Leia mais: Aportes em startups de saúde crescem e abrem espaço para inovação
Para o consultor, a enorme cadeia de negócios envolvidos na saúde, desde rede farmacêutica até hospitais, torna o setor ainda mais frágil. “Já existem casos de hackers conseguirem o contato de fornecedores de saúde de medicamentos do hospital, por exemplo, fraudar a compra desse medicamento e vender como droga no mercado negro. Há muito espaço para novos crimes cibernéticos no mercado da saúde, pois é algo muito recente”, conta Sgarbi, complementando que ataques a equipamentos de saúde podem prejudicar o tratamento de pacientes e colocar a vida deles em risco.
Ausência de regulamentação no Brasil
Pela alta exposição a ciberataques, os Estados Unidos possuem certificações para segurança da informação na saúde. A HIPAA (Health Insurance Portability and Accountability Act) é uma lei estrangeira aplicável no território americano, que deve ser cumprida pelas empresas do segmento de saúde para proteção dos dados. No Brasil, a lei mais próxima que existe é a LGPD.
O Congresso também reconheceu em fevereiro deste ano a proteção de dados pessoais como direito fundamental do ser humano, tornando-a cláusula pétrea da Constituição Federal. No entanto, a adequação das empresas à LGPD ainda é lenta no país, mesmo com penalidades que podem abocanhar até 2% do faturamento anual da empresa.
Diante disso, a resolução nº 2 da Autoridade Nacional de Proteção de Dados (ANPD), editada em janeiro deste ano, buscou reduzir os custos de adequação à LGPD aos chamados ‘agentes de tratamento de pequeno porte’, como microempresas, empresas de pequeno porte e startups. A flexibilização, porém, exige uma atenção ainda maior ao investimento em segurança digital, já que um ataque traz prejuízos não só financeiros, como de reputação.
“Daqui pra frente, com o mundo cada vez mais digitalizado, será importante que as empresas tenham segurança não apenas física, mas digital. Há muitos ataques para obtenção e sequestro de dados. A legislação concede os dados para a pessoa física, cabendo à empresa a guarda e proteção. Todos precisam se profissionalizar na questão da cibersegurança”, ressalta Bruno Bueno, do escritório Barros Pimentel Advogados.
“Em softwares não licenciados, como não há garantias e atualizações, é possível identificar mais de 2.500 vulnerabilidades nos chamados pentests (ou testes de intrusão), que são capazes de avaliar a segurança de um sistema computacional ou de uma rede, simulando um ataque de uma fonte maliciosa. Por meio do Pentest é possível detectar vulnerabilidades em sistemas. Já em um software licenciado, como o Código Fonte que adquirimos, os testes chegaram a ‘zero’ vulnerabilidade”, afirma André Ceron, Diretor de Infraestrutura e Segurança da Bionexo.
>> Inscreva-se ou indique alguém para a seleção Under 30 de 2022