Incidentes de segurança são responsáveis por aumento expressivo de ameaças cibernéticas no setor de saúde
A Verizon elaborou relatório com estudo sobre incidentes de segurança no mundo. O setor de saúde apresentou 798 incidentes, com 521 casos de vazamentos de dados, o que aponta crescimento em relação ao ano anterior. Enquanto os casos de anos passados haviam sido causados majoritariamente por aplicações web mal configuradas, falhas de acesso e erros internos, o relatório apurou que as ameaças atuais decorrem de fatores externos.
Segundo especialista da área, o aumento de ataques via ransomware no setor de saúde ilustra a mudança do tipo de ameaça cibernética. Ainda, enfatizou a importância crucial em responder de maneira rápida a esse tipo de ataque no atual contexto da pandemia de Covid-19.
As organizações devem assegurar que possuem os controles adequados para a prevenção desse tipo de ameaça cibernética, incluindo combinação de ferramentas para combate ao phishing e manter backups segmentados na rede principal.
Apesar de pouco sofisticados, os ataques geralmente são bem sucedidos. e realizados com intenção de extorquir as vítimas, vez que 88% dos incidentes no setor da saúde foram designados visando a obter vantagem financeira.
As organizações de saúde devem investir recursos na área de segurança da informação, além de contar com assessoria especializada em direito digital, para evitar as sanções previstas na LGPD, e outras normas que protegem os dados pessoais dos titulares.
Hospital é multado por acesso indevido a prontuário médico por profissionais da área de serviço social
Em 2018, a Comissão Nacional de Proteção de Dados decidiu que o Hospital Barreiro-Montijo em Portugal violou os princípios da integridade e confidencialidade ao fazer o tratamento de dados pessoais dos pacientes. O acesso aos prontuários deveria ser de exclusividade dos médicos, contudo, o hospital fornecia acesso aos profissionais da área do serviço social.
No Brasil, o sigilo desse tipo de informação está protegido não apenas pela Lei Geral de Proteção de Dados Pessoais (LGPD), mas também pelo Código de Ética Médica e pela Constituição Federal, que garante o direito à privacidade e à intimidade.
Os sistemas de acesso aos prontuários médicos deveriam ter níveis de acesso diferentes, de acordo com a função exercida pelo profissional, de forma a resguardar os princípios da proteção de dados pessoais. No caso português, a alegação de ausência de recursos financeiros não foi suficiente para eliminarem a aplicação da multa e a repercussão do caso atingiu a reputação da instituição.
No Brasil as possíveis sanções, em casos similares, são multa judicial e administrativa, e ainda, a publicização da infração.
Vazamento de dados pessoais: fraude no envio de e-mail obtém acesso às credenciais de funcionários do centro de saúde
Em janeiro de 2020, um indivíduo não autorizado conseguiu acesso, através de uma campanha de phishing, às credenciais de e-mail de inúmeros funcionários de um centro de saúde nos Estados Unidos. Phishing é o nome atribuído a técnicas fraudulentas para obter informações confidenciais de usuários disfarçando-se como uma entidade confiável em uma comunicação eletrônica.
Como resultado, foram expostos dados pessoais de pacientes do centro médico, dentre os quais: nome, estado civil, data de nascimento, endereço, endereço de e-mail e número de telefone, número da seguridade social (espécie de CPF norteamericano), número do prontuário médico; números de conta de seguro de saúde, contas bancárias, dentre outros.
O caso serve como lembrete dos desafios contínuos envolvendo a prevenção e resposta a incidentes enfrentados pelas organizações de saúde, sendo fundamental o acompanhamento por profissionais da área de segurança da informação e proteção de dados pessoais. Como exemplo, o incidente em tela poderia ter sido evitado com a adição de software de filtragem de e-mail para ajudar os colaboradores a identificar possíveis mensagens de phishing, medida que integra um dos passos do plano de ação de um programa de governança digital.
Incidente de segurança no sistema de saúde gera indenização milionária para vítimas
A Banner Health, organização de saúde localizada nos EUA, foi alvo de ataques cibernéticos no ano de 2016, onde os servidores internos ficaram comprometidos. Os invasores obtiveram acesso não autorizado ao sistema de processamento de pagamentos de alguns estabelecimentos de alimentação da Banner Health, o que aparentemente abriu as portas para que os dados relacionados à saúde fossem acessados.
Através do acesso indevido, houve a exposição de inúmeros dados pessoais dos pacientes, além de informações sobre as clínicas. A organização notificou a partes impactadas, e implementou processo para investigar o caso. Entretanto, a demora em responder ao incidente gerou inúmeros prejuízos.
Houve processo coletivo contra a Banner Health, e um tribunal fixou acordo entre as partes. O acordo prevê o pagamento 8.9 milhões de dólares às vítimas do incidente, além do comprometimento da organização em adotar medidas de segurança. Tais medidas prevêem a contratação de um CISO para conduzir as melhorias necessárias nos programas de segurança, além de contratar 58 funcionários para o departamento de segurança da informação, incluindo líderes e profissionais dedicados à auditoria dos processos.
O caso segue a tendência de processos similares, onde entidades de saúde estabeleceram acordos milionários com vítimas de incidentes, e ficou evidente que, diante de falhas de segurança, a demora em responder de maneira adequada causa prejuízos às organizações.
Baixe gratuitamente o e-book A LGPD e seus efeitos para a prática médica e gestão de saúde, destinado a informar Redes de Saúde, Operadoras, Hospitais, médicos, enfermeiros e todos que trabalham na gestão dos serviços de saúde sobre os impactos da Lei Geral de Proteção de Dados Pessoais.