De todos os dados que devem ser protegidos, os históricos de saúde — de intervenções cirúrgicas até informações farmacológicas — sejam, talvez, os mais sensíveis. Protegê-los é uma obrigação prevista na Lei Geral de Proteção de Dados (LGPD) e pode render multas e sanções pesadas caso haja um vazamento. Dessa forma, a cibersegurança na área da saúde deve ser uma prioridade de todos os gestores.
Em 2020, o setor da saúde liderou, globalmente, o ranking dos mais afetados por ciberataques e vazamentos ― ultrapassando segmentos como finanças e gestão pública. De fato, a pandemia iniciada naquele ano pegou muitas empresas de surpresa quanto à segurança digital, uma vez que a telemedicina e o trabalho remoto se tornaram indispensáveis. Entretanto, já é tempo de não só se adequar a essa nova realidade, mas também aos processos de cibersegurança na área da saúde.
3 ações que contribuem para a cibersegurança na área da saúde
Um levantamento de 2021 mapeou as principais ameaças à cibersegurança na área da saúde. São elas:
- Tráfego de rede malicioso: 72%;
- Phishing: 56%;
- Vulnerabilidades do sistema operacional: 48%;
- Ataque man-in-the-middle: 16%;
- Malware: 8%.
Isso mostra que os cibercriminosos atuam em diferentes frentes, o que dificulta o monitoramento de atividades suspeitas. Por outro lado, há muita tecnologia disponível para assegurar a integridade desses dados, como você vê na sequência.
Visibilidade do ambiente cibernético de terceiros
O trabalho de cibersegurança na área de saúde é bastante complexo. De um lado, aparelhos defasados, porém conectados à Internet e sob a mira de cibercriminosos. Do outro, empresas terceirizadas com acesso aos dados dos hospitais e clínicas. Entretanto, em caso de vazamento, pouco importa o local que foi invadido: para os clientes e colaboradores que contavam com a segurança dos dados, a sua empresa era a responsável por guardá-los. Ou seja, além dos danos financeiros por conta das multas, há, ainda, os prejuízos reputacionais.
Inclusive, isso já aconteceu no Brasil. Após encontrarem uma brecha de segurança nos sistemas de uma seguradora que presta serviços à empresa Decolar, cibercriminosos acessaram mais de seis mil dados de ex e atuais funcionários da companhia. Eles incluíam informações pessoais ― nomes completos, CPFs e datas de nascimento ― e dados sobre saúde. Nesse caso, ficaram expostas todas as informações sobre consultas e outros procedimentos médicos realizados em 2019 e 2020, consideradas altamente sensíveis.
Portanto, ter acesso à visibilidade do ambiente cibernético dos terceiros envolvidos na sua operação é um imperativo para quem trabalha na mitigação dos riscos envolvidos em caso de vazamentos.
Parcerias que mitiguem as vulnerabilidades
Além dos computadores administrativos, o ambiente hospitalar comporta conexões com laboratórios, que, por sua vez, ancoram conexões com um número incontável de dispositivos inteligentes de análise. Há, inclusive, sensores de cabeceira (ligados aos pacientes), roteadores públicos e corporativos, celulares internos e de terceiros, coletores de dados legados, câmeras, centrais telefônicas e terminais de consulta espalhados por corredores. E mesmo que muitas instituições hospitalares pareçam verdadeiras cidades digitais, poucas dispõem de uma arquitetura de IoT, ou mesmo de segurança em camadas, para combater as investidas dos cibercriminosos.
Para isso, o primeiro passo é identificar e gerir as vulnerabilidades. É importante que as empresas saibam que não basta somente uma resposta rápida aos incidentes de cibersegurança. Agora, é necessário um monitoramento proativo das ameaças cibernéticas às quais sua estrutura de TI possa estar exposta.
Por mais que a gestão de vulnerabilidades seja essencial para a sua segurança cibernética, compreendemos que nem sempre é simples implementá-la. Além do capital humano e estrutural que é exigido, esse trabalho depende de tecnologias avançadas ― a exemplo da Inteligência Artificial ― para que seja efetiva.
Não à toa, muitos empresários têm recorrido à terceirização. Entre as vantagens, destacam-se: o menor custo de operação; uma equipe de especialistas dedicada exclusivamente à sua gestão de vulnerabilidades (o que permite ao seu time de TI focar nas demandas internas); e a disponibilidade de acordo com a demanda real do negócio.
Cultura de segurança
Um dos maiores erros de cibersegurança nas empresas é manter essa questão restrita aos profissionais de TI. Diante de um cenário repleto de riscos quando tratamos sobre cibersegurança na área de saúde, este é um assunto que deve ser colocado em pauta entre todos os colaboradores. Ofereça cartilhas, faça reuniões e amplie o conhecimento dos colaboradores sobre prevenção aos ataques. Quanto mais eles estiverem munidos com as informações certas, menores serão as brechas para invasores.
Agora que você já sabe qual a importância da cibersegurança na área de saúde, está na hora de tomar medidas para mitigar os riscos envolvendo o compartilhamento de dados. Entre em contato com um dos especialistas da First Tech e veja como podemos garantir a segurança dos dados sensíveis de seus clientes, colaboradores e parceiros. Esperamos por você!