O especialista em segurança da informação, suporte e redes, Sérgio Kojima, faz um alerta quanto aos novos ataques sofisticados de ransomware (um vírus que sequestro de dados, inutilizando-o até que seja pago um ‘resgate’ para liberar o arquivo). Os principais alvos dos crackers (termo utilizado para se referir a pessoas que usam do seu conhecimento em tecnlogia para obter vantagens de forma desonesta) são empresas na área de Saúde, como clínicas, hospitais e consultórios.
“No Brasil, quem é da área de segurança da informação sabe que está acontecendo com frequência ataques com ransomware em Hospitais, clínicas e consultórios, pequenos a grandes centros. O problema não é divulgado, devida a falta de legislação de proteção de dados”, explica o especialista.
O sequestro destes dados pode fazer com que a empresa entre no modo manual emergencialmente e, em alguns casos, fechem permanentemente devido à extensa perda de registros de saúde dos pacientes.
Na Austrália, de acordo com um comunicado divulgado pelo Departamento do Premier e Gabinete de Victoria, um ataque ransomware descoberto um dia antes bloqueou o acesso a vários sistemas importantes de sete hospitais, incluindo o gerenciamento financeiro.
O isolamento dos sistemas afetados levaram ao desligamento de alguns sistemas de registro, reserva e gerenciamento de pacientes, que afetam o contato e agendamentos de pacientes. Nos EUA, três centros médicos disseram que não estão recebendo novos pacientes devido a um ataque ransomware.
Os pacientes atuais ficaram aguardando e não foram transferidos para outros centros médicos. Quando tinham exames, consultas e outros procedimentos, foram aconselhados a se informar antes de aparecer, pois não havia mais acesso aos registros.
Outro caso, porém com final drástico, aconteceu em um consultório médico na Califórnia que sofreu um ataque de ransomware, em agosto de 2019 e teve os dados pessoais de saúde de pacientes nos servidores e ainda, nos discos externos de backup (cópia de segurança), criptografados no ataque.
Não foi possível restaurar os registros. Como resultado, o consultório encerrará suas atividades em poucos meses.
Segundo o especialista, vários estudos mostraram que a área da saúde sofre ataques mais do que qualquer outro setor. “Por ser uma área de atuação que circula muito dinheiro, e infelizmente a área da tecnologia da informação na saúde não ser devidamente priorizada, já que, geralmente possui percentuais baixo de investimentos em relação aos lucros, deixando assim a TI da saúde defasada em relação às outras áreas, como a TI na área industrial”.
“O risco de aceitar um suborno de ransomware e pago-lo, alimenta muito a prática criminosa de cyber ataques, em vista que seria saudável em investir em prevenção, alinhada a processos emergenciais bem definidos”, completa Sérgio.
O quadro deve mudar em 2020, quando entra em vigor a Lei Geral de Proteção de Dados Pessoais, que regulamenta a coleta, o uso e o tratamento de dados pessoais, dando poder de “fiscalizador” a cada cidadão ou usuário titular quer tiver seus dados pessoais, por exemplo, expostos na internet devido a uma falha de segurança, agravada pela falta de soluções e procedimentos para prevenir, proteger e auditar.
A organização deve ainda divulgar a infração com multas em casos devidamente apurados, e informar o ocorrido aos usuários afetados. Dependendo do caso, a organização pode ser impedida de utilizar os dados pessoais envolvidos na infração ou serem eliminados.
“Para piorar, não se sabe se as informações de saúde e dados pessoais dos pacientes foram coletadas juntamente com os ataques com ransomware. O que se sabe é que, os registros médicos são mercadorias valiosas na Dark Web (mundo do crime digital)”, completa o especialista.
Na área de saúde no Brasil, já existiam regulamentações com o objetivo de proteger tais informações. “Com a nova legislação, são acrescidas sanções com multas, punições e proibições, o que nem sempre é bem visto pela administração dessas organizações, se deixando levar pela ideia que o órgão regulador está querendo tirar proveito, e se esquecem que, ao mesmo tempo na verdade estão acelerando as empresas da área de saúde no rumo de tornarem o seu negócio muito mais seguro e organizado, diminuindo o risco do seu negócio parar”, diz Sérgio.
“É sempre bom lembrar que são as vidas que estão sempre em risco, mesmo se tratando de acesso as informações de tecnologia da informação na área da saúde”, finaliza o especialista.