0
0
Um novo estudo da Critical Insight mostra que os ataques cibernéticos ao setor da saúde estão atingindo mais pessoas e explorando vulnerabilidades em parceiros de negócios das instituições de saúde.
De acordo com um post de 2021 no blog do Fórum Econômico Mundial, houve um aumento dos ataques cibernéticos ao setor da saúde durante a fase mais aguda da pandemia de Covid-19, que resultou em mais de 10 milhões de registos roubados ao longo de pouco mais de um ano. A pandemia acabou, mas o “termômetro” que mede o volume de ataques cibernéticos ao setor mostra que, embora tenha havido uma redução das violações a instalações de saúde, em contrapartida houve um aumento no número de pessoas afetadas por roubo de registros pessoais, bem como dos ciberataques às cadeias de suprimentos corporativas e a terceiros. Além disso, os invasores estão se concentrando mais em extorsão e não apenas em táticas de negação de serviço (DoS).
Na verdade, o novo Relatório de Violação Cibernética de Dados de Saúde de 2023 da Critical Insight, mostra, paradoxalmente, que, embora o ano esteja no caminho certo para ter o menor número de violações desde 2019, os registros individuais comprometidos são os mais elevados de todos os tempos em um período de seis meses (veja gráfico abaixo).
Ainda de acordo com o relatório, que se baseou em uma análise de violações de dados relatadas por organizações de saúde nos EUA, as vulnerabilidades das instituições de saúde caíram 15% nos primeiros seis meses deste ano, na comparação com o segundo semestre de 2022. No entanto, houve um aumento de 31% no número de registros individuais comprometidos, afetando 40 milhões de pessoas (74% do número total de indivíduos afetados em 2022 e o maior número já registrado em um período de seis meses, segundo a empresa), ante 31 milhões no segundo semestre de 2022.
Michael Hamilton, CISO da Critical Insight, disse que os invasores que buscam maior ROI [retorno do investimento] com risco reduzido explicam a mudança para alvos maiores e uma cauda longa cada vez menor de alvos menores ou com potencial limitado. “A mudança de prioridades dos atacantes tem a ver com a minimização do seu próprio risco e a maximização dos seus resultados. Se conseguirem atacar uma organização e obter um ROI melhor, farão isso. É isso que estamos vendo”, disse ele.
O número médio de indivíduos afetados por violação também atingiu um máximo histórico de 131 mil, refletindo o menor número de violações e o impacto das grandes violações na média geral.
Os incidentes de hacking e de TI foram responsáveis por 73% das violações, de acordo com o relatório, cujos autores afirmam que o foco dos invasores nas vulnerabilidades dos servidores de rede tem, em parte, a ver com o aumento do uso de endpoints de e-mail nas organizações. De acordo com o relatório, as violações a servidores de rede foram responsáveis por 97% dos registros individuais afetados, contra apenas 2% dos registros comprometidos por violações de e-mail (veja gráfico abaixo).
Os hackers também estão se movendo lateralmente para atacar organizações terceirizadas. De acordo com o estudo, os ataques contra parceiros terceirizados foram “significativamente maiores do que os indivíduos afetados por violações relacionadas a prestadores de serviços de saúde e planos de saúde”. A Critical Insight informou que dos 40 milhões de registros expostos, 48% estavam vinculados a parceiros comerciais, enquanto 43% estavam associados a prestadores de cuidados de saúde.
Um exemplo de ataque feito por meio de vulnerabilidades de terceiros, citado pela Critical Insight, foi o da empresa americana de benefícios suplementares NationsBenefits Holdings, que divulgou que uma violação originada em seu provedor de serviços de segurança cibernética terceirizado impactou 3 milhões de indivíduos em seu sistema.
Os autores do relatório observaram que as clínicas especializadas sofreram o maior número de ataques de hackers e incidentes de TI, seguidas por hospitais, empresas de medicina de grupo, de serviços e suprimentos, saúde comportamental, ambulatórios e provedores de serviços de atendimento domiciliar.
O relatório também ressalta que um único ataque bem-sucedido em grande escala pode distorcer as conclusões. No primeiro semestre 2021, por exemplo, apenas 4% dos indivíduos na categoria de serviços e suprimentos foram afetados por ataques, enquanto no mesmo período de 2022 esse índice saltou para 19%. Da mesma forma, um único ataque a uma empresa de medicina de grupo elevou o índice desse microssegmento de 4% no segundo semestre de 2022 para 22% no primeiro semestre deste ano.
Número de violações sobreposto ao número de registros afetados desde 2021. Fonte: Critical Insight
Os incidentes de hackers/TI mais que dobraram em relação ao segundo semestre de 2022, enquanto o acesso não autorizado caiu pela metade. Fonte: Critical Insight
FONTE: CISO ADVISOR