Os gastos com saúde nos EUA — que é o mais alto entre os países desenvolvidos — representam 18% do produto interno bruto do país, ou cerca de US$ 3,5 trilhões, estimam os Centros de Serviços Medicare & Medicaid, e esse número deve subir na próxima década.
Um relatório prevê que os gastos globais em saúde aumentarão de quase US$ 8 trilhões (USD) em 2013 para mais de US$ 18 trilhões em 2040.
Em geral, o alvo tentador nas costas dos cuidados de saúde tem sido atribuível a sistemas de TI desatualizados, menos protocolos de segurança cibernética e equipe de TI, dados valiosos e a necessidade premente de práticas médicas e hospitais pagarem resgates rapidamente para recuperar dados.
A Cybersecurity Ventures prevê que o mercado global de cibersegurança em saúde crescerá 15% em relação ao ano anterior nos próximos cinco anos e atingirá US$ 125 bilhões acumulados em um período de cinco anos de 2020 a 2025.
O que está impulsionando esse investimento astronômico em defesa cibernética? Ataque cibernético. Ou seja, um grande número de hacks e violações de dados amplas lançadas em hospitais e prestadores de serviços de saúde.
Saúde sofre 2-3X mais ataques cibernéticos do que serviços financeiros
Um ano atrás, bem antes da pandemia COVID-19, o The Wall Street Journal informou que os ataques cibernéticos contra prestadores de cuidados de saúde e hospitais haviam se intensificado a ponto de alguns médicos estarem afastando os pacientes.
Mas espere, fica pior
Alguns centros de saúde desligaram as luzes e desligaram completamente suas operações. Aparentemente eles não conseguiram lidar com a interrupção pós-ataque em suas operações.
Uma clínica médica em Simi Valley, Califórnia, fechou suas portas depois de ser infectada por um ataque de ransomware. Uma orelha, nariz, garganta (ENT) e centro auditivo em Battle Creek, Mich. fechado após um hack de dados apagar todos os seus arquivos.
“As organizações de saúde enfrentam desafios de segurança muito particulares e não é porque os ataques cibernéticos são únicos, mas por causa do que está em jogo”, diz Robert Herjavec, fundador e CEO do Herjavec Group, uma empresa líder global de cibersegurança e provedor de serviços de segurança gerenciada (MSSP).
Insegurança ioT
Kathy Hughes, CISO (diretora de segurança da informação) da Northwell Health, um dos maiores sistemas de saúde do país, disse à Cybercrime Magazine que os dispositivos IoT (Internet das Coisas) são, em sua opinião, computadores com sistemas operacionais (OS), semelhantes a outros tipos de computadores – e esses dispositivos são suscetíveis às mesmas ameaças cibernéticas. Ela acrescentou que os dispositivos IoT têm um sistema operacional pequeno e que a segurança é um bolt-on em vez de embutido.
Inside jobs
The insider threat is the number one security challenge for hospitals, according to Hughes, who is responsible for protecting 68,000 employees, which makes Northwell, a non-profit, New York state’s largest private employer.
More than half of insider fraud incidents within the healthcare sector involve the theft of customer data, according to CMU SEI (Carnegie Mellon University Software Engineering Institute).
COVID-19
Hacking patients’ medical devices is a common cyberattack during the COVID-19 pandemic because more patients are using remote care, according to Natali Tshuva, CEO and co-founder of Sternum, an IoT cybersecurity company that provides medical device manufacturers with built-in security solutions.
As instalações médicas temporárias e improvisadas que estão sendo usadas para cuidar de pessoas infectadas com o novo coronavírus criaram mais vulnerabilidades para os hackers explorarem.
O phishing COVID-19 explodiu no início deste ano, de acordo com uma pesquisa da KnowBe4, um dos principais provedores de treinamento de conscientização de segurança. Muitos dos golpes pareciam vir de organizações como a Organização Mundial da Saúde e os Centros de Controle de Doenças. Equipes de TI e segurança cibernética já sobrecarregadas foram encarregadas de acompanhar essas novas ameaças.
Estatísticas de Cibersegurança em Saúde
Para resumir o estado de cibersegurança no setor de saúde, os editores da Cybercrime Magazine compilaram os seguintes pontos de dados:
- A Cybersecurity Ventures prevê que os cuidados de saúde sofrerão 2-3X mais ataques cibernéticos em 2021 do que a quantidade média para outras indústrias. Práticas de segurança lamentavelmente inadequadas, senhas fracas e compartilhadas, além de vulnerabilidades em código, expõem os hospitais a criminosos com a intenção de hackear tesouros de dados de pacientes.
- Os ataques de ransomware contra organizações de saúde foram previstos para quadruplicar entre 2017 e 2020, e crescerão para 5X até 2021, de acordo com um relatório da Cybersecurity Ventures.
- O Secretário do Departamento de Saúde e Serviços Humanos dos EUA (HHS) Violação de Informações de Saúde Protegidas Não Protegidas lista 592 violações de informações de saúde protegidas não protegidas que afetam 500 ou mais indivíduos nos últimos 24 meses que estão atualmente sob investigação do Escritório de Direitos Civis. 306 das violações foram apresentadas em 2020.
- Na edição do ano passado da Pesquisa himss de cibersegurança, quase 60% dos representantes de hospitais e profissionais de TI de saúde nos EUA disseram que o e-mail era o ponto mais comum de compromisso de informações. Isso se refere a golpes de phishing e outras formas de fraude de e-mail.
- 24% dos funcionários de saúde dos EUA nunca receberam treinamento de conscientização sobre segurança cibernética,mas sentiram que deveriam, de acordo com um relatório analisado pela Health IT Security no verão passado. Esse tipo de treinamento visa ajudar os usuários a detectar e reagir a golpes de phishing, que iniciam mais de 90% de todos os ataques cibernéticos.
- Mais de 93% das organizações de saúde sofreram uma violação de dados nos últimos três anos, e 57% tiveram mais de cinco violações de dados no mesmo período.
- Enquanto 91% dos administradores hospitalares consideraram a segurança dos dados como um foco principal no ano passado, 62% se sentiram inadequadamente treinados e/ou despreparados para mitigar riscos cibernéticos que podem afetar seu hospital, de acordo com uma pesquisa da Abbott.
- Os hospitais gastam 64% mais anualmente em publicidade após uma brecha nos dois anos seguintes, de acordo com um relatório de dezembro de 2018 do American Journal of Managed Care.
- Quatro a sete por cento do orçamento de TI de um sistema de saúde está em segurança cibernética, em comparação com cerca de 15% para outros setores, como a indústria financeira, de acordo com Lisa Rivera, uma ex-promotora federal que agora está focada em aconselhar prestadores de cuidados de saúde e empresas de dispositivos médicos em questões relacionadas a fraudes e abusos civis e criminais em saúde, bem como investigações e fiscalização governamentais.
- A empresa de pesquisa em TI Gartner prevê que, em 2020, mais de 25% dos ataques cibernéticos em organizações de assistência médica envolverão a Internet das Coisas (IoT). Para ser claro, em termos médicos, isso significa dispositivos médicos implantáveis (IMDs) conectados sem fio e monitorados digitalmente — como desfibriladores cardioversores (ICD), marcapassos, neuroestimuladores cerebrais profundos, bombas de insulina, tubos de ouvido e muito mais.
- Pesquisas realizadas em outubro de 2018 indicam que os dispositivos médicos apresentaram uma média de 6,2 vulnerabilidades cada; 60% dos dispositivos médicos estavam em fase de fim de vida, sem patches ou upgrades disponíveis.
- O blogueiro e autor de segurança cibernética Brian Krebs relatou no final do ano passado que os hospitais atingidos por uma violação de dados ou ataque de ransomware podem esperar ver um aumento na taxa de mortalidade entre pacientes cardíacos nos meses ou anos seguintes devido aos esforços de remediação da segurança cibernética. Isso é de acordo com um estudo da Universidade Vanderbilt.
Tumores falsos?
O mais assustador de todos os descontentamentos cibernéticos no espaço de saúde pode estar à frente.
Pesquisadores em Israel anunciaram no ano passado que criaram um vírus de computador capaz de adicionar tumores em tomografias computadorizadas e ressonâncias magnéticas — malware projetado para enganar médicos para diagnosticar mal pacientes de alto perfil, de acordo com uma matéria de Kim Zetter no The Washington Post.
Salvando vidas
“A vida dos pacientes está em jogo”, diz Herjavec. “Se um ataque cibernético acontecer na área da saúde, então os registros de saúde podem ser roubados, dispositivos que salvam vidas podem ser interrompidos — você o nome. Infelizmente, esses desafios só estão se intensificando à medida que a pandemia COVID-19 acelera a transformação digital.”
Herjavec vem alertando sobre ataques de ransomware a hospitais e prestadores de serviços de saúde há mais de três anos.
Provedores de saúde, conselhos e executivos da suíte C precisam levar a ameaça cibernética tão a sério quanto a Herjavec. Ninguém quer que a morte de um paciente seja um alerta para a segurança cibernética.
FONTE: CYBERCRIME MAGAZINE