No último dia 13 de novembro foi publicado um importante relatório de segurança que deve deixar em alerta as empresas e instituições que lidam com dados de saúde. O relatório de 36 páginas denominado “TÁTICAS E TÉCNICAS DE CIBERCRIME: a situação da saúde em 2019” [1] aponta que ataques cibernéticos contra organizações de saúde nos Estados Unidos aumentaram 60% nos primeiros nove meses deste ano, em comparação com todo o ano de 2018.
Ainda que o estudo não inclua dados Brasileiros, e não exista relatório similar no Brasil, a experiência de nossos analistas pesquisadores em 2019 aponta que situação similar tem sido enfrentada aqui pelas empresas de saúde, clínicas e hospitais. Sem sombra de dúvidas os cibercriminosos estão cada vez mais interessados em dados médicos no Brasil. Assim, o setor de saúde é alvo de cibercrime por vários motivos óbvios. O principal deles é a natureza sensível e valiosa das informações, que podem facilmente render alto rendimento.
Os dados de identificação de pessoas em planos de saúde, prontuários médicos, e outros registros eletrônicos de saúde, têm sido cada vez mais atrativos para o submundo do cibercrime. Em resumo, nossas pesquisas apontam que bancos de dados médicos completos podem valer até US$ 500.000,00 na Dark Web [2]. Vendedores têm comercializado cadastros de planos e seguros de saúde, ou prontuários médicos válidos, entre US$ 0,50 e US$ 1,00 por unidade. Ademais, comerciantes têm vendido recibos e declarações fiscais fraudulentas baseadas em registros médicos roubados por US$ 15,00 cada. Além disso, eles vendem certidões de nascimento baseadas em dados roubados de registros médicos por até US$ 500,00 no submundo da Internet. Portanto, considerando que os dados vazados estão envolvendo a casa de milhões de cadastros, os criminosos encontraram uma mina de ouro neste negócio.
Cibercriminosos no Brasil
No Brasil temos observado que cibercriminosos, cada vez mais, procuram vulnerabilidades em aplicações da área de saúde expostos na Internet. Empresas terceirizadas, sem ligação direta com a instituição de saúde que utiliza os softwares, os desenvolvem em sua maioria. Além disso, essas empresas frequentemente não demonstram preocupação com o desenvolvimento seguro ou com as melhores práticas de segurança da informação, sejam elas tecnológicas ou de governança. No entanto, estes softwares não atendem requisitos mínimos de proteção de dados e possuem ciclos de desenvolvimento deficiente, negligenciando etapas adequadas de testes e depuração. Isso faz com que não sanemos adequadamente as falhas óbvias, e essa é a principal origem dos problemas.
Portanto, as vulnerabilidades nesses softwares, principalmente em sites de autoatendimento e aplicações mobile, permitem que criminosos infectem outros sistemas e pontos da rede da instituição. Esses comprometimentos acabam resultando no vazamento ou sequestro de dados.
Área de saúde e o cibercrime
Outra fonte de informação que deve alertar bem como, guiar a área de saúde do Brasil para 2020 é o conjunto de estatísticas de violação de dados de assistência médica nos EUA [3]. A legislação americana HIPAA [4] obriga que empresas que lidam com dados médicos notifiquem os indivíduos afetados e o Departamento de Saúde e Serviços Humanos (US-HHS) [5] caso ocorra uma situação de vazamento de dados, suspeita ou efetiva. Em seguida, o gráfico mostra a evolução das notificações de vazamento ao US-HSS desde 2009, quando a legislação entrou em vigor.
Figura – Violações de dados de saúde notificados por ano. Fonte: HIPPA Journal, 2019 [3]
Violação de registros na sáude
Segundo os dados do US-HHS, entre 2009 e 2018, ocorreram 2.546 eventos de violações de registros de dados de saúde nos EUA, e este número considera apenas os vazamentos acima de 500 registros oficialmente reportados e registrados. No entanto, essas violações resultaram no roubo ou exposição de 189.945.874 cadastros de saúde, equivalente a quase 60% da população dos Estados Unidos. Temos conhecimento também que tais violações de dados agora estão sendo relatadas a uma taxa de mais de uma ao dia. Sendo assim, considerando que cada registro tem informações pessoais variadas, cada uma de um interesse e valor específico, estamos falando de fraudes que podem chegar facilmente à casa de dezenas de milhões de dólares.
Novamente, ainda que não existam dados similares por aqui, nossa experiência mostra que o comportamento ascendente da curva no Brasil é o similar aos EUA nos últimos 5 anos. A partir do próximo ano a LGPD obrigará as empresas a notificar sobre o vazamento de dados e então será possível confirmar estas afirmações.
Preocupação real e imediata
Em virtude dos dados e fatos alarmantes observados em 2019 podemos afirmar, sem sombra de dúvidas, que as empresas e instituições de saúde precisam passar a ter preocupação real e imediata com a segurança cibernética de seus dados, sistemas e redes. Ademais, é preciso preparar e capacitar corretamente as pessoas que lidam com estes ativos, para que todos os atores estejam cientes de seus papéis e suas responsabilidades. Assim, é esperado que a Lei Geral de Proteção de Dados Pessoais (LGPD) comece a minimizar este cenário a partir do próximo ano. Pois, os cidadãos são o elo mais fraco na cadeia predatória do cibercrime.
Adriano Mauro Cansian é doutor em segurança de computadores. Professor associado e Pesquisador Chefe da UNESP – Universidade Estadual Paulista possui 27 anos de experiência em P&D em segurança cibernética. É membro do Conselho Consultivo da Resh Cyber Defense. https://www.linkedin.com/in/adrianocansian/
[1] ZAMORA, Wendy et al. – “CYBERCRIME TACTICS AND TECHNIQUES: The 2019 State of Healthcare”. Malware Byte Labs. CTNT Report (2019).
[2] https://en.wikipedia.org/wiki/Dark_web
[3] HIPPA Journal. Healthcare Data Breach Statistics 2009 – 2019. https://www.hipaajournal.com/healthcare-data-breach-statistics/
[4] HIPAA – Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade do Seguro de Saúde. Obriga que empresas que lidam com dados médicos, numa situação de vazamento de dados, notifiquem os indivíduos afetados e o Departamento de Saúde e Serviços Humanos (HHS) e, em alguns casos, a mídia. https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
[5] U.S. Department of Health and Human Services (US-HHS) – https://www.hhs.gov
Prof. Dr. Adriano Cansian
Membro do Conselho Consultivo da Resh Pentest Experts
