Pic

Crimes cibernéticos em saúde – O que aconteceu em 2019.

Prof. Dr. Adriano Cansian


Membro do Conselho Consultivo da Resh Cyber Defense




No último dia 13 de novembro foi publicado um importante relatório de segurança que deve deixar em alerta as empresas e instituições que lidam com dados de saúde. O relatório de 36 páginas denominado “TÁTICAS E TÉCNICAS DE CIBERCRIME: a situação da saúde em 2019” [1] aponta que ataques cibernéticos contra organizações de saúde nos Estados Unidos aumentaram 60% nos primeiros nove meses deste ano, em comparação com todo o ano de 2018.


Ainda que o estudo não inclua dados Brasileiros, e não exista relatório similar no Brasil, a experiência de nossos analistas pesquisadores em 2019 aponta que situação similar tem sido enfrentada aqui pelas empresas de saúde, clínicas e hospitais. Sem sombra de dúvidas os cibercriminosos estão cada vez mais interessados em dados médicos no Brasil. O setor de saúde é alvo de cibercriminosos por vários motivos óbvios. O principal deles é a natureza sensível e valiosa das informações, que podem facilmente render alto rendimento.


Os dados de identificação de pessoas em planos de saúde, prontuários médicos, e outros registros eletrônicos de saúde, têm sido cada vez mais atrativos para o submundo do cibercrime. Apenas para se ter um panorama resumido, nossas pesquisas apontam que bancos de dados médicos completos podem valer até US$ 500.000,00 na Dark Web [2]. Os cadastros de planos e seguros de saúde, ou prontuários médicos válidos, têm sido vendidos entre US$ 0,50 a U$ 1,00 por unidade. Recibos e declarações fiscais fraudulentas baseadas em registros médicos roubados têm sido comercializados por US$ 15,00 cada um. Certidões de nascimento baseadas em dados roubados de registros médicos são vendidas por até US$ 500,00 no submundo da Internet. Considerando que os dados vazados estão envolvendo a casa de milhões de cadastros, os criminosos encontraram uma mina de ouro neste negócio.


No Brasil temos observado que cibercriminosos, cada vez mais, procuram vulnerabilidades em aplicações da área de saúde expostos na Internet. Estes softwares, em sua maioria, têm sido desenvolvidos por empresas terceirizadas sem ligação direta com a instituição de saúde que os utilizam, e sem qualquer preocupação com desenvolvimento seguro, ou com as melhores práticas de segurança da informação, sejam elas tecnológicas ou de governança. Estes softwares não atendem requisitos mínimos de proteção de dados e possuem ciclos de desenvolvimento deficiente, negligenciando etapas adequadas de testes e depuração. Isso faz com que falhas óbvias não sejam sanadas adequadamente, e esta é a principal origem dos problemas. As vulnerabilidades transportadas nestes softwares, majoritariamente associadas com sites de autoatendimento e aplicações mobile, levam a comprometimentos que permitem que os criminosos infectem outros tantos sistemas, e outros pontos da rede da instituição, acabando por resultar no vazamento ou sequestro de dados.


Outra fonte de informação que deve alertar e guiar a área de saúde do Brasil para 2020 é o conjunto de estatísticas de violação de dados de assistência médica nos EUA [3]. A legislação americana HIPAA [4] obriga que empresas que lidam com dados médicos notifiquem os indivíduos afetados e o Departamento de Saúde e Serviços Humanos (US-HHS) [5] caso ocorra uma situação de vazamento de dados, suspeita ou efetiva. O gráfico a seguir mostra a evolução das notificações de vazamento ao US-HSS desde 2009, quando a legislação entrou em vigor.


 


 



 


Figura – Violações de dados de saúde notificados por ano. Fonte: HIPPA Journal, 2019 [3]


 


Segundo os dados do US-HHS, entre 2009 e 2018, ocorreram 2.546 eventos de violações de registros de dados de saúde nos EUA, e este número considera apenas os vazamentos acima de 500 registros oficialmente reportados e registrados. Essas violações resultaram no roubo ou exposição de 189.945.874 cadastros de saúde, equivalente a quase 60% da população dos Estados Unidos. Temos conhecimento também que tais violações de dados agora estão sendo relatadas a uma taxa de mais de uma ao dia. Considerando que cada registro tem informações pessoais variadas, cada uma de um interesse e valor específico, estamos falando de fraudes que podem chegar facilmente à casa de dezenas de milhões de dólares.


Novamente, ainda que não existam dados similares por aqui, nossa experiência mostra que o comportamento ascendente da curva no Brasil é o similar aos EUA nos últimos 5 anos. A partir do próximo ano a LGPD obrigará as empresas a notificar sobre o vazamento de dados e então será possível confirmar estas afirmações.


Em virtude dos dados e fatos alarmantes observados em 2019 podemos afirmar, sem sombra de dúvidas, que as empresas e instituições de saúde precisam passar a ter preocupação real e imediata com a segurança cibernética de seus dados, sistemas e redes. Também é preciso preparar e capacitar corretamente as pessoas que lidam com estes ativos, para que todos os atores estejam cientes de seus papéis e suas responsabilidades. É esperado que a Lei Geral de Proteção de Dados Pessoais (LGPD) comece a minimizar este cenário a partir do próximo ano. Afinal, os cidadãos são o elo mais fraco na cadeia predatória do crime cibernético.


 


Adriano Mauro Cansian é doutor em segurança de computadores. Professor associado e Pesquisador Chefe da UNESP - Universidade Estadual Paulista possui 27 anos de experiência em P&D em segurança cibernética. É membro do Conselho Consultivo da Resh Cyber Defense. https://www.linkedin.com/in/adrianocansian/


[1] ZAMORA, Wendy et al. - “CYBERCRIME TACTICS AND TECHNIQUES: The 2019 State of Healthcare”. Malware Byte Labs. CTNT Report (2019).


[2] https://en.wikipedia.org/wiki/Dark_web


[3] HIPPA Journal. Healthcare Data Breach Statistics 2009 – 2019. https://www.hipaajournal.com/healthcare-data-breach-statistics/


[4] HIPAA - Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade do Seguro de Saúde. Obriga que empresas que lidam com dados médicos, numa situação de vazamento de dados, notifiquem os indivíduos afetados e o Departamento de Saúde e Serviços Humanos (HHS) e, em alguns casos, a mídia. https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act


[5] U.S. Department of Health and Human Services (US-HHS) - https://www.hhs.gov