Em abril de 2016 foi detectada uma ameaça digital batizada como Samsam. Sua função? Extrair e manipular informações sensíveis das redes de instituições de saúde. Descoberto pela Cisco, o Samsam poderia criptografar dados hospitalares e impedir o acesso de qualquer um que não tenha a chave a essas informações.

E para revelar a chave, os sequestradores de dados exigiram o pagamento de um resgate. Prontuários, exames, rotinas e dados pessoais dos pacientes estariam todos bloqueados.

Sim, os hospitais e instituições de saúde entraram na mira dos criminosos digitais. Neste artigo, vamos falar mais sobre a importância de se proteger dessas ameaças.

O que é ter a saúde digital vulnerável?

Para criminosos digitais, a nobre missão de salvar vidas não serve como proteção para uma instituição de saúde. Pelo contrário: como qualquer tipo de fora da lei, sequestradores de dados não se limitam por valores morais, eles também buscam vulnerabilidades que possam ser exploradas.

Justamente por isso é sempre importante manter a guarda levantada. Em 2014, um dos casos mais famosos de falha de segurança de dados hospitalares aconteceu nos Estados Unidos: informações de 4,5 milhões de pacientes do Community Health Systems (CHS), um grupo que administra 198 hospitais, foram expostas por hackers.

Nestes dados estavam endereços, números de cartões de crédito e até prontuários dos pacientes. Foi um caso emblemático que evidenciou que dados hospitalares não seriam poupados por esses indivíduos.

A conclusão é que uma falha em um software de criptografia foi a principal responsável pela invasão e o acesso aos dados restritos. Mas para as milhões de pessoas afetadas pelo ataque, a impressão é de que a CHS foi incapaz de proteger os seus dados pessoais.

Por que criminosos querem acessar dados hospitalares?

Qualquer banco de dados que possua informações pessoais ou estratégicas são um alvo para criminosos digitais. Um erro comum é imaginar que o seu banco de dados pode passar despercebido por não ser tão grande ou não ter dados que algumas pessoas imaginam serem importantes.

Mas a verdade é que o faro de hackers por dados desprotegidos é excelente: com recursos complexos e ferramentas automatizadas, criminosos digitais encontram bons alvos com um mínimo de esforço. E se a proteção for inadequada ou não existir, os dados são coletados automaticamente.

E o que fazer com tantos dados? Um dos crimes mais perigosos é o chamado sequestro de informações. A posse de arquivos sensíveis que possam causar danos a instituição de saúde ou aos seus clientes e funcionários pode servir de barganha para uma chantagem do criminoso com o gestor do hospital.

Outra estratégia na mesma linha é criptografar os dados da instituição, bloqueando o acesso, como no exemplo do Samsam no começo deste artigo.

E o problema é que o sequestro de informações é um crime que pode se perpetuar eternamente: mesmo depois de cumprir as exigências, os dados continuam na posse dos criminosos, que podem explorar mais essa vulnerabilidade.

Outra destinação para os dados roubados é a venda deles no mercado negro. Qualquer tipo de informação tem um valor, incluindo listas com nomes e documentos de clientes, salários de funcionários e movimentações financeiras do hospital. Com essa prática, pode acontecer também de informações estratégicas caírem nas mãos de concorrentes.

Quais os prejuízos com a violação de dados hospitalares?

A mera exposição de informações particulares de clientes de hospitais pode render danos imensos à imagem e à credibilidade da instituição, pois segurança é algo fundamental para a reputação na área de saúde.

Mas, é claro, que pacientes que tenham sofrido danos causados pela falha de segurança vão buscar seus direitos em ações indenizatórias, causando prejuízo financeiro ao hospital.

Gastos financeiros também serão inevitáveis no caso do sequestro de dados: mesmo sem ceder aos criminosos, o gestor terá que pagar especialistas para tentar recuperar o acesso aos dados, pois o prejuízo da perda deles certamente seria desastroso.

Por fim, existem ataques que acontecem apenas com a intenção de causar o maior dano possível. Esse vandalismo pode ir além dos próprios dados: em sistemas com segurança frouxa, invasores podem causar estragos até em equipamentos físicos que estejam conectados de alguma forma à rede.

Como aumentar a segurança dos dados hospitalares?

O primeiro passo para impedir o acesso indevido aos dados armazenados no hospital é investir no setor de TI, ou contratar uma empresa especializada para assumir esse papel.

A tecnologia da informação já se tornou essencial para instituições de saúde e são inúmeras as vantagens estratégicas que esse setor pode agregar à gestão hospitalar. Mas além disso, existem responsabilidades que apenas a TI pode assumir, seja com funcionários da casa ou soluções terceirizadas.

E para aumentar a segurança dos dados hospitalares, a TI certamente vai começar delimitando quais são as informações que precisam de mais proteção. Uma vez que a compreensão da sensibilidade dos documentos e dados esteja clara, é preciso estabelecer um controle de acesso.

Existem diversas ferramentas e opções disponíveis para a limitação do acesso aos dados; para começo de conversa, é preciso realizar a configuração de um firewall e a restrição de portas abertas nos servidores.

Outra frente de ação é a simples exigência do credenciamento do usuário com login e senha para acessar certos conteúdos nos servidores da instituição de saúde.

Estabelecer a identificação de dois fatores pode ser importante para limitar a visualização dos dados mais sensíveis: com ela, além da senha, é preciso inserir um código enviado ao telefone do usuário.

Depois disso, é natural que outras barreiras básicas sejam erguidas, como algoritmos de criptografia e a realização de backups automáticos para preservar os arquivos da instituição de saúde.

A regra é que, para ter a melhor infraestrutura de segurança disponível, um parceiro especializado em TI é indispensável: certamente vale mais a pena para o hospital investir na evolução da sua atividade-fim e transferir os riscos maiores com os dados hospitalares para quem entende muito do assunto.

E você? Já sabia dessa importância da segurança dos dados hospitalares? Aproveite, então, para seguir a Vectra no Facebook e no Twitter e fique por dentro de tudo que envolva tecnologia, saúde e gestão de instituições de saúde!