Maurício Paranhos, COO da Apura Cyber Intelligence.

Nos últimos anos, a indústria da saúde tem enfrentado uma crescente ameaça de ciberataques, com criminosos invadindo sistemas e sequestrando dados sensíveis de pacientes e instituições médicas. Isso coloca, inclusive, em risco tanto o cuidado quanto a segurança do paciente, deixando todo o setor vulnerável.

O Brasil é um dos países que está mais exposto a este tipo de ataque, é o que revela o estudo apresentado pela Apura Cyber Intelligence, empresa especializada em segurança cibernética e apuração em meios digitais. Apenas no primeiro semestre de 2023, em todo o mundo,10,9% dos ciberataques foram direcionados para o setor; no Brasil a porcentagem foi ainda maior e já chegou a 12%.

“A indústria da saúde é um alvo primário para os criminosos cibernéticos devido à natureza sensível dos dados que ela lida. Os registros de pacientes contêm informações pessoais, históricos médicos e planos de tratamento, tornando-os muito valiosos no mercado do cibercrime”, explica Maurício Paranhos, COO da Apura.

Com tantos tipos de ataques cibernéticos como Ransomware, Phishing, Malware, DDoS, entre outras formas, é muito importante que as instituições de saúde invistam em medidas de segurança para proteger as informações dos pacientes e garantir a integridade dos sistemas médicos.

“Os ataques cibernéticos podem interromper os serviços médicos, causando atrasos ou cancelamentos de procedimentos e impactando o atendimento ao paciente. Os ataques também podem resultar em perdas financeiras significativas para as organizações de saúde, pois elas podem ser obrigadas a pagar resgates ou arcar com o custo de restaurar sistemas e dados e ainda, podem ser legalmente responsáveis por não proteger os dados do paciente, levando a processos judiciais onerosos e danos à reputação”, explica Paranhos.

Por esta razão, o COO da Apura afirma que as organizações de saúde devem investir em medidas robustas de segurança, como firewalls, sistemas de detecção de intrusão e criptografia, para proteger contra ataques cibernéticos. Conhecer e entender as principais ameaças cibernéticas é necessário para defender o sistema contra riscos internos e externos. Estes são alguns exemplos de ataques cibernéticos comuns e tipos de violações de dados:

• Roubo de identidade, fraude, extorsão;
• Vazamento de senha;
• Malware, phishing, spam, spoofing, spyware, cavalos de troia e vírus;
• Hardware roubado, como laptops ou dispositivos móveis;
• Violação de acesso;
• Abuso por mensagens instantâneas;
• Infiltração de sistema;
• Desfiguração de site;
• Explorações de navegadores da Web privados e públicos;
• Ataques de negação de serviços distribuídos;
• Roubo de propriedade intelectual ou acesso não autorizado.

Além dos casos acima, mais tradicionais, as organizações de saúde também sofrem riscos específicos ao segmento, e os ciberataques a equipamentos médicos é um dos principais. A informatização das clínicas e hospitais, com a integração de sistemas informáticos com dispositivos médicos conectados, torna o trabalho dos profissionais de saúde altamente dependente da tecnologia. Atualmente, um ciberataque pode interromper o processamento de exames e até mesmo impactar o funcionamento de equipamentos essenciais ao suporte à vida. A “Internet dos Dispositivos Médicos” (IoMT, na sigla em inglês) é um ponto de atenção para o setor.

Ciberataques na área da saúde

Um caso emblemático foi o ataque ao Grupo Sabin, um dos maiores grupos de diagnóstico e saúde do país. Recentemente, a organização Sabin Diagnóstico e Saúde relatou ter sido vítima de um ataque cibernético lançado por um grupo criminoso de ransomware. O ataque ocorreu em 12 de março de 2023 e, apesar da criptografia de alguns arquivos, a empresa acredita que não houve comprometimento significativo de dados pessoais nem impacto relevante em suas operações.

Em 14 de junho, foi identificado que alguns dados associados à empresa estavam disponíveis na dark web. Desde então, o Sabin tem trabalhado com uma consultoria internacional para investigar a veracidade dessas informações. A Autoridade Nacional de Proteção de Dados e a polícia civil foram informadas sobre o incidente.

Segundo a empresa, não houve impacto na integridade ou na disponibilidade das informações dos clientes, apenas uma parcela muito pequena (menos de 0,01%) dos dados armazenados pelo Sabin foi afetada.

O Grupo Fleury, gigante no setor de medicina diagnóstica no Brasil, sofreu com a instabilidade de seus sistemas após um ataque cibernético ocorrido em junho de 2023. A companhia destacou que ativou seus protocolos de segurança para minimizar o impacto em suas operações, contando com o apoio de empresas especializadas no setor. Nas redes sociais, no entanto, clientes relataram problemas para acessar resultados de exames e fazer agendamentos.

Mesmo não sendo a primeira vez que o grupo é alvo de ciberataques, a empresa destacou que utiliza tecnologias disponíveis para garantir a proteção de seu ambiente tecnológico.

Contudo, em junho de 2021, essa mesma empresa sofreu um ataque semelhante que acabou prejudicando suas operações. Na ocasião, um ransomware interrompeu o acesso aos sistemas, causando um prejuízo de R$29,4 milhões. 

“As consequências de um ataque cibernético à saúde podem ser graves e de longo alcance. Se os dados do paciente forem comprometidos em um ataque cibernético, isso pode levar à perda de confiança no sistema de saúde, tornando difícil para os pacientes buscarem atendimento médico”, diz Paranhos. 

Assim como o Sabin e o Fleury, é fundamental o desenvolvimento de planos de resposta a incidentes, para garantir que estejam preparados para responder de forma rápida e eficaz no evento de um ataque cibernético.

“Ao tomar essas medidas, as organizações de saúde podem ajudar a proteger os dados do paciente e garantir a continuidade da entrega de cuidados médicos de alta qualidade e confiança de que os serviços estarão sendo preservados”, ressalta o executivo.  

Oito formas de prevenir e reagir aos ciberataques:

1. Utilizar ferramentas de segurança, incluido software antivírus e firewall;
2. Gerenciar a segurança de terceiros;
3. Usar autenticação de múltiplos fatores;
4. Apresentar controles internos robustos;
5. Educar os associados da empresa;
6. Criar processos de backup e restore de dados com testes de efetividade periódicos;
7. Manter sistemas atualizados;
8. Utilizar um provedor de inteligência de ameaças para atuar preventivamente aos riscos.