Cibersegurança em hospitais: incidentes no Brasil e tendência global
Petya, 2017
"... uma invasão envolvendo hackers... "
Manhã de terça-feira, 27 de junho de 2017. Ao chegar a seus postos de trabalho, funcionários de um grande hospital do interior de São Paulo, referência em tratamento de câncer no Brasil, são surpreendidos com a constatação de que os computadores da instituição não estão iniciando normalmente.
A organização fora vítima de um ataque eletrônico. O que pode muito bem ter sido uma primeira reação eufórica rapidamente se converte em um comunicado ao público. Às 7:33, a instituição emite uma nota, através de sua página no Facebook:
Mais tarde, o hospital estimou que levaria até 5 dias para conseguir retomar o pleno controle de seus recursos computacionais. Logo após o ataque, cerca de 3 mil consultas e exames foram suspensos e 350 pacientes deixaram de realizar sessões de terapia.
WannaCry, 2017
Maio de 2017. Poucas semanas antes das infecções do Petya em junho, outro ransomware também acabou ficando famoso, o WannaCry. Dentre suas vítimas, estava mais um grande hospital do estado de São Paulo, este na capital.
Devido ao incidente, um sistema de exames acabou ficando fora do ar. O site do hospital também teria sido comprometido.
Golpe do falso exame, 2015
"... deram informações que só o hospital poderia passar pra gente..."
Novembro de 2015. Famílias de pacientes internados na UTI de outro grande hospital, este em Campinas, não hesitam em realizar depósitos em contas bancárias que lhes são passadas por telefone, ao serem informadas de que o estado de saúde de seus entes queridos piorara e, portanto, os enfermos precisariam passar por procedimentos médicos de caráter urgente.
Durante o contato por telefone, as famílias atestam que seus interlocutores "deram informações que só o hospital poderia passar", o que tornava a conversa ainda mais crível. Teor emocional. Caráter de urgência. Informações pessoais que reforçam a verossimilhança do discurso. O golpe perfeito.
As famílias alvejadas tiveram cerca de 3 mil reais roubados cada. Após a falha de segurança que levou ao vazamento de dados dos pacientes, a instituição publicou uma nota, mas o estrago já estava feito.
Tendência global
Os episódios aqui lembrados não são casos isolados. Fazem parte de um quadro muito maior. Há uma tendência global de que o número de incidentes de segurança envolvendo instituições de saúde cresça nas próximas décadas.
Para Lynne A. Dunbrack, vice-presidente da IDC Health Insights, braço da gigante IDC, líder mundial em inteligência de negócio, para organizações de saúde, daqui para a frente, "a questão não é mais saber se serão atacadas por cibercriminosos, mas quando."
O mundo já sabe disso. A American Hospital Association tem uma preocupação crescente com cibersegurança. Mantém diversos canais de discussão e informação a respeito do tema.
Conforme coloca a Business Wire, o motivo é muito simples: historicamente, organizações de saúde investem menos em soluções de cibersegurança do que organizações de outros setores, como o industrial e o financeiro. Não é difícil intuir que são alvos mais fáceis. E cibercriminosos já têm ciência disso.
Sediadas em um país que concentrou 27,61% do total global de ataques de phishing em 2016 (dados da Kaspersky Lab), é melhor que as instituições de saúde brasileiras acordem para o tema da cibersegurança e que, ao menos, se antecipem ao PL 4060/2012. Antes que uma venha a se tornar o bode expiatório, alvo de um ataque sem precedentes.
Autor:
Eduardo Vasconcelos
Especialista em Cibersegurança na Perallis IT Innovation