Os principais hospitais e algumas clínicas de saúde nos EUA e na Austrália foram prejudicados por novos ataques sofisticados de ransomware (um vírus que sequestro de dados, inutilizando-o, solicitando dinheiro para liberar o arquivo), forçando a entrar no modo manual emergencialmente, e alguns a fecharem permanentemente devido à extensa perda de registros de saúde dos pacientes.

Na Austrália, de acordo com um comunicado divulgado pelo Departamento do Premier e Gabinete de Victoria (1), um ataque ransomware descoberto um dia antes, bloqueou o acesso a vários sistemas importantes de 7 hospitais, incluindo o gerenciamento financeiro. O isolamento dos sistemas afetados levaram ao desligamento de alguns sistemas de registro, reserva e gerenciamento de pacientes, que afetam o contato e agendamentos de pacientes. Houve também perdas de acesso aos históricos de pacientes, gráficos, imagens entre outras informações que obrigaram aos hospitais a refazerem as consultas para tentar minimizar o impacto pela interrupção dos serviços.

Nos EUA, três centros médicos disseram que não estão recebendo novos pacientes devido a um ataque ransomware (2). Os pacientes atuais ficaram aguardando, não foram transferidos para outros centros médicos. Os pacientes, quando tinham exames, consultas e outros procedimentos, foram aconselhados a se informarem antes de aparecerem, pois não havia mais acesso aos registros.

Outro caso, porém com final drástico, um consultório médico na Califórnia que sofreu um ataque de ransomware (3), em agosto de 2019, teve os dados pessoais de saúde de pacientes nos servidores e ainda, nos discos externos de backup (cópia de segurança), criptografados no ataque, e que não foi possível restaurar os registros. Como resultado, o consultório encerrará suas atividades em poucos meses.

Vários estudos (4) mostraram que a área da saúde sofre ataques mais do que qualquer outro setor. Por ser uma área de atuação que circula muito dinheiro, e infelizmente a área da tecnologia da informação na saúde não ser devidamente priorizada, já que, geralmente possui percentuais baixo de investimentos em relação aos lucros, deixando assim a TI da saúde defasada em relação às outras áreas, como a TI na área industrial.

O risco de aceitar um suborno de ransomware e pago-lo, alimenta muito a prática criminosa de cyber ataques, em vista que seria saudável em investir em prevenção, alinhada a processos emergenciais bem definidos.

No Brasil, quem é da área de segurança da informação sabe que está acontecendo com frequência ataques com ransomware em Hospitais, clínicas e consultórios, pequenos a grandes centros. O problema não é divulgado, devida a falta de legislação de proteção de dados.

Mas em 2020, esse quadro vai mudar, com a aplicação da Lei 13.709/2018, LGPD, Lei Geral de Proteção de Dados Pessoais que regulamenta a coleta, o uso e o tratamento de dados pessoais, dando poder de “fiscalizador” a cada cidadão ou usuário titular quer tiver seus dados pessoais, por exemplo, expostos na internet devido a uma falha de segurança, agravada pela falta de soluções e procedimentos para previnir, proteger e auditar. A organização deve ainda divulgar a infração com multas em casos devidamente apurados, e informar o ocorrido aos usuários afetados, e dependendo do caso, a organização pode ser impedida de utilizar os dados pessoais envolvidos na infração ou serem eliminados.

Para piorar, não se sabe se as informações de saúde e dados pessoais dos pacientes foram coletadas juntamente com os ataques com ransomware. O que se sabe é que, os registros médicos são mercadorias valiosas na Dark Web (mundo do crime digital).

Na área de saúde no Brasil, já existiam regulamentações com o objetivo de proteger tais informações. A Resolução de 2007 do Conselho Federal de Medicina , CFM 1.821/2007, determina e responsabiliza pelo zelo dos documentos e informações digitais do paciente, sendo a confidencialidade um princípio base da medicina. Já na Resolução CFM 1.638/2002, faz tratativas em caso de vazamentos ou roubo de informações, digitais ou físicas.

Porém, com a nova legislação brasileira, vem as sanções com multas, punições e proibições, o que nem sempre é bem visto pela administração dessas organizações, se deixando levar pela idéia que o órgão regulador está querendo tirar proveito, e se esquecem que, ao mesmo tempo na verdade estão acelerando as empresas da área de saúde no rumo de tornarem o seu negócio muito mais seguro e organizado, diminuindo o risco do seu negócio parar.

E é sempre bom lembrar que são as VIDAS que estão sempre em risco, mesmo se tratando de acesso as informações de tecnologia da informação na área da saúde.

Fontes:(1)https://www.vic.gov.au/cyber-health-incident  (2)https://www.dchsystem.com/NewsListing.aspx?id=114  (3)https://www.woodranchmedical.com/  (4)https://nakedsecurity.sophos.com/2016/04/26/why-cybercriminals-attack-healthcare-more-than-any-other-industry/

Sérgio Kojima é especialista em segurança da informação, suporte e redes. Web-site: www.servdigital.com.br Telefone: (65) 2127-6030 E-mail: atendimento@servdigital.com.br