1. Introdução
As instituições de saúde do Brasil e do mundo tornaram-se alvos cada vez mais comuns para ataques cibernéticos, em 2022, o Brasil experimentou um alarmante aumento de 94% nesse tipo de incidente, conforme dados apresentados no Guia Legal — Privacidade Proteção de Dados na Indústria da Saúde 2023.
Os impactos desses ataques são significativos, sobretudo pela interrupção de serviços e exfiltração de dados sensíveis, incluindo informações de saúde protegidas (PHI). Além dos riscos a vida, tais incidentes podem acarretar em outras ações com fins prejudiciais, como golpes, roubo de identidade, fraudes, chantagem e até mesmo sequestro virtual.
2. Incidentes
Em agosto de 2022, ocorreu ataque cibernético direcionado à empresa Advanced, provedora de software para diversos setores do Serviço Nacional de Saúde (NHS) no Reino Unido, o que causou extensas interrupções em vários serviços essenciais. A empresa é responsável por sistemas como Adastra, utilizado no despacho de ambulâncias e acesso a registros médicos de pacientes; Carenotes, utilizado por serviços de saúde mental; Caresys, empregado em casas de repouso; Crosscare, utilizado em espaços hospitalares; e Staffplan, utilizado por clínicas. O ataque afetou nove instituições de saúde do NHS, prejudicando o acesso aos registros dos pacientes. Documentos internos vazados indicam que vários serviços, incluindo NHS 111 e alguns provedores de serviços de saúde, estão offline. O CEO do Oxford Health NHS Foundation Trust mencionou que o ataque impactou sistemas importantes, como encaminhamento de pacientes, despacho de ambulâncias e prescrições de emergência, alertando para uma possível interrupção em certos serviços.
Em maio de 2023, incidente cibernético comprometeu os sistemas do Grupo Fleury e prejudicou o acesso de hospitais paulistas aos resultados de exames laboratoriais, impactando serviços de agendamento e diagnósticos. Hospitais renomados, como Sírio-Libanês, A.C. Camargo e Oswaldo Cruz, operaram em regime de contingência, priorizando casos urgentes e pacientes internados.
Em julho de 2023, foi noticiado que o Barts Health NHS Trust sofreu incidente de ransomware. O grupo de ransomware ALPHV, também conhecido como BlackCat, afirmou ter roubado 70 terabytes de dados sensíveis, incluindo documentos de identificação de funcionários, como passaportes e carteiras de motorista, e e-mails internos rotulados como “confidenciais”. O incidente ocorreu após um outro ataque ransomware à Universidade de Manchester no Reino Unido em junho, onde hackers acessaram um conjunto de dados da NHS com informações de 1,1 milhão de pacientes em 200 hospitais.
Em novembro de 2023, a Ardent Health Services, que possui e opera 30 hospitais e mais de 200 locais de atendimento em seis estados, principalmente no Texas, Oklahoma e Novo México, enfrentou as consequências de um ataque cibernético. O incidente destaca como ciberataques direcionados a grandes operadores hospitalares podem ter impactos significativos em hospitais em todo o continente americano. A empresa confirmou que algumas de suas instalações estão reagendando procedimentos não emergenciais e eletivos, além de redirecionar alguns pacientes da sala de emergência para outros hospitais da região até que os sistemas estejam online novamente. Apesar da interrupção temporária nas operações clínicas e financeiras da Ardent, a empresa assegurou que o atendimento aos pacientes continua ocorrendo de maneira segura e eficaz em seus hospitais, salas de emergência e clínicas.
Os casos citados são apenas alguns de tantos outros direcionados aos órgãos de saúde. Esses incidentes chamaram a atenção para a vulnerabilidade das instituições de saúde a ataques cibernéticos. Além dos riscos à saúde pública, os dados pessoais e de saúde de pacientes são um alvo valioso para os cibercriminosos, pois podem ser usados para extorsão, roubo de identidade ou para cometer crimes financeiros.
2. Principais usos ilegais de dados exfiltrados
A exfiltração de dados sensíveis provenientes de instituições de saúde pode ter repercussões diretas na vida dos usuários de instituições de saúde. Os dados roubados podem ser utilizados para:
1)Roubo de Identidade: Com os dados pessoais, criminosos podem abrir contas bancárias, solicitar empréstimos e cometer crimes em nome das vítimas.
2) Fraude de Seguros: Utilização dos dados para obter reembolsos indevidos de seguros de saúde.
3) Chantagem: Ameaças de divulgar dados exfiltrados em troca de dinheiro ou outros bens.
4) Sequestro Virtual: Uma forma extrema de chantagem, onde criminosos ameaçam prejudicar os pacientes ou divulgar dados caso não recebam um resgate.
3. Rede Federal de Gestão de Incidentes Cibernéticos
O Decreto 10.748/2021 instituiu a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC). O referido decreto, cria as equipes de coordenação setorial (ETIR Setoriais), que são times de prevenção, tratamento e resposta a incidentes cibernéticos das agências reguladoras, do Banco Central do Brasil ou da Comissão Nacional de Energia Nuclear ou das suas entidades reguladas responsáveis por coordenar as atividades de segurança cibernética e de centralizar as notificações de incidentes das demais equipes do setor regulado. No caso do Setor de Saúde, teríamos, como principais atores, a Agência Nacional de Vigilância Sanitária (ANVISA), a Agência Nacional de Saúde Complementar (ANS) e, mesmo não sendo citada no decreto, a Empresa Brasileira de Serviços Hospitalares (EBSERH).
A ANVISA cita em seu Planejamento Estratégico de 2024-2027, ações visando melhorar seu desempenho na Gestão de Segurança da Informação, uma das iniciativas indicadas no referido planejamento é o investimento em plataformas mais seguras, além disso cita o correto tratamento de dados pessoais de usuários dos sistemas. A ANS emitiu, em 2023, a Política de Segurança da Informação da Agência Nacional de Saúde Suplementar – ANS, todavia não a expandiu como ato obrigatório para seu setor regulado, o que cria uma lacuna nos normativos de segurança da informação e cibernética do setor de saúde.
A EBSERH destaca-se entre os agentes que trabalham a saúde pública com a sua Política de Segurança da Informação (PSI) da Empresa Brasileira de Serviços Hospitalares (Ebserh), emitida em 2022, que tem como objetivo estabelecer diretrizes estratégicas para enfrentar ameaças e vulnerabilidades, garantindo a segurança na disponibilidade, integridade, confidencialidade e autenticidade das informações. Além disso, busca promover atitudes adequadas no uso, manuseio, tratamento, controle e proteção dos dados, documentos e conhecimentos produzidos, armazenados ou transmitidos pelos ativos de informação da Ebserh. A PSI abrange o uso e compartilhamento de dados, informações e documentos ao longo de seu ciclo de vida, visando à continuidade dos processos críticos em conformidade com legislação, requisitos regulamentares, contratuais, valores éticos e melhores práticas de segurança da informação. Aplica-se à Administração Central e aos Hospitais Universitários Federais da Rede Ebserh, sendo de responsabilidade de todos os agentes públicos vinculados às atividades institucionais. As diretrizes da PSI são fundamentais para a Gestão de Segurança da Informação (GSI) da Ebserh e orientam a elaboração das normas de Segurança da Informação (SI).
4. Medidas Mitigadoras
Para enfrentar essas ameaças, as instituições de saúde devem adotar medidas proativas de segurança cibernética, tais como:
1) Treinamento de Funcionários em Segurança Cibernética: Conscientização sobre os riscos e capacidade de identificar e responder a ameaças.
2) Implementação de Políticas de Segurança Cibernética: Definição de controles e procedimentos de segurança cibernética.
3) Utilização de Soluções de Segurança Cibernética: Ferramentas capazes de detectar e responder a ataques.
4) Monitoramento Contínuo de Sistemas: Identificação de atividades suspeitas por meio do monitoramento constante.
5) Atenção com terceirizados e parceiros: defina estratégias e processos comuns de segurança cibernética com parceiros, fornecedores e terceirizados, particularmente quanto a melhores práticas de prevenção a ataques de suply chain.
6) Implementação de tecnologia de controle de acesso à rede (NAC): Resolver desafios associados ao acesso a rede sem fio por equipamento com credenciais privilegiadas, Internet das Coisas (IoT), traga seu próprio dispositivo (BYOD) e outros endpoints. A solução NAC deve possibilitar o gerenciando de todos dispositivos que desejam se conectar ou se comunicar com as redes, em particular com estruturas utilizadas o armazenamento de dados.
7) Confiança zero: Implemente as etapas básicas de inventário e segmentação de ativos. O acesso de confiança zero fornece verificação contínua de todos os usuários, aplicativos e dispositivos que buscam acesso a ativos críticos.
8) educação e treinamento de conscientização: O treinamento em cibersegurança continua sendo essencial para todos os usuários, para que tenham conhecimento e consciência para trabalhar a proteção e tratamento dos dados.
Os próprios pacientes também desempenham um papel vital na proteção de seus dados pessoais, adotando medidas como:
1) Cautela ao Fornecer Informações Pessoais Online: Evitar compartilhar dados pessoais online, a menos que estritamente necessário.
2) Uso de Senhas Fortes e Únicas: Adoção de senhas robustas e diferentes para cada conta.
3) Ativação de Autenticação de Dois Fatores: incremente a segurança por meio dessa camada adicional.
4) Monitoramento Regular de Relatórios de movimentação financeira e dados de saúde: Verificação periódica em busca de atividades incomuns.
5) comunicação: notifique a organização de saúde, quando houver indícios sobre vazamento de dados de saúde sua ou de outra pessoa.
Ao tomar essas medidas, as instituições de saúde podem reduzir o risco de ataques cibernéticos e proteger a privacidade e a segurança dos dados de seus pacientes.
5. Conclusão
Diante do aumento nos casos de incidentes de impacto na disponibilidade e confidencialidade no setor de saúde é importante reconhecer as consequências desses ataques, que vão desde a interrupção de serviços essenciais até a exfiltração de dados sensíveis. Os incidentes citados envolvendo a empresa Advanced no Reino Unido, o Grupo Fleury no Brasil, o Barts Health NHS Trust e a Ardent Health Services nos Estados Unidos ressaltam a amplitude global dessa ameaça. Cabe destacar que vazamentos de dados de saúde de um paciente, só poderão ser ditas como “vencidas” quando do óbito desses pacientes.
A exposição de dados sensíveis, como documentos de identificação e informações médicas, destaca os riscos iminentes à privacidade dos pacientes e a potencial utilização criminosa dessas informações. A criação da Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) no Brasil é uma medida relevante, entretanto, a lacuna nos normativos de segurança da informação no setor de saúde sugere a necessidade de uma abordagem mais abrangente e obrigatória para garantir a segurança cibernética.
As medidas mitigadoras, tanto por parte das instituições de saúde quanto dos próprios pacientes, são essenciais para enfrentar essa ameaça crescente. O treinamento de funcionários, a implementação de políticas de segurança cibernética, o uso de soluções especializadas, o monitoramento contínuo e a colaboração com terceirizados são estratégias vitais. Além disso, a conscientização e a participação ativa dos pacientes na proteção de seus próprios dados são componentes fundamentais dessa equação.
Em conclusão, a conscientização, a prevenção proativa e a regulação do setor visando a colaboração entre instituições de saúde, autoridades reguladoras e pacientes são necessárias para enfrentar os desafios emergentes relacionados aos incidentes cibernéticos. A segurança cibernética no setor de saúde não apenas resguarda a privacidade dos pacientes, mas também preserva a vida e a integridade de serviços essenciais, garantindo que a confiança na infraestrutura de saúde permaneça inabalada diante das crescentes ameaças cibernéticas.
6. Principais referências
BAPTISTA, L.O. Guia Legal — Privacidade Proteção de Dados na Indústria da Saúde 2023. Editora Thomson Reuters
FORTINET. Relatório do Estado da Cibersegurança em Tecnologias Operacionais. Disponível em: https://www.fortinet.com/content/dam/fortinet/assets/reports/pt_br/report-state-ot-cybersecurity.pdf
OLHAR DIGITAL. Ataque hacker causa grande interrupção em todo o NHS. Disponível em: https://olhardigital.com.br/2022/08/08/seguranca/ataque-hacker-causa-grande-interrupcao-em-todo-o-nhs/
TECHCRUNCH. UK battles hacking wave as ransomware gang claims ‘biggest ever’ NHS breach. Disponível em: https://techcrunch.com/2023/07/10/uk-hacks-public-sector-nhs-ransomware/
THE GUARDIAN. NHS ransomware attack: what happened and how bad is it? Disponível em: https://www.theguardian.com/technology/2022/aug/11/nhs-ransomware-attack-what-happened-and-how-bad-is-it
FIERCE HEALTHCARE. Ardent Health Services hit with ransomware attack, forcing hospitals in multiple states to divert ambulances. Disponível em: https://www.fiercehealthcare.com/health-tech/ardent-health-services-hit-ransomware-attack-forcing-hospital-ers-divert-ambulances
ANVISA. Agência Nacional de Vigilância Sanitária. Plano Estratégico 2024-2027. Disponível em: https://www.gov.br/anvisa/pt-br/acessoainformacao/acoeseprogramas/planejamento-estrategico/2024-2027/plano-estrategico
AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR (ANS). Resolução Administrativa nº 81, de 13 de março de 2023. Dispõe sobre a Política de Segurança da Informação da Agência Nacional de Saúde Suplementar – ANS
EMPRESA BRASILEIRA DE SERVIÇOS HOSPITALARES (EBSERH). Política de Segurança da Informação. Disponível em: https://www.gov.br/ebserh/pt-br/governanca/governanca-de-tecnologia-da-informacao/politicadesegurancadainformacaodaebserh.pdf
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
