O agravamento da pandemia de Covid-19 no Brasil é acompanhado por um aumento nos ciberataques contra instituições e profissionais da área de saúde. Diante desse cenário, uma empresa brasileira especializada em segurança na internet – a Apura – alerta: os cuidados precisam ser ainda mais rigorosos, incluindo a adoção de práticas de prevenção contra essas investidas. É um perigo real, que tende a se acentuar, adverte a organização.
Além de infringir um direito básico, o da privacidade de profissionais e pacientes, os ciberataques afetam diretamente os custos das empresas. De acordo com a mais recente edição (2020) do relatório anual do Ponemon Institute, da IBM Security, entre os segmentos de mercado é o de assistência médica que registra os maiores custos decorrentes das violações de dados em todo o mundo. Cada violação custou em média: US$ 7,13 milhões. A pesquisa envolveu 524 organizações e 3,2 mil entrevistados de 17 países e regiões (entre eles o Brasil).
Com mais de 25 anos de experiência em segurança em tecnologias da informação, o fundador e CEO da Apura, Sandro Suffert, observa que a sobrecarga de trabalho de médicos, consultórios, clínicas, hospitais e instituições afins deixa o setor ainda mais vulnerável à investida de cibercriminosos. O excesso de demanda e o foco prioritário na prevenção e combate à pandemia não podem, contudo, deixar em segundo plano a preocupação com a segurança de sistemas e bancos de dados.
Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.
De acordo com Suffert, as investidas do cibercriminosos visam, sobretudo, vantagens financeiras. É a extorsão pura e simples. A prática mais recorrente é a seguinte, explica o especialista: por meio de mensagens, de conteúdo falso, criminosos instalam um tipo de software, denominado ransomware, por meio do qual os dados da clínica ou hospital são bloqueados. São dados tanto da empresa como de pacientes – incluindo prontuários e outras informações particulares.
O ransomware faz a criptografia dos dados e, para a liberação, os cibercriminosos cobram das empresas médicas e profissionais o pagamento de resgate em criptomoedas, ou, até mesmo, depósito bancário. Caso o pagamento não seja feito, a ameaça é a de exposição dos dados e informações. Sem saída, com receio de que a ameaça seja cumprida e dados pessoais e sigilosos de seus pacientes ou clínicas venham a ser vazados, não raro as vítimas se veem obrigadas a ceder à pressão.
MERCADO ‘UNDERGROUND’
Na penúltima semana de abril, foi revelado que um mercado ‘underground’ de credenciais de acesso remoto a sistemas Windows, mais especificamente de Remote Desktop Protocol (RDP), teve as informações capturadas por pesquisadores de segurança. Mais de 1,3 milhões de credenciais estavam sendo negociadas no mercado, sendo a maioria pertencentes a Brasil, Índia e Estados Unidos e muitas de organizações da área da saúde. O acesso via RDP é uma das formas mais utilizadas por criminosos para obter acesso indevido a sistemas das empresas.
Além de contar com esse mercado ilegal de credenciais, Suffert destaca que os atacantes se aproveitam de sistemas mal configurados, com senhas fracas ou senhas padrão, sem múltiplo fator de autenticação, para penetrarem nas organizações, inclusive nas da área da saúde.
Outro problema que tem realçado a fragilidade da segurança cibernética nas organizações de saúde é a exposição pública de informações e sistemas na internet de forma acidental. Recentemente, um analista de segurança identificou uma falha em um servidor da Fundação Oswaldo Cruz (Fiocruz) que dava acesso a informações de gerenciamento de vacinas, dados de pesquisas e até informações de funcionários da fundação. O acesso a esse sistema poderia potencialmente até permitir o desligamento de freezers ou alteração de temperaturas, o que poderia colocar em risco o armazenamento de vacinas.
A Fiocruz consertou a falha antes que se tornasse de conhecimento público e alegou que o servidor servia apenas para testes e que todas as informações disponíveis eram fictícias e que nenhum sistema esteve efetivamente em risco.
Caso semelhante ocorreu em fevereiro deste ano, quando a configuração errada de uma página do Ministério da Saúde expôs os dados de pacientes e servidores do Sistema Único de Saúde (SUS).
Essas ocorrências vêm ressaltar a necessidade de um foco mais atento à segurança dos sistemas de todas as empresas, em especial as do ramo da saúde, nos quais um ataque pode ter consequências muito mais danosas do que simples vazamento de informações, ressalta Sandro Süffert.
WHATSAPP NA MIRA
Além desses ataques a bancos de informações e sistemas de dados de estabelecimentos de saúde, Sandro Suffert cita outro tipo recorrente de investida: o envio de mensagens (geralmente por WhatsApp) a médicos e outros profissionais de saúde, e mesmo a pacientes desses profissionais, com links falsos. Trata-se do chamado phishing, comumente empregado em ciberataques voltados a outras áreas também.
As mensagens têm conteúdo, linguagem e aparência que soam como reais, contudo, se configuram em armadilhas. O phishing é utilizado para “pescar” dados pessoais e confidenciais, como número e detalhes do cartão de crédito, senha, entre outras informações que abrem caminho para os criminosos realizarem suas fraudes.
Um exemplo desse golpe é de uma clínica odontológica do Paraná que teve seu WhatsApp invadido. Uma mensagem falsa foi enviada aos pacientes sobre o sorteio de um carro; para participar, eles teriam que responder via SMS com um ok, deixando seus aparelhos vulneráveis a ataques.
Veja a mensagem abaixo:
DICAS DE PROTEÇÃO
Confira recomendações da Apura, especializada em segurança cibernética, voltadas principalmente à prevenção de ataques contra estabelecimentos e profissionais de saúde:
- As empresas médicas devem manter sistemas operacionais com versões atualizadas e com as configurações adequadas. Para isso, é importante ter o suporte de especialista;
- Elas devem, também, promover a cultura da cibersegurança entre a equipe de colaboradores. Isso inclui instruir os funcionários quanto à escolha, uso e atualização de senhas, bem como a desconfiar de e-mails ou mensagens que solicitem informações institucionais e pessoais. E, é claro, a não abrir anexos ou clicar em links suspeitos;
- Tanto aos pacientes quanto aos colaboradores é imprescindível desconfiar de promoções, brindes, descontos e ofertas similares que soem muito vantajosas. Antes de clicar em links, é importante pesquisar sobre a empresa anunciante, ou mesmo averiguar se há alguma notícia de golpe relacionada ao fato;
- Atenção aos aplicativos: para baixar qualquer aplicativo, opte por fazê-lo nos sites oficiais das empresas ou nas lojas de aplicativos do sistema operacional de seu smartphone;
- Uma dica é utilizar soluções de segurança no celular, como as que detectam phishing em aplicativos de mensagens (como WhatsApp) e em redes sociais;
- Em caso de ataque, registre um boletim de ocorrência, caso seja vítima de cibercrimes ou tenha recebido algum contato neste sentido. Polícias civis de vários estados contam com delegacias especializadas em crimes cibernéticos; em muitas delas é possível fazer a queixa on-line.