Segurança de dados na Saúde: como prevenir ataques pela internet?

Conheça o maior e mais importante evento do setor de saúde do Brasil.

Durante a pandemia, os ataques cibernéticos na área de saúde tiveram um aumento substancial, colocando em risco a vida dos pacientes. De acordo com relatório da Check Point, o número de investidas contra hospitais e instituições semelhantes subiu 45% globalmente durante 2020, o dobro da taxa de crescimento de outros setores.

As organizações da Saúde são mais vulneráveis do que outros segmentos, como bancos e empresas financeiras, mas podem ser muito lucrativas para os cibercriminosos. Uma das ameaças mais significativas contra instituições médicas é o ransomware, que é quando hackers “sequestram” os dados, deixando-os inacessíveis, solicitando um resgate para a liberação.

Principais ataques às instituições da Saúde

Os ataques cibernéticos se aproveitam das falhas de segurança para entrar no sistema e acessar dados sigilosos. As técnicas mais comuns aplicadas pelos criminosos contra instituições da Saúde utilizam engenharia social, aproveitando da confiança dos colaboradores para infectar computadores e dispositivos. Entre elas, estão as descritas a seguir.

• Phishing: os alvos são contatados por e-mail, telefone ou mensagem de texto com uma mensagem simulando uma instituição legítima para induzir indivíduos a fornecer dados confidenciais, como identificação pessoal, dados de acesso ao sistema e senhas.
• Baiting: em muitos aspectos, é semelhante aos ataques de phishing. No entanto, distingue-se de outros tipos de engenharia social porque é feito o envio de um arquivo infectado explorando a curiosidade da vítima.
• Pretexting: o invasor cria um cenário de confiança, com informações disponíveis na internet, como nome, endereço e e-mail, para tentar convencer o alvo fornecer dados valiosos, como uma senha.

Como garantir a segurança das organizações?

Uma equipe capacitada na identificação de ameaças e que não caia em golpes é fundamental para evitar os ataques cibernéticos. Por isso, as empresas devem fornecer cursos para seus colaboradores, que devem abordar orientações básicas, como:

• acessar somente sites com segurança (HTTPS);
• não clicar e compartilhar correntes de mensagens sem conferir a fonte dos dados;
• uso de senhas fortes, com letras maiúsculas, minúsculas, números e símbolos;
• não deixar senhas escritas em locais de fácil acesso, como cadernos e post-its.

Mesmo com uma rede de funcionários bem-informados, os cibercriminosos podem conseguir outras formas de acessar o sistema das instituições pela internet. Por isso, medidas técnicas são fundamentais para garantir a inviolabilidade dos dados de pacientes e empresas.

Criptografia

A codificação de sistemas e dados é essencial para garantir que apenas pessoas autorizadas possam ter acesso. Portanto, já existem softwares médicos que oferecem criptografia SSL 256 bits, padrão utilizado por sistemas bancários. Qualquer sistema médico, especialmente de prontuários eletrônicos, precisa ser criptografado.

Antivírus

O uso de softwares de antivírus e de firewall com atualização constante são fundamentais para proteger os dados das instituições de saúde. Devem ser instalados programas em todos os dispositivos utilizados, inclusive celulares, tablets e outros equipamentos que estão conectados à rede da instituição médica.

Backup diário

Um backup diário aumenta a proteção contra perdas de informações médicas provocadas por ataques, por isso essa deve ser uma rotina da instituição. Existem, ainda, serviços de armazenamento de dados em nuvem que permitem uma atualização instantânea, com o acesso remoto de qualquer lugar.

Fonte: Kaspersky, Carefy, Check Point.