A saúde reinventa-se na cloud, tornando-se vulnerável a ciberameaças. Como podem estes ataques ser evitados?
Os avanços tecnológicos no sector da saúde levaram a um aumento da interconectividade e de infraestruturas baseadas na cloud, a fim de manter a distância física devido à COVID-19 e abordar a necessidade urgente de lidar com volumes esmagadores de doentes através de cuidados online.
De acordo com dados da Global Markets Insights, o mercado de cloud computing nos cuidados de saúde foi avaliado em mais de 29 mil milhões de dólares em 2020 e espera-se que valha 79,3 mil milhões de dólares até 2027, com uma CAGR de 13,4%. Estamos, portanto, perante uma grande indústria e um processo de migração para a cloud que não passou despercebido aos cibercriminosos.
O que é que os cibercriminosos procuram quando atacam o sector da saúde?
Os registos de saúde são dados altamente valorizados porque há muitas formas de explorar esta informação na dark web e os hackers podem ganhar elevadas quantias. Por exemplo, estes dados podem ser utilizados para comprar receitas médicas, receber tratamentos ou fazer falsas alegações médicas e criar um caos generalizado, que afetará as pessoas cujos dados foram roubados a longo prazo.
Os resultados do Data Breach Investigation Report da Verizon indicam que, entre os motivos que os cibercriminosos encontram para atacar este sector, estão, principalmente, os financeiros (95%), seguidos da espionagem (4%), a conveniência (1%) e, finalmente, o ressentimento (1%).
Assim que os hackers ganham acesso ao sistema de um centro de saúde, os dados comprometidos incluem normalmente dados pessoais (58%), dados médicos (46%), credenciais (29%) e outros (29%).
Principais tipos de ciberataques contra o sector da saúde
Para além do valor da informação sensível pessoalmente identificável (PII), o sector da saúde é frequentemente um alvo relativamente fácil para os hackers black hat. Há muitas coisas que tornam um sistema mais vulnerável, incluindo o aumento da Internet das Coisas Médicas (IoMT), proteção insuficiente (como a utilização de portais para partilhar informações médicas dos pacientes que podem servir de porta de entrada através de palavras-passe fracas), não usar MFA, não dispor de soluções de cibersegurança capazes de impedir ameaças avançadas, a utilização de sistemas legacy e a formação ineficaz dos colaboradores.
Num inquérito realizado em Março deste ano, o Health-ISAC identificou as cinco principais ameaças à cibersegurança no sector da saúde entre 2021 e 2022:
- Ransomware
- Phishing
- Falhas de segurança de dados de terceiros
- Falhas de segurança de dados proprietários
- Ameaças internas
Do mesmo modo, os resultados do Inquérito HIMSS de Saúde e Cibersegurança de 2021 confirmam estes dados, sendo o phishing e o ransomware os principais resultados, com uma quota de 45% e 17%, respetivamente. Seguem-se as falhas de segurança de dados (7%) e a engenharia social (5%).
Autenticação multifatorial (MFA): essencial nos sistemas de saúde
Se os profissionais de saúde acedem ao registo de saúde eletrónico de um paciente através de um portal clínico, é crucial que sigam um protocolo que garanta que o acesso se limita àqueles autorizados a vê-lo. Os dados de saúde devem ser restringidos ao pessoal essencial e o acesso deve ser revisto com frequência.
Além disso, se estiver envolvido o acesso cloud, a implementação de uma solução de MFA é estritamente obrigatória. A privacidade dos dados é tão crítica que a MFA também deve ser assinalada dentro das suas redes. Algumas empresas removem o requisito de AMF quando os utilizadores estão fisicamente dentro da rede, ignorando o risco de ataques e movimentos laterais. Por exemplo, em 2021, um hospital holandês foi multado em 440.000 euros pela Autoridade de Proteção de Dados (DPA) devido à proteção inadequada dos registos de doentes entre 2018 e 2020, uma vez que não conseguiram implementar uma segurança suficiente para impedir o acesso não autorizado a registos de utilizadores dentro da rede.
Não obstante, o HIMSS revelou nos seus resultados globais do inquérito que apenas 34% dos inquiridos afirmaram ter implementado o uso da autenticação multifatorial na sua organização. Em contrapartida, outros inquiridos indicaram que este tipo de autenticação é aplicado em menor grau nas suas instituições. Isto representa um risco desnecessário para a confidencialidade, integridade e disponibilidade da informação.
Como MSP, é importante estabelecer a utilização desta solução e aconselhar os clientes de cuidados de saúde sobre qual a solução mais apropriada para eles. Os sistemas de cuidados de saúde gerem dados altamente sensíveis, tais como informação médica do utilizador, e a implementação de MFA para o seu acesso é fundamental, além de ser um requisito regulamentar de longa data. As organizações médicas que o incluíram estão em conformidade com os regulamentos, como neste case study para a Generalitat Valenciana, enquanto a não implementação desta proteção pode resultar em penalizações e grandes violações de segurança.