Uma tendência de aumento é observada ano após ano, e 2023 não é uma exceção: os cibercriminosos estão concentrando seus ataques em todo o mundo no setor de saúde como um de seus principais alvos.

De acordo com um relatório do World Economic Forum, até meados deste ano, o setor de saúde sofreu 22% mais ataques do que no mesmo período do ano passado, tornando-o o terceiro setor mais visado em todo o mundo, atrás apenas de setores como educação e pesquisa, financeiro, seguros e comunicações, que ocupam o primeiro e o segundo lugar, respectivamente.

O setor de saúde é um dos setores mais vulneráveis e atraentes para os cibercriminosos, que buscam lucrar financeiramente ou causar prejuízos à população. As consequências são extremamente perigosas para a sociedade, afetando tudo, desde o atendimento em ambulâncias até o fornecimento de medicamentos e a realização de cirurgias.

Esse é um dos pontos fortes que fazem com que os cibercriminosos tenham como alvo essas instituições: a resposta a emergências e urgências não pode ser prejudicada quando a saúde das pessoas está em jogo.

Desde a pandemia de 2020, os grupos de ransomware intensificaram seus ataques a hospitais em todo o mundo, aproveitando o fato de que os sistemas estavam funcionando com capacidade máxima. Os cibercriminosos viram isso como um bônus para pressionar por pagamentos de resgate após um ataque de ransomware ou realizar ataques DDoS (negação de serviço) para dificultar a resposta das instituições.

Um relatório da ENISA (Agência Europeia de Segurança de Redes e Informações) da União Europeia e de países vizinhos revela incidentes cibernéticos no setor de saúde. Até a metade de 2023, os ataques mais frequentes foram:

  • Ransomware: 54%
  • Ameaças aos dados: 46%
  • Intrusões: 13
  • Ataques DDoS: 9%
  • Ataques à cadeia de suprimentos: 7%

O ransomware continua sendo a forma preferida de ataque ao setor de saúde. De acordo com o relatório Cost of a data breach 2023 da IBM, sua incidência aumentou 15,3% desde 2020, com cada ataque custando cerca de US$ 4,45 milhões.

Além do incidente, os problemas persistem. Os vazamentos de dados expõem as pessoas que usam esses sistemas e, como resultado, as dificuldades não se limitam apenas ao atendimento precário de doenças ou condições médicas, o que pode complicar perigosamente sua situação. Recentemente, pacientes do Fred Hutchinson Cancer Center sofreram ameaças por e-mail de um grupo de cibercriminosos, após um vazamento de dados no final de novembro.

Alguns dos casos que repercutiram em 2023

O ano começou com o ataque ao Hospital Clínic de Barcelona, atribuído ao grupo RansomHouse, que afetou os serviços da instituição médica, que teve que contar com outros hospitais da cidade para prestar o atendimento necessário a seus pacientes, especialmente os que corriam risco de morte.

Esse mesmo grupo também atuou na América Latina e, em outubro deste ano, afetou serviços de saúde e justiça em vários países, no que é conhecido como um ataque à cadeia de suprimentos: a empresa atacada fornece serviços digitais a várias empresas da região e do mundo, e o grupo usou essa "ligação" como porta de entrada.

Em agosto de 2023, o grupo de ransomware como serviço (RaaS) chamado Rhysida lançou um ataque à Prospect Medical Holding nos Estados Unidos, afetando mais de 16 hospitais e 116 clínicas em todo o país, que tiveram de suspender todos os seus sistemas de TI.

No mesmo mês, o mesmo grupo atacou o Instituto Nacional de Serviços Sociais para Aposentados e Pensionistas (PAMI) da Argentina, afetando diretamente o atendimento aos afiliados e o sistema de documentação digital. Mais de 18 GB de informações e 1,6 milhão de arquivos foram vazados. Como em todos os vazamentos de dados confidenciais, as consequências podem estar por vir, com e-mails de phishing, chantagem e golpes a pacientes desse serviço.

Uma preocupação para os estados

Nos Estados Unidos, o Department of Health and Human Services revelou no mês passado que está buscando urgentemente aumentar o financiamento para que os hospitais rurais invistam em tecnologias de segurança e treinamento para a equipe.

O Departamento identificou as principais vulnerabilidades que podem ser exploradas por cibercriminosos e comprometer a integridade dos sistemas e a confidencialidade dos dados:

  • Aplicativos da Web;
  • Falhas de criptografia;
  • Software e sistemas operacionais sem suporte;
  • Vulnerabilidades exploradas conhecidas.

Além disso, a Agência de Cibersegurança e Segurança de Infraestrutura Crítica atualizou em novembro o guia de mitigação, especificamente para hospitais e centros de saúde, com dicas e práticas recomendadas contra ameaças, e com um detalhamento das vulnerabilidades que devem ser conhecidas para evitar invasões.

Enquanto isso, o relatório da ENISA adverte que apenas 27% das organizações pesquisadas no setor de saúde têm um programa dedicado de defesa contra ransomware, e mais de 40% delas não têm um programa de conscientização de segurança para funcionários que não são da área de Tecnologia da Informação.

95% das organizações de saúde que participaram da pesquisa enfrentam desafios na realização de avaliações de risco, enquanto 46% nunca realizaram uma análise de risco.

Conclusão

O crescimento dos ataques cibernéticos no setor de saúde deve ser enfrentado prestando atenção às suas vulnerabilidades críticas e compreendendo o cenário geral de ameaças. O investimento em cibersegurança e a implementação de políticas abrangentes de cibersegurança serão fundamentais para abordar e proteger sistemas que são tão vitais para a sociedade e o bem-estar das populações.