O cibercrime global atingirá US$ 10,5 trilhões até 2025, tornando-o mais lucrativo do que o comércio internacional de drogas e maior do que todas as economias, exceto EUA e China. Em particular, o cibercrime está causando um grande impacto no sistema de saúde mundialmente
Cibercriminosos de todos os cantos do mundo estão enviando 3,4 bilhões de e-mails de phishing diariamente, de acordo com pesquisadores, e as organizações de saúde dos EUA são o principal alvo. Em 2021, 61% dos entrevistados de um estudo de saúde da Sophos relataram que pagaram resgates, o que é uma taxa mais alta do que qualquer outro setor. E os ataques de ransomware a organizações de saúde aumentaram alarmantes 94% em apenas um ano.
Por que a saúde é particularmente vulnerável a ataques cibernéticos
As organizações de saúde têm experimentado um aumento nos ataques devido à sua alta propensão a pagar um resgate, ao valor dos registros dos pacientes e, muitas vezes, à segurança inadequada. O setor também tem uma escolha de soma zero entre pagar um resgate e arriscar a vida dos pacientes, que os maus atores exploram. Como os provedores de assistência médica não podem atender totalmente os pacientes sem acesso a registros e monitoramento de ferramentas médicas digitais conectadas a redes de saúde, eles geralmente cedem às demandas de colocar os pacientes em primeiro lugar. É importante observar, no entanto, que nem todas as organizações que pagam um resgate obtêm seus dados de volta.
Os ataques de phishing são excepcionalmente perigosos para as organizações de saúde porque os dados dos pacientes são um dos ativos mais valiosos para os criminosos atualmente. Informações de saúde protegidas (PHI) valem uma fortuna para os cibercriminosos e são uma das commodities mais populares da dark web. Uma pesquisa recente mostra que dados de vários pacientes estão sendo roubados e vendidos por US$ 1.000 cada, enquanto os números de cartão de crédito estão sendo vendidos por cerca de US$ 5 cada, uma conta hackeada do Instagram custa US$ 7 e os números do Seguro Social valem um insignificante US$ 1.
Além disso, criminosos experientes em tráfico de drogas e lavagem de dinheiro compram avidamente registros médicos para obter medicamentos prescritos, registrar alegações médicas falsas ou roubar as informações para abrir cartões de crédito e obter empréstimos fraudulentos. Os registros médicos são um rico recurso de pontos de dados valiosos e permanentes, enquanto contas e cartões de crédito são rapidamente cancelados.
Os ataques cibernéticos à saúde também rendem resgates exorbitantes. Por exemplo, o ransomware conhecido como Ryuk foi supostamente usado para extorquir milhões de unidades de saúde dos EUA desde 2018. Além disso, o preço médio de uma violação de dados de saúde subiu para US$ 10 milhões, de acordo com o relatório de custo anual de uma violação de dados.
Como as organizações de saúde podem se proteger contra ameaças de segurança cibernética
Toda empresa de saúde precisa priorizar a segurança. Em particular, como o e-mail é um dos pontos de entrada mais frequentes para violações de dados, recomenda-se que as organizações adotem uma abordagem de confiança zero.
Os prestadores de serviços de saúde também têm a obrigação legal de proteger os pacientes e suas PHI, especialmente ao enviar ou receber e-mails. Portanto, as estratégias e soluções de segurança de e-mail precisam abordar a segurança cibernética e a conformidade com a LGPD.
Os líderes de segurança cibernética devem seguir estas etapas para evitar uma violação de dados:
- Eduque e treine a equipe para reduzir o risco de ataques de engenharia social via e-mail e acesso à rede.
- Avalie o risco corporativo em relação a todas as vulnerabilidades potenciais e priorize a implementação do plano de segurança com o orçamento, a equipe e as ferramentas necessárias.
- Desenvolva um roteiro de segurança cibernética que todos na organização de saúde entendam.
REFERÊNCIAS:
https://www.cisa.gov/stopransomware
https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/