O problema com o cenário de ameaças atual é que nossa percepção pode muitas vezes ser obscurecida pelas histórias atraentes das manchetes mais recentes. Para se ter uma ideia clara do que está realmente acontecendo e onde estão as ameaças aos nossos dados, precisamos voltar e olhar as tendências mais amplas. Foi exatamente o que os dados da Privacy Rights Clearinghouse (PRC) permitiram que a Trend Micro fizesse em dois novos estudos que analisam violações publicamente divulgadas de 2005 a 2015. Você pode ficar surpreso com algumas das descobertas.
Apesar das violações sensacionais de dezenas de milhões de registros de clientes de varejistas como a Target e a Home Depot e dos enormes prejuízos de violações governamentais do Office of Personnel Management, a assistência médica foi a que mais sofreu durante a última década.
Investigando mais
As organizações de assistência médica foram responsáveis por mais de um quarto (26 por cento) de todas as violações nos EUA durante o período de tempo estudado, segundo os dados da PRC. Isso é significativamente maior do que a educação (16,8 por cento), governo (15,9 por cento) e varejo (12,5 por cento) que fecharam os quatro setores mais visados. Pode ser porque as organizações de saúde simplesmente tiveram que relatar tais incidentes por um período mais longo, devido às regulamentações HIPAA. Porém, relatórios informais parecem sugerir um problema mais profundo.
Ultimamente, testemunhamos as enormes violações da Anthem (80 milhões), da Premera Blue Cross (11 milhões) e, mais recentemente, da Excellus (10 milhões). Talvez não seja surpresa que o Centro de Recursos de Roubo de Identidade tenha alegado que a assistência médica foi responsável pela maioria das violações entre todos os setores em 2014 (42,5 por cento) – encabeçando a lista pelo terceiro ano consecutivo.
Foram certamente os anos de subinvestimento na segurança das organizações de assistência médica, cujas consequências agora estão começando a surgir. Depois veio a digitalização em massa dos registros médicos dos pacientes, aumentando muito a superfície de ataque dos órgãos de assistência médica. Além disso, considere como o setor está segmentado em entidades distintas e muitas vezes concorrentes, proporcionando aos cibercriminosos muitas lacunas a serem exploradas. Os registros médicos dos pacientes se tornaram cada vez mais atraentes para os hackers pois contêm uma enorme quantidade de informações pessoais não só dos indivíduos, mas de todas as suas famílias, podendo ser exploradas efetivamente em fraudes de identidade de acompanhamento.
Junte todos esses fatores e você tem algo que se aproxima de uma catástrofe envolvendo violações de dados.
Impedindo perda e roubo
Mas essa ainda não é toda a história. Segundo a análise de dados do PRC da Trend Micro, Siga os Dados: Analisando as Violações por Setor, apenas sete por cento das violações da assistência médica da última década vieram de hacking ou malware. A maioria (60 por cento) veio de perda ou roubo físico de dispositivos. Isso não quer dizer que os ataques de malware sejam mais prejudiciais para essas organizações, mas é importante notar que acabando com falta de cuidados ou negligência dos funcionários, os órgãos de assistência médica poderiam reduzir bastante o número de violações sofridas.
Esse tipo de Informação do relatório pode ajudar as organizações de saúde a criarem uma estratégia de segurança mais eficaz para seus dados. Os passos a serem dados devem incluir medidas técnicas e não técnicas, tais como:
- Prevenção de Perda de Dados e ferramentas de gestão/controle de dispositivo
- Criptografia de disco e de dispositivo para inutilizar quaisquer dados perdidos ou roubados
- Política restrita de acesso de privilégio para reduzir o número de funcionários que podem acessar dados muito sensíveis.
- Programas de educação e treinamento para conduzir as melhores práticas lidando com dados internos e a importância disso para a prosperidade da organização
- Revisão da política de mídia removível para minimizar o risco de perdas deliberadas ou acidentais
Clique aqui para ler os dois relatórios da Trend Micro: Siga os Dados: Dissecando as Violações de Dados e Acabando com os Mitos e Siga os Dados: Analisando as Violações por Setor.