Em maio de 2015, a empresa de assistência médica Carefirst Blue Cross and Blue Shield foi notícia depois de ser atacada por uma violação de dados que expôs dados sensíveis de seus clientes de Maryland, Washington e Virginia. Informações pessoais valiosas de uma base de 1,1 milhões de clientes da seguradora de saúde ficaram comprometidas, inclusive números de seguro social, registros financeiros, senhas e credenciais de cartões de crédito. O CEO, Chet Burrel, expressou consternação e arrependimento antes de assegurar aos clientes que as ações necessárias estavam sendo tomadas para reparar os danos causados pelo incidente.
Esse não foi o primeiro incidente em que empresas de assistência médica parecem estar com pouca segurança, deixando-as vulneráveis a golpes de cibercriminosos. De fato, a Carefirst – que disseram que seria a “terceira empresa Blue Cross and Blue Shield” a ser objeto de ataques cibernéticos – é uma adição consideravelmente menor à pilha de incidentes investigados por autoridades e especialistas em segurança sobre o crescente problema da assistência médica como o novo alvo do cibercrime.
Assistência médica sob ataque
Na última década, os agressores regularmente atacaram alvos como varejistas e até bancos para garimpar credenciais bancárias e financeiras que se transformariam em faturamento. Desde então eles estenderam uma rede maior sobre outros setores, mostrando que até as vítimas mais improváveis e as instituições mais formidáveis poderiam ser facilmente atacadas por criminosos online. Empresas, grandes e pequenas, se tornaram alvos. Por sua vez, os clientes ficaram preocupados com sua segurança.
Durante o ano passado, o setor financeiro continuou a ser atacado, mas as empresas de assistência médica estão sendo mais atacadas mais duramente. Isso levanta a questão: Por que as empresas de assistência médica estão sendo visadas?
Em poucas palavras, tudo por causa dos dados.
Os fornecedores de serviço de saúde têm enormes bases de dados que servem como um repositório de informações de clientes mais extenso do que de qualquer outro setor ou organização – do tipo que, quando roubada, não pode ser facilmente substituída. Christopher Budd, Gerente Global de Comunicações de Ameaças da Trend Micro, observa: “Dados de saúde representam o “Santo Graal”em termos de roubo de dados. Quando dados de cartões de crédito são roubados, os criminosos podem usá-lo apenas até o cartão de crédito ou débito ser cancelado. Mas como você “cancela” seu número de seguro social? Você não pode cancelar.”
Os achados nos dados garimpados das empresas de saúde são ouro para os cibercriminosos porque podem ser usados facilmente para roubo de identidade e outros golpes, desde abertura de contas, revenda no mercado negro e até chantagem. Já foi provado que esses dados não são seguros, tornando-as um alvo ainda melhor.
O Centro de Recursos de Roubo de Identidade (ITRC) apoia isso dizendo que quatro em dez violações de dados registrados de 2005 a 2014 se concentraram no setor de saúde como seu principal alvo de ataque. O Departamento de Saúde e Serviços Sociais dos EUA também disse que desde 2009, os cibercriminosos comprometeram dados de mais de 120 milhões de clientes, de mais de 1.100 diferentes violações de organizações de assistência médica.
Isso só mostra como as informações médicas são muito valiosas aos olhos dos agressores.
2009-2015: Um cronograma das violações de assistência médica
Violações relacionadas à assistência médica têm sido relatadas desde 2005, mas foi em 2009 que os agressores começaram a acumular registros que passaram da marca de 4 milhões. Naquele ano, o Departamento de Saúde da Virginia foi manchete com uma violação relatada que envolveu registros de 8 mihões de clientes e mais de 35 milhões de receitas médicas, realizada por um hacker que exigia $10 milhões de dólares em retorno.
Em 2011, o Serviço Nacional de Saúde do Reino Unido relatou um “erro humano” como o principal fator do comprometimento de mais de 8 milhões de registros criptografados de pacientes. Foi relatado que notebooks com dados não criptografados de pacientes foram roubados, resultando em uma violação que expôs as informações de seus clientes.
2013 também viu uma grande violação que expôs 4 milhões de registros de pacientes do Advocate Medical Group. Culparam o incidente pela falta de medidas fortes de criptografia empregadas nos quatro computadores roubados, expondo os nomes, endereços, datas de nascimento e números de seguro social de seus clientes para os cibercriminosos.
Entre 2012 e 2014, os cibercriminosos começaram a aumentar ataques ao setor de assistência médica, que sofreu notavelmente mais do que os setores empresariais, militares e governamentais. Na verdade, o número de vítimas entre os fornecedores de serviços de saúde cresceu quase quatro vezes em 2014 desde que foi observado pela primeira vez em 2005.
Em 2014, o operador do hospital dos Sistemas de Saúde da Comunidade do Tennessee (CHS) anunciou uma violação de segurança que resultou na perda de dados pessoas de mais de 4,5 milhões de pacientes. Os agressores passaram pelos sistemas de segurança da empresa, coletando dados pessoais de cinco anos, constando de nomes, endereços, datas de nascimento, números de telefones e sistemas de segurança.
A sofisticação da técnica usada na violação do CHS mostrou que os agressores estão adotando novos métodos para se infiltrar nos sistemas alvos – métodos mais avançados que não necessitam de contato físico com os sistemas alvos, tais como a necessidade de roubar ou acessar ilegalmente computadores e notebooks.
Isso foi destacado pelo grande ataque realizado contra a Anthem Inc, a segunda maior seguradora de saúde dos Estados Unidos, anunciado em fevereiro passado. O ataque, que se diz ter começado em abril de 2014, empregou o uso de backdoors personalizadas para acumular informações valiosas pertencentes a mais de 80 milhões de clientes antigos e atuais, e funcionários da empresa. Apesar do CEO da Anthem, Joseph Swedish, ter dito “não há evidência de que informações de cartão de crédito ou médicas, como reclamações, resultados de exames ou códigos de diagnósticos foram visados ou comprometidos”, nomes, datas de nascimento, IDs de membros, números de seguro social, números de telefones, endereços de email e registros de emprego ainda foram comprometidos.
Aproximadamente mais de um mês após o anúncio da Anthem, a Premera Blue Cross divulgou uma violação, em março de 2015, que expôs informações médicas e financeiras de mais de 11 milhões de clientes. Descoberto no final de janeiro deste ano, a Premera compartilhou que o ataque inicial ocorreu em maio de 2014. Apesar da empresa dizer que nenhuma evidência mostrava a remoção ou “uso impróprio” das informações do sistema da empresa, diz-se que nomes, datas de nascimento, endereços de email, endereços, númeors de telefone, números de seguro social, números de identidade dos membros, informações de contas de banco, informações de reclamações, informações clínicas de 13 anos atrás foram expostas a possíveis riscos de ataque.
Como as empresas podem proteger dados de saúde?
O Relatório de Segurança do 1º trim de 2015 da Trend Micro mostrou porque os fornecedores de serviços de assistência médica têm sido uma mina de ouro para os cibercriminosos.
Com as empresas de varejo, bancos e outras organizações comumente visadas no passado tomando medidas de segurança mais robustas, há uma maior probabilidade dos criminosos visarem empresas menos seguras. Pesquisadores de segurança indicaram que o setor de saúde está “atrás de outros setores quado se trata de segurança”. De fato, o FBI emitiu um aviso bem fundamentado há um ano sobre os “sistemas de segurança cibernética fracos” usados para proteger informações de assistência médica, consideradas mais valiosas no mercado negro do que credenciais de cartão de crédito. No ritmo que o setor de saúde está respondendo, poderemos ver ataques ainda maiores em breve.
Embora os ataques iniciais contra o setor de assistência médica tenham sido facilitados pelo roubo ou perda de notebooks e outros dispositivos não criptografados, não é mais o caso. Golpes sofisticados agora estão em jogo e as empresas devem investir em medidas e soluções criadas para acompanhar as ameaças que estão vindo.
Proteger informações de saúde envolve cobrir todas as bases de segurança: protegendo portais do paciente, proativamente se preparando contra perda de dados, detecção de violações, auditoria para conformidade, proteção de dispositivos médicos, proteção de sistemas legados e prestando atenção em todos os posssíveis endpoints que possam ser atacados.