De ransomware a sistemas vulneráveis a violações de dados, o setor de saúde continua sendo o alvo principal de muitos cibercriminosos. Depois dos últimos relatos de violações de dados em hospitais e organizações de assistência médica, informações críticas e dados financeiros de pacientes estão novamente em risco de serem usados em atividades criminosas.
O Southeast Eye Institute (Eye Associates of Pinellas), da Flórida, informou uma violação de dados após o acesso não autorizado de outra empresa a arquivos de pacientes em seus servidores de rede, gerenciados por seu fornecedor terceirizado de software de gestão de práticas, Bizmatics. De acordo com o Gabinete de Direitos Civis do Departamento de Saúde e Serviços Humanos dos Estados Unidos, a violação afetou 87.314 pacientes. O ataque parece ter começado no início de janeiro de 2015 e não foi detectado até o final de março de 2016.
O relatório do Southeast Eye Institute foi solicitado por investigações após notícias de incidentes de hacking envolvendo a Bysmatics, um fornecedor de registro de saúde eletrônico de (EHR), software de gestão de prática e cobranças médicas. Os Pain Treatment Centers of America (PTCOA) e o Interventional Surgery Institute (ISI), uma rede de saúde de Arkansas, que empregava a Bysmatics, também foram afetados após uma violação de dados que expôs registros médicos de 19.397 de seus pacientes. A Complete Family Foot Care em Nebraska também foi atingida, expondo 5.883 registros médicos.
Em uma nota publicada em seu site, o Medical Colleagues, LLP em Katy, Texas, divulgou que os hackers obtiveram acesso a sua rede de computadores e acessaram 68.631 registros que incluíam nomes, endereços, números de Seguro Social e informações de seguro saúde de seus pacientes e funcionários.
No Condado de San Juan, Novo México, os registros médicos de 12.000 pacientes de um programa de abuso de álcool e drogas financiado pelo governo federal foram vazados, expondo nomes, endereços, avaliações de saúde, medicações e métodos de tratamento de pacientes. Em março de 2016, o 21st Century Oncology Holdings, na Flórida, relatou uma violação de dados que afetou mais de dois milhões de pacientes em 145 de seus centros de tratamento de câncer nos EUA e mais 36 na América Latina.
Em fevereiro último, foi relatado que as informações médicas de 22.000 pacientes odontológicos foram colocadas em risco quando o técnico de computação dental e pesquisador de segurança, Justin Shafer, descobriu que o software de gestão de práticas dentais, Eaglesoft, armazenou informações de pacientes em seu servidor FTP de um modo que as deixavam facilmente acessíveis para qualquer pessoa. As instalações afetadas incluíam a Timberlea Dental Clinic e o Dr. Massachusetts General Hospital Dental Group no Canadá, Massachusetts General Hospital Dental Group e a Patterson Dental.
Os problemas de segurança do setor de saúde são bem documentados. A saúde também é considerada uma mina de ouro para os cibercriminosos, pois esses registros incluem informações pessoalmente identificáveis de um indivíduo (PII) e também registros médicos e dados de crédito. Para os cibercriminosos, isso significa um alto retorno, pois os dados financeiros e pessoais podem ser vendidos nos mercados do submundo para criminosos que podem então usá-los para realizar mais atividades ilegais.
De fato, o setor de assistência médica teve o maior número de roubo de identidade, fraude e outros crimes relacionados em 2015. Incidentes de alto nível incluíram as violações da Anthem, que expôs o PII de 80 milhões de seus clientes e a Premera Blue Cross, que expôs credenciais bancárias e informações de tratamento de 11 milhões de pacientes. De outubro de 2009 a 25 de maio de 2016, o Gabinete de Direitos Civis registrou 1.567 incidentes de violação em instalações e organizações de saúde.
O Southeast Eye Institute está atualmente trabalhando com especialistas para reforçar sua cibersegurança. Ele também ofereceu a seus pacientes serviços gratuitos de proteção de identidade e monitoramento de crédito por um ano. O Medical Colleagues do Texas notificou os pacientes cujas informações foram expostas e forneceu serviços gratuitos de monitoramento de crédito por um ano. Ele também está trabalhando para implementar o sistema de autenticação de dois fatores para acessar remotamente os EHRs. O mesmo foi feito na instalação do Condado de San Juan, onde $50.000 dólares foram destinados a cobertura de seguro para violações de dados.
