Violação de dados de centro de tratamento de câncer afeta informações de 2,2 milhões de pacientes

No dia 4 de março, o centro de tratamento de câncer 21st Century Oncology Holdings divulgou detalhes de uma violação que afetou mais de 2 milhões de pacientes. A investigação realizada pelo FBI e por uma firma de perícia cibernética revelou que o roubo de informações de pacientes – inclusive nomes, números de seguro social, nomes dos médicos, detalhes de tratamento e seguro – aconteceram em novembro depois que grupos maliciosos obtiveram acesso à base de dados do centro, em outubro.

Em uma declaração, o centro situado na Flórida afirmou, “O FBI pediu que adiássemos a notificação do incidente ao público até agora para não interferir na investigação. Agora de seu pedido da agência legal terminou, estamos notificando os pacientes o mais rápido possível. Continuaremos a trabalhar de perto com o FBI em sua investigação sobre a intrusão em nosso sistema.

Sediada em Fort Myers, a empresa opera 45 centros de tratamento de câncer nos Estados Unidos e mais 36 na América Latina. A provedora de cuidados médicos disse que ainda não há evidências de mau uso das informações expostas dos pacientes. Apesar do conselho do FBI para sermos discretos já ter terminado, as investigações do incidente de segurança ainda estão em andamento para estudar a amplitude e gravidade da violação.

Em um incidente separado na última semana, o City of Hope, uma instalação de pesquisa e tratamento em Duarte, na Califórnia, relatou um ataque de email de phishing que aconteceu em janeiro de 2016. O ataque levou a um acesso não autorizado a contas de email de quatro funcionários, inclusive três que continham informações de saúde protegidas como nomes de paciente, números de registros médicos, datas de nascimento, endereços e outras informações clínicas e de paciente.

Apesar dos métodos usados no incidente do City Hope possam ser diferentes, esse incidente é apenas um dos muitos ataques ao setor de saúde e provavelmente não será o último. De acordo com uma análise sobre relatórios de incidentes de violação de dados divulgados ao público, dos últimos dez anos, quase 27% de todas as violações registradas atingiram o setor de assistência médica (1). 

1. Os quatro setores seguintes mais afetados pelas violações de dados registradas durante esse período: Educação (16,8%), Governo (15,9%), Varejo (12,5%) e Finanças (9,2%).

Os ataques contra o setor de saúde podem ser explicados pelo fato de manter tipos de informações lucrativas. Os dados coletados e as informações de clientes das empresas de saúde são considerados uma mina de ouro para os cibercriminosos, pois as informações pessoalmente identificáveis que podem ser tiradas desses registros podem facilmente ser usadas para abrir contas usando identidades roubadas, vendidas no mercado negro e chantagem e outros esquemas de extorsão. Além disso, o número de incidentes que envolvem o roubo de dados médicos mostra que esses dados não são tão seguros, tornando-os um alvo ainda mais ideal.  

Em Preparando o palco: Mudanças no cenário ditam futuras estratégias de resposta a ameaças, a assistência médica foi identificada como o setor mais afetado pelos incidentes de violação de dados, em 2105. Entre os casos mais notáveis do ano passado, registros de 90 milhões de pacientes, que incluíam números de seguro social, dados clínicos e até informações financeiras, foram acessadas por cibercriminosos.

O Gerente Global de Comunicações de Ameaças da Trend Micro, Christopher Budd observou, “Os dados de saúde representam o “Santo Gral” em termos de roubo de dados. Quando dados de cartão de créditos são roubados, os criminosos podem usá-lo até que o cartão de débito ou crédito seja cancelado. Mas como você “cancela” seu número de seguro social? Você não pode cancelar.

Até o momento dessa postagem, os pacientes afetados já foram devidamente notificados pelo 21st Century Oncology e receberão serviços de proteção de crédito grátis por um ano. Um call center dedicado para pacientes também foi formado para as partes afetadas. A empresa prometeu reforçar a segurança acrescentando uma camada extra de proteção em seus protocolos internos de segurança.