Proteção de Dados

O valor e a importância da proteção e privacidade dos dados na área da saúde

O número de ataques cibernéticos contra empresas brasileiras está aumentando. Estudo feito pela Trend Micro mostra que enquanto o total registrado de ataques em 2020 foi de 66,5 bilhões, em julho de 2021 o número já ultrapassa os 50,1 bilhões, 75,3% do total detectado ano passado. 

Os cibercriminosos sabem que as empresas têm dinheiro para pagar o resgate e recuperar seus dados confidenciais e que, às vezes, essas empresas não têm os recursos internos adequados para proteger suas redes.

As organizações de saúde, em particular, estão sendo o foco. De acordo com estudos feitos pelo Departamento de Saúde e Serviços Humanos Office for Civil Rights nos Estados Unidos, entre 2009 e 2020, 3.705 violações de dados de saúde foram relatadas. Esses incidentes resultaram na perda, roubo, exposição ou divulgação de 268.189.693 registros de saúde.

No Brasil, o Grupo Fleury e Porto Seguro foram os casos mais recentes de ataques no segmento de saúde. Os ataques do tipo ransomware, de acordo com a Trend Micro, quase dobraram em apenas 2 meses, passando de 751 para 1.312 detecções.

Um levantamento realizado pela Check Point Software Technologies aponta que houve alta de 45% nos ataques a empresas do setor de saúde no mundo. Os hospitais são os mais atacados, principalmente em função do acesso a dados pessoais e sensíveis, o que pode render duplamente ao cibercriminosos ao ganhar com o resgate e com a promessa de não divulgação dos dados.

De fato, o setor de saúde é um alvo, devido a quantidade de dados confidenciais valiosos que eles mantêm, a motivação que têm para manter as operações de negócios funcionando e o fato de que muitas organizações de saúde operam em redes desatualizadas ou protegidas incorretamente. 

Um ataque cibernético pode fazer com que a rede de uma organização de saúde fique offline, o que pode ter um grande impacto nas operações de negócios

Devido à natureza de seus negócios, as organizações de saúde armazenam muitos dados confidenciais em suas redes. Isso pode incluir registros de pacientes, que podem conter informações que vão desde números de seguridade social e números de cartão de crédito até informações de seguros e dados de diagnósticos médicos.

Os cibercriminosos consideram essas informações bastante lucrativas, visto que podem vendê-las na dark web, usá-las para realizar operações financeiras, identificar fraudes ou cobrar um resgate para devolvê-las com segurança à vítima.

Ao contrário de outras empresas que simplesmente podem ter que interromper as operações administrativas e de vendas, uma organização de saúde cuja rede cai pode ter que interromper as consultas, cirurgias e outros tratamentos médicos dos pacientes.

Isso pode ter um efeito particularmente negativo em hospitais que hospedam pacientes gravemente enfermos que precisam de cuidados imediatos. Os cibercriminosos sabem que as organizações de saúde estão mais desesperadas para minimizar o tempo de inatividade do que outras empresas, o que poderia motivá-los melhor a pagar um resgate.

Muitas organizações de saúde também funcionam em uma infraestrutura desatualizada ou insegura, o que pode facilitar para o cibercriminoso encontrar vulnerabilidades de rede. Por exemplo, a crescente imersão da Internet das Coisas (IoT) e outras tecnologias “inteligentes” na área de saúde estão introduzindo uma série de brechas de segurança em potencial. 

A segurança dos dados continuará a crescer em importância à medida que o setor de saúde avança para uma maior implementação de registros eletrônicos de saúde

O setor de saúde vem adotando novas tecnologias, visando apoiar médicos e pacientes para melhorar a prestação de serviços de saúde. 

Com a evolução do setor, o elemento central de um sistema de informação hospitalar passou a ser o registro eletrônico de saúde, onde os dados do paciente, incluindo informações de saúde protegidas, são armazenadas. 

Além disso, a equipe administrativa e financeira do hospital usa uma infinidade de outros aplicativos para monitorar o desempenho da instituição em termos de eficiência financeira e taxas de sucesso do tratamento. Organizações governamentais também usam soluções de TI para rastrear a qualidade e a segurança das operações das organizações de saúde. 

Para gerenciar, armazenar e acessar esses dados, são utilizadas tecnologias modernas, como nuvem, dispositivos móveis e bancos de dados de nova geração.

Que tipo de informação é protegida?

Basicamente, as informações de saúde que devem ser protegidas incluem o seguinte:

  • Nomes;
  • Datas de nascimento, óbito, tratamento, admissão e alta;
  • Números de telefone e outras informações de contato;
  • Endereços;
  • Números da previdência social;
  • Identificadores de registros médicos;
  • Fotografias e quaisquer imagens comparáveis;
  • Dados biométricos, incluindo impressões digitais, retinais e de voz;
  • Quaisquer outros números de identificação.

Portanto, vale destacar, que o setor de saúde opera com enormes ativos de dados que incluem, entre outros, informações sobre a saúde do paciente e dados pessoais. Nesses últimos anos, em especial o período da pandemia de Covid-19, mostraram que esses dados são a “fatia do bolo” que atraiu os cibercriminosos. 

Evite penalidades por não conformidade

Por padrão, as organizações de saúde são regidas por vários regulamentos do setor. Em especial, a Lei Geral de Proteção de Dados (LGPD), para proteger as informações confidenciais do paciente, assim como a sua privacidade.

Violações de dados podem fazer com que essas hospitais violem os requisitos previstos pela LGPD, o que pode levar a uma série de consequências que variam de penalidades financeiras a penas que podem inviabilizar o funcionamento da instituição de saúde no caso de violações. 

A proteção e privacidade de dados deve ser a principal preocupação das organizações de saúde, caso desejem evitar penalidades por não conformidade e qualquer dano subsequente à reputação. 

Para evitar essas penalidades, as empresas precisam avaliar completamente sua infraestrutura tecnológica e processos internos, especialmente quando se trata de como os funcionários lidam com informações confidenciais.

Protegendo dados confidenciais da saúde

De todas as indústrias em foco, a saúde é particularmente suscetível aos ataques virtuais porque depende do acesso a informações críticas em todos os momentos. Mas o ransomware não é o único ataque cibernético que atinge o setor de saúde, também há malware, phishing, negação de serviço distribuída (DDoS) e muito mais. 

Então, como as organizações de saúde podem proteger as informações privadas dos pacientes de cibercriminosos?

  1. Criptografando todos os dados do paciente 

As organizações de saúde vêm introduzindo cada vez mais dispositivos móveis em suas clínicas, como smartphones e tablets, o que lhes dá acesso rápido a recursos online e permite que acessem os dados dos pacientes remotamente. 

Com esse aumento no uso de dispositivos móveis, a necessidade de criptografar dados é mais importante do que nunca. Se o telefone ou laptop de um profissional de saúde for extraviado, ou deixado sem supervisão, alguém pode acessar facilmente os dados não criptografados, colocando a privacidade dos pacientes em risco. 

A criptografia de arquivos de pacientes ajuda a garantir que usuários não autorizados não consigam visualizar os dados, mesmo que consigam roubar o dispositivo.

  1. Treinando seus funcionários

Educar seus funcionários sobre as melhores práticas de segurança cibernética é fundamental para a integridade da segurança de dados de sua organização. 

Os funcionários são como guardiões, determinando quais dados entram e quais saem. Ajude-os a compreender o papel vital que desempenham na proteção dos pacientes e a educá-los sobre os riscos, e as consequências, dos ataques cibernéticos.

Conforme você educa sua equipe, implemente certas diretrizes para controlar como eles lidam com dados, como não compartilhar senhas e exigir autenticação multifator para acessar arquivos, para proteger ainda mais a privacidade dos pacientes.

  1. Usando tecnologia e software atualizados

À medida que os ataques cibernéticos evoluíram ao longo dos anos, o mesmo deve acontecer com sua tecnologia. 

Mantenha seu software e equipamentos modernos atualizados, para que você esteja bem preparado para se defender contra ataques cibernéticos e implemente ferramentas certas, como firewalls, proteção antivírus e assinaturas digitais, para ajudar a melhorar a segurança cibernética de sua organização.

Com as assinaturas digitais, os pacientes podem preencher, assinar e enviar a papelada online antes de sua chegada. Isso não só economiza tempo para o paciente e para o provedor, como também é mais seguro. 

Em vez de colocar essas informações confidenciais no papel, que podem ser manipuladas e vistas por várias pessoas, elas podem ser carregadas com segurança em um sistema baseado em nuvem que só pode ser visto por usuários autorizados. 

Poucas tecnologias de assinatura eletrônica permitem que você cumpra os requisitos de segurança previstos no setor de saúde, por isso é importante procurar uma plataforma que inclua verificação de identidade, tecnologia à prova de violação e uma trilha de auditoria abrangente que registre cada etapa do processo de assinatura.

Os riscos de um ataque cibernético são grandes demais para serem ignorados, especialmente quando a privacidade dos pacientes está em jogo. Ao implementar essas etapas, as organizações de saúde podem se defender melhor contra violações de dados dispendiosas e interruptivas e se concentrar no que fazem de melhor, atender os pacientes.

A solução CipherTrust Data Security Platform permite que as instituições de saúde protejam sua estrutura contra ataques de Ransomware

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. 

Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografa dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection 

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenization

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager 

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as instituições de saúde protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

Portfólio de ferramenta que garante a proteção de dados

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua instituição de saúde pode:

Reforçar a segurança e a conformidade

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com o CipherTrust Data Security Platform, as instituições de saúde podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.

Até breve!