Segurança > Cibercrime, e-Health, Saúde, Segurança de Dados

Hackers aumentam ataques a sistemas de saúde, revela pesquisa da KPMG

Relatório indica que metade dos executivos de TI na vertical se sente preparado para prevenir ofensivas, que podem colocar em risco dados de pacientes

27 de Agosto de 2015 - 12h45

De acordo com uma pesquisa conduzida pela KPMG, 81% dos executivos da área de saúde disseram que suas organizações já foram comprometidas, ao menos, uma vez por malware, botnet ou outro tipo de ciberataque nos últimos dois anos.

O relatório também indica que apenas metade dos executivos se sente preparada para prevenir futuros ataques, que podem colocar sob risco dados sensíveis de pacientes.

O estudo de 2015 entrevistou 223 CIOs, CTOs, diretores de segurança e outros líderes em assistência médica e planos de saúde.

Dos executivos de TI em planos de saúde, 61% deles disseram que estavam preparados para se defenderem de ataques.

Baseado em receita, as organizações maiores estão melhor preparadas que as menores, diz o estudo.

Comparada com as pesquisas anteriores, a mais recente divulgada nesta quarta-feira (26) mostra que o número de ataques em sistemas de TI em saúde aumentou, com 13% dos entrevistados dizendo que são alvos de tentativas externas de invasão uma vez ao dia e outros 12% identificam cerca de dois ou mais ataques por semana.

“Mais preocupante, 16% das organizações em saúde disseram que não conseguem detectar em tempo real se seus sistemas foram comprometidos”, diz o relatório.

Segundo 65% dos entrevistados, malware - projetados para ganhar acesso de sistemas de computadores privados - foram os mais frequentes na linha de ataque durante os últimos 12 a 14 meses.

Ataques do tipo botnet, onde computadores são sequestrados para enviar um spam ou ainda atacar outros sistemas, e vetores internos de ataque, como funcionários que comprometem a segurança, foram citados por 26% dos executivos.

As áreas com maiores vulnerabilidade dentro das organizações incluem invasores externos (65%), compartilhamento de dados com terceiros (48%), brechas de funcionários (35%), computação sem fio (35%) e firewalls inadequados (27%).

A pesquisa da KPMG descobriu que os gastos para prevenir ciberataques aumentaram na maioria das instituições. No entanto, para Gregg Bell da KPMG, tais gastos precisam estar nas iniciativas certas e se encaixar na estratégia da organização.

“Não há um padrão em segurança. Uma organização com uma força de trabalho móvel pode ter uma necessidade de tecnologia muito diferente de uma organização que processa pedidos de assistência médica, por exemplo”.

"A vulnerabilidade dos dados dos pacientes em planos de saúde do país e cerca de 5 mil hospitais está em ascensão e executivos da área estão lutando para salvaguardar os registros dos pacientes”, escreveu em comunicado Michael Ebert, que dirige o Healthcare & Life Sciences Cyber Practice, da KPMG.

“Os registros dos pacientes são muito mais valiosos do que informações de cartão de crédito para as pessoas que pretendem cometer uma fraude, uma vez que as informações pessoais não podem ser facilmente alteradas."

A KPMG listou as cinco principais razões para o aumento de ameaças em organizações de assistência médica:

- A adoção de registros digitais de pacientes e a automação de sistemas clínicos.

- O uso de inadequados registros eletrônicos médicos (EMR, na sigla em inglês) e aplicações clínicas que não são projetadas para operar de forma segura no atual ambiente de rede - e vendedores de software que empurram o problema para o fornecedor.

- A facilidade de distribuição de informações eletrônicas de saúde pessoal tanto internamente (via laptops, dispositivos móveis, pen drives) quanto externamente (empresas de terceiros e serviços em nuvem).

- A natureza heterogênea dos sistemas em rede e aplicações (caso das bombas de respirador habilitados para a mesma rede que sistemas de registro que podem navegar na Internet).

- O cenário de ameaças em evolução, onde ataques cibernéticos hoje são mais sofisticados e bem financiados, dado o aumento do valor de dados comprometidos no mercado negro.

- As organizações de saúde que não sofrem aumento nos ataques cibernéticos também são mais propensas a subestimar a ameaça, de acordo com Bell, que lidera o departamento de Cyber Practice, da KPMG.

"Hackers experientes que invadem uma instituição de saúde vulnerável gostam de passar despercebidos tanto tempo quanto puderem antes de extraírem uma grande quantidade de conteúdo", lembra Bell.