Cibersegurança de empresas de saúde em xeque por negligência

O Programa de Cibersegurança do Departamento de Saúde e Serviços Humanos (HHS) dos Estados Unidos publicou recentemente um guia sobre os riscos e táticas de mitigação para lidar com ciberameaças internas nos ambientes de saúde – os chamados insiders com acesso a ativos ou informações privilegiadas.

O guia classifica os tipos de ameaças internas como funcionários descuidados ou negligentes, agentes mal-intencionados (insiders), atores internos, funcionários descontentes e terceirizados.

O  manual adverte que, ainda que a maioria das empresas invista mais recursos para combater agentes internos mal-intencionados, o mais comum é que as ameaças venham de funcionários negligentes. De acordo com o relatório de 2020 sobre ameaças internas publicado pela Ponemon, eles respondem por 62% de todos os incidentes, à frente de agentes internos mal-intencionados e de criminosos com credenciais.

Um exemplo de funcionário negligente é aquele que deixar o notebook com dados críticos desassistido e com sessão aberta. Agindo assim, o equipamento pode ser roubado ou as informações privilegiadas podem ser copiadas sem autorização. Outro descuido é deixar dispositivos Alexa ligados enquanto se trabalha de casa e reuniões confidenciais estão sendo realizadas.

Funcionários insatisfeitos também podem representar uma ciberameaça significativa se tiverem acesso aos sistemas. São considerados atores emocionais com intenção de causar danos à empresa. De acordo com o CERT, um funcionário normalmente fica insatisfeito por conta de uma expectativa não atendida ou um evento infeliz.

Agora imagine essas ameaças internas decorrentes de negligência ou insatisfação em um ambiente que nos últimos anos se viu inundado pela confusão, insegurança generalizada e trabalho muito intenso trazido pela pandemia de Covid-19. Desde hospitais lotados de pacientes e até empresas farmacêuticas desenvolvendo vacinas, todos com funcionários sobrecarregados, era mais do que natural que, por descuido, informações críticas ficassem vulneráveis e ​​expostas de forma sem precedentes.

O Relatório sobre Riscos de Dados de Saúde de 2021, da Varonis, compilou 3 bilhões de arquivos em 58 organizações do setor de saúde e revelou que, em média, cada funcionário teve acesso a mais de 11 milhões de arquivos – quase 20% do total de arquivos da organização. Em empresas de médio e pequeno porte, os funcionários tiveram acesso irrestrito a quase um em cada quatro arquivos.

A tabela da Varonis abaixo mostra o volume de dados de saúde comprometidos em 2021. O terabyte contém, em média, 1,3 milhão de arquivos. Ao avaliar riscos por terabyte, podemos ter uma imagem mais clara da superfície de ataque típica por tamanho de organização e quais são mais vulneráveis.

Aproximadamente 2% dos arquivos contêm informações confidenciais, como dados do paciente, informações de pesquisa e propriedade intelectual. Empresas menores têm uma volume impressionante de dados expostos. Segundo a Varonis, funcionários recém-ingressados em pequenas organizações têm acesso instantâneo a mais de 11.000 arquivos, e quase metade deles possuem dados confidenciais. Organizações maiores tendem a ter mais problemas com sistemas de permissões.

Essa exposição de informações críticas representa um risco praticamente incalculável, tanto em termos de superfície de ataque quanto de não conformidade de leis de violação de dados. Em comparação com empresas de serviços financeiros, uma organização média do setor de saúde e biotecnologia tem cerca de 75% menos dados. No entanto, apresentam um número maior de arquivos abertos para qualquer funcionário.

Para mitigar os danos causados por ameaças internas, o guia do HHS recomenda que as organizações da área de saúde:

• Promovam programas de conscientização e falam treinamento periódico sobre cibersegurança para todos os funcionários.

• Implementem políticas e práticas rígidas de gestão de senhas e contas.

• Definam contratos de cibersegurança para quaisquer serviços de nuvem, especialmente com restrições de acesso e recursos de monitoramento.

• Certifiquem-se de que informações confidenciais estejam disponíveis apenas para aqueles que precisam acessá-las.

• Usem mecanismos de correlação ou sistemas de gerenciamento de informações e eventos de segurança (SIEM) para registrar, monitorar e auditar ações de funcionários.

• Desenvolvam um programa formal de redução de ameaças internas.

O HHS mantém um Centro de Coordenação de Cibersegurança para o setor de saúde (HC3) para ajudar na proteção de informações críticas relacionadas à saúde. O centro destaca tópicos relevantes sobre cibersegurança, ameaças atuais, principais agentes de invasão, melhores práticas e táticas de mitigação. Também fornece informações e contexto situacional para grupos técnicos e executivos.