Setor de Saúde sofre com falhas em tecnologia

O setor de saúde foi a vítima mais comum de violações geradas por terceiros, respondendo praticamente por 35% dos incidentes em 2022, seguido por finanças (14%) e governo (14%). Segundo o estudo anual sobre brechas de terceiros da Black Kite, no ano passado, os hackers exploraram a natureza destrutiva das vulnerabilidades de integrantes dos ecossistemas globais de negócios. Embora o número de violações tenha diminuído ligeiramente, a magnitude aumentou muito. E, em 2023, “os cibercriminosos certamente pretendem matar mais coelhos com uma cajadada só”, diz a pesquisa. Por conta da pandemia da Covid-19, a circulação de dados entre instituições de saúde aumentou significativamente nos últimos anos, chamando a atenção dos cibercriminosos.

Sanções rigorosas ao redor do mundo para violações de informações da saúde de paciente também atraíram os olhares dos hackers ainda mais. Associados a isso, orçamentos insuficientes, dados pessoais compartilhados remotamente entre pacientes e sistemas de telessaúde e software desatualizado abriram mais caminhos para invasão de redes e acesso a dados críticos e fizeram do setor de saúde o alvo preferido dos ciberataques em 2022.

Não é de surpreender que os fornecedores de soluções tecnológicas sejam os “terceiros” que ofereçam mais riscos de violações. Hackers podem encontrar vulnerabilidades em software ou editar código para facilitar os ataques em cadeia. Além disso, empresas usuárias confiam que as soluções que usam são seguras e deixam de verificar a presença de eventuais vulnerabilidades, perpetuando as ameaças ao longo das cadeias digitais.

“Os ecossistemas globais de negócios estão se tornando mais complexos, contribuindo para que as organizações sejam cada vez mais impactadas pela postura de cibersegurança de parceiros, dos parceiros de parceiros e assim por diante. A realidade é que as superfícies de ataque são muito maiores do que podemos controlar. A boa notícia é que possível avaliar e monitorar o ecossistema estendido para identificar vulnerabilidades, agir rapidamente e evitar catástrofes”, afirma Jeffrey Wheatman, evangelista de riscos cibernéticos da Black Kite, empresa que realizou o estudo anual sobre brechas de terceiros.

De modo geral, envolvendo todos os setores de atividades pesquisados, o número de violações geradas por terceiros caiu em comparação com 2021, porém o efeito individual de cada violação quase dobrou. Enquanto a média de empresas afetadas por uma única violação foi de 2,46 em 2021 (sem contar o próprio fornecedor), esse número aumentou para 4,73 em 2022 (números que representam empresas que fizeram anúncios publicamente; há também números em massa para os quais o nome das empresas não foi divulgado, o que significa que o total é muito maior).

Uma possível conclusão é que os hackers estão conduzindo ataques mais inteligentes, visando um número maior de vítimas por ataque. Portanto, por conta do maior impacto de cada violação gerada por terceiros, é importante entender a postura cibernética dos fornecedores para evitar riscos em cascata, ressalta o estudo. Risco em cascata é o efeito dominó que ocorre quando um fornecedor na cadeia de suprimentos digital se expõe a riscos e compromete os demais parceiros conectados pelo ecossistema.

O estudo Black Kite também identificou as principais causas de violações de terceiros em 2022. É sempre importante conhecer o vetor inicial da violação para entender como os ataques agem. O acesso não autorizado às redes foi o vetor mais comum em 2022, respondendo por 40% das violações de terceiros ao longo do ano, aumento de 25% em relação a 2021. Conforme o estudo, esse tipo de acesso geralmente se baseia em ataques de engenharia social, principalmente phishing, mas também via roubo de credenciais, vulnerabilidades no controle de acesso ou uma combinação desses fatores. Ransomware foi a segunda causa mais frequente, respondendo por 27% das violações de terceiros, mas com uma queda em relação a 2021. Servidores e bancos de dados não seguros ficaram em terceiro lugar, respondendo por 10% das violações.

Costuma levar muito tempo para que uma violação seja reportada. O tempo médio para divulgação dos ataques foi de 108 dias em 2022, 50% a mais do que em 2021. Esses dados são baseados em incidentes de terceiros acompanhados com transparência sobre quem, o quê e quando ocorreram os ataques. A Black Kite começou a monitorar essa estatística em 2021, e a conclusão imediata é que está piorando.