3 dicas para evitar o vazamento de dados na área da saúde

por Cristina Moldovan*

De acordo com o Relatório do Custo da Violação de Dados 2021, elaborado pela IBM e o Instituto Ponemon, o setor de saúde atingiu um prejuízo médio de US$ 9,23 milhões em 2021, um aumento de 29,5% comparado com 2020. Os serviços de saúde coletam uma riqueza de informações relacionadas à saúde física ou mental de um indivíduo, como a Informação de Saúde Protegida (PHI), além da Informação de Identificação Pessoal (PII), que inclui nome, endereço, número do Seguro Social que podem revelar a identidade, histórico e pagamentos do paciente.

O roubo ou a perda dessas informações, consideradas altamente confidenciais, pode afetar significativamente os resultados do tratamento e a privacidade do paciente. Quando se trata de laboratórios de pesquisa, essa violação pode levar a atrasos no desenvolvimento de novos tratamentos e até mesmo ao roubo de propriedade intelectual.

Por isso, laboratórios médicos, de pesquisa e centros de imagem precisam lidar com a segurança de dados para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD) e evitar os enormes custos associados às violações de dados. Diante do exposto, seguem três dicas para manter a segurança dos dados no setor:

  1. Lidar com ameaças internas: o setor de saúde luta com um nível particularmente alto de negligência de funcionários, sendo 27% das violações ocasionadas por erros humanos, uma das mais altas porcentagens em todos os setores. Outros 27% dos incidentes maliciosos também têm os funcionários como causa principal, pois são vítimas de ataques de phishing e engenharia social.

    Para minimizar esses incidentes, os serviços de saúde podem recorrer a soluções de Prevenção de Perda de Dados (DLP) para controlar o fluxo de dados de saúde sensíveis dentro e fora de suas redes. Projetadas para proteger dados sensíveis diretamente, as ferramentas DLP usam perfis predefinidos e definições personalizadas para rastrear e controlar os dados sensíveis abrangidos pela LGPD. Com poderosas ferramentas de inspeção de conteúdo e escaneamento contextual, as soluções podem identificar dados de saúde em arquivos e o corpo de e-mails antes que eles sejam enviados, bloqueando sua transferência apor meio de canais não autorizados.

  2. Restringir o acesso aos dados: outra forma de tornar os dados de saúde vulneráveis e expostos ao roubo é quando são armazenados localmente em computadores de trabalho. Os funcionários repetidamente acessam, salvam e descarregam dados sensíveis enquanto executam suas tarefas e podem esquecer de apagar esses arquivos quando não são mais necessários. As soluções DLP podem procurar dados sensíveis armazenados localmente em toda a rede da empresa e, quando são encontrados em locais não autorizados, os administradores podem tomar ações de remediação, tais como a exclusão ou a criptografia. Os serviços de saúde podem, assim, garantir que nenhum funcionário continue a ter acesso a dados sensíveis dos quais ele não precisa mais para desempenhar suas funções.
  3. Controle de dispositivos removíveis: muitos colaboradores ainda usam dispositivos removíveis como USBs ou discos rígidos externos para copiar grandes quantidades de informações ou grandes arquivos. No entanto, eles podem ser facilmente perdidos ou roubados devido ao seu tamanho. Os serviços de saúde que desejam enfrentar esses riscos podem usar soluções DLP para monitorar e controlar o uso de portas periféricas e USB, assim como conexões Bluetooth. Eles podem optar por bloquear seu uso por completo ou limitá-lo a dispositivos aprovados. Desta forma, é possível rastrear o funcionário que está usando qual dispositivo e em que momento, facilitando a detecção de atividades suspeitas na rede e o roubo potencial de dados. Algumas soluções também oferecem políticas granulares, o que significa que as empresas podem optar por aplicar diferentes níveis de restrições com base em grupos, departamentos, dispositivos ou indivíduos.

Estar com os dados protegidos é uma garantia a mais de conformidade com a LGPD, assim como de preservação da privacidade e do tratamento dos pacientes, algo primordial no setor de saúde.

*Cristina Moldovan é gerente de desenvolvimento de negócios e vendas do Endpoint Protector by CoSoSys, companhia mundial desenvolvedora de sistemas de prevenção contra perda de dados (DLP, do inglês Data Loss Prevention), que detém como carro-chefe a solução Endpoint Protector.