por Cristina Moldovan*
Com o alto volume de armazenamento de dados sensíveis, a área de saúde está sujeita a regulamentações mais rígidas, sendo desafiada a implementar medidas de segurança cada vez eficazes para enfrentar as ameaças atuais de vazamentos. Ter acesso rápido aos registros médicos dos pacientes é essencial na prática médica de hoje e isso significa manter os dados em formato eletrônico. Mas, é preciso certificar-se de que as informações confidenciais estão seguras e só podem ser acessadas com base na “necessidade de saber”, um padrão que se deve ser obrigatório para evitar que dados caíam em mãos erradas.
Segundo o relatório sobre o Custo de uma violação de dados no Brasil, de 2021, publicado pela IBM e pelo Ponemon Institute, a área da saúde foi a que teve o maior custo médio de violação de dados comparado aos últimos onze anos, chegando a US$ 9 milhões por incidente, um aumento de US$ 2 milhões em relação a 2020.
Com o receio de ameaças externas em virtude de vazamentos e sequestro de dados, espionagem, processos judiciais, multas e danos reputacionais, as empresas do setor de saúde acabam se esquecendo das ameaças internas, deixando suas informações vulneráveis a roubos que ocorrem dentro dos próprios servidores. Sendo assim, torna-se fundamental que as organizações de saúde possuam soluções de DLP (em português, Prevenção de Perda de Dados), que minimizam essas ocorrências.
Com o uso desta ferramenta, colaboradores mal-intencionados e insatisfeitos são barrados de passar para frente os dados que normalmente eles acessam no dia a dia. Com políticas pré-definidas, inclusive de compliance, é possível bloquear informações desejadas, isto é, impossibilitando que os dados escolhidos sejam repassados via e-mail, USB e impressos, entre outros. Pensando em grupos de fora que compram informações no Brasil, existem soluções que ainda bloqueiam dados que possuem códigos contidos no dicionário HIPAA (em português, Lei de Portabilidade e Responsabilidade de Seguro Saúde), sendo possível traduzir esses mesmos códigos para o português.
Dentre os dados sensíveis que as organizações de saúde armazenam, é possível citar as informações pessoais de saúde e financeiras do paciente, incluindo dados da indústria de cartões de pagamento; os dados de propriedade intelectual; os documentos de atendimentos e de reclamações, além de dados não estruturados, como clínicos e comportamentais.
Ataques de ransomware acontecem a todo momento, mas, dentro de casa, quando não há uma proteção, existe um agravante ainda maior, pois o colaborador criminoso sabe onde estão os dados importantes, quanto eles podem render e quão efetivo pode ser esse roubo do ponto de vista de dano para a imagem da empresa. Sejam hospitais, companhias de seguros, clínicas, laboratórios ou grandes redes, é importante olhar além das vulnerabilidades externas e passar a ver oportunidades de ataque de dentro para fora, transformando a segurança de dados em algo prioritário.
*Cristina Moldovan é gerente de desenvolvimento de negócios e vendas do Endpoint Protector by CoSoSys, companhia mundial desenvolvedora de sistemas de prevenção contra perda de dados (DLP, do inglês Data Loss Prevention), que detém como carro-chefe a solução Endpoint Protector.