fbpx
Av. das Américas, 500, Bloco 9 - Sala 236 Downtown - Barra da Tijuca, Rio de Janeiro/ RJ. CEP: 22640-100
+55 (21) 3174-0424 | +55 (21) 3174-1444
ccl@cclcertificadora.com.br

Instituições de saúde contra cibercriminosos

Conteúdo Local | Cimento Portland | LGPD

Instituições de saúde contra cibercriminosos

Em 04 de abril deste ano, a International Criminal Police Organization (INTERPOL) publicou alerta global, em seu website entitulado: “Cybercriminals targeting critical healthcare institutions with ransomware“, que em tradução livre significa “Cibercriminosos atacando instituições críticas de saúde com ransomware“.


Afinal, o que é ransomware?

Trata-se de um software malicioso (malware) que emprega criptografia para reter as informações da vítima, em troca de resgate. Mais comum em organizações, uma vez que estas tenham seus arquivos criptografados, estes dados tornam-se inacessíveis, o que pode resultar em parada de um fábrica, indisponibilidade de dados necessários para a atividade-fim, segredos industriais em risco e muitas outras situações danosas, que são praticamente inimagináveis. O ransomware geralmente é projetado para se espalhar por uma rede e se direcionar a servidores de banco de dados e arquivos, portanto, pode paralisar rapidamente uma organização inteira. É uma ameaça crescente, gerando bilhões de dólares em pagamentos a cibercriminosos e infligindo danos e despesas significativos para organizações públicas e privadas (McAFEE, 2020).


A equipe de resposta a ameaças de crimes cibernéticos da INTERPOL vem detectando aumento significativo no número de tentativas de ataques a instituições de saúde, principalmente as que estão a frente, no combate ao COVID-19. Na tentativa de chamar a atenção dos 194 países membros da Organização, esta emitiu um alerta roxo sobre as ameaças e riscos que estão correndo. A INTERPOL entende que a prevenção, mitigação e proteção dos sistemas são ações que podem livrar as instituições destas ameaças (INTERPOL, 2020).

Hospital Sírio-Libanês

No domingo passado, 5 de jul, houve tentativa de invasão ao Hospital Sírio-Libanês, referência no Brasil, o que causou transtornos imediatos e serviu para preocupar significativamente instituições de saúde de todo o país.

Em nota emitida à imprensa, o hospital Sírio-Libanês informou que ao identificarem a invasão, o servidor da organização foi desconectado. Contudo, o episódio acarretou transtornos como indisponibilidade de acesso aos serviços do hospital via app e aos serviços de exames de imagem, como ressonância magnética e tomografia. O hospital afirma que não houve vazamento de dados pessoais dos seus pacientes.

Não foi a primeira vez, num passado recente, que o hospital Sírio-Libanês sofreu ataques de hackers. Em 2017, a organização foi afetada pelo ransomare (WannaCrypt). O vírus explorou uma falha gigantesca no sistema Windows, e teve o sistema de áreas administrativas comprometidas sendo recuperadas aos poucos, o que não veio a prejudicar o atendimento do hospital. Entretanto, segundo um colaborador da organização, ao tentar acessar o sistema, aparecia uma mensagem, em vermelho, informando que o sistema havia sido invadido e pedindo um resgate em bitcoin, moeda virtual favorita dos cibercriminosos por ser difícil de rastrear.

De acordo com o presidente do Sindicato Paulista de Hospitais, Clínicas e Laboratórios (SindHosp), Francisco Balestrin, após o ataque diversas instituições estão procurando empresas de cibersegurança, a fim de passarem por testes para prevenção de perda de dados, vírus e malwares.


A Lei Geral de Proteção de Dados (LGPD) e como ela pode auxiliar as instituições que atuam na área de saúde?

A fim de estarem em compliance com a LGPD, com o intuito de mitigarem vazamentos de dados pessoais e dados pessoais sensíveis, principalmente por causa das possíveis sanções que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), as organizações têm buscado consultorias jurídicas e tecnológicas para se adequarem. Contudo, caso esta adequação seja unidimensional, isto é, apenas por o olhar e interpretação dos artigos da Lei nº 13.709/2018, as organizações podem ter uma falsa sensação de que estão plenamente adequadas, quando na verdade não estarão.

Seguir apenas o conteúdo da Lei, não garante a plena adequação à ela. As leis são prescrições da autoridade soberana de uma dada sociedade, e apenas informam o que deve ser feito. Contudo, elas não informam como deve ser feito. E, este papel fica a cargo das normas técnicas, que são documentos estabelecidos por organismos reconhecidos, que auxiliam a implementação das adequações necessárias através de requisitos, controles e diretrizes.

Uma adequação bem feita, deve considerar as boas práticas nacionais e internacionais trazidas pelas normas técnicas, com destaque para a norma ABNT NBR ISO 27799:2019 – Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002.


Precisando capacitar seus colaboradores?

Entre em contato para que possamos auxilia-lo.


Referências Bibliográficas:

BBC. Os crimes dos hackers que interrompem até quimioterapia em sequestros virtuais de hospitais. Disponível em: <https://www.bbc.com/portuguese/brasil-40870377>. Acesso em 12 jul. 2020.

CNN. Sírio-Libanês sofre tentativa de ataque virtual de hackers. Disponível em:<https://www.cnnbrasil.com.br/nacional/2020/07/06/sirio-libanes-sofre-tentativa-de-ataque-virtual-de-hackers>. Acesso em 12 jul. 2020.

INTERPOL. Cybercriminals targeting critical healthcare institutions with ransomware. Disponível em: <https://www.interpol.int/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware>. Acesso em 12 jul. 2020.

ISTO É DINHEIRO. Ciberataque afeta computadores do Hospital Sírio-Libanês. Disponível em: <https://www.istoedinheiro.com.br/ciberataque-afeta-computadores-hospital-sirio-libanes/>. Acesso em 12 jul. 2020.

McAFEE. What is Ransomware. Disponível em: <https://www.mcafee.com/enterprise/en-us/security-awareness/ransomware.html>. Acesso em 12 jul. 2020.

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *