“Imunização” contra ataques cibernéticos é a chave para uma evolução necessária no setor da saúde
* Por Gustavo de Camargo
Ataques cibernéticos ameaçam constantemente empresas, indivíduos e governos. Por conta da pandemia da Covid-19, em 2020, essa exigência se mostrou ainda mais presente no setor de saúde. No Brasil, as operações de telemedicina só se popularizaram em abril de 2020, mas sem marcos regulatórios legais, apenas com uma base regulatória de caráter exclusivamente emergencial. Mesmo assim, de acordo com a Associação Brasileira de Planos de Saúde (Abramge), mais de 6 milhões de pessoas realizaram teleconsultas durante a pandemia. De acordo com o órgão, 90% desses pacientes conseguiram resolver os seus problemas de casa. Como a telemedicina foi regulamentada às pressas no Brasil, não houve tempo para investir em um sistema bem estruturado e seguro para médicos e pacientes. Logo, a saúde se tornou uma das áreas mais fraudadas no país.
De acordo com o relatório da IBM “Cost of a Data Breach Report 2021”, o custo médio total por violação de dados no setor da saúde aumentou em 29,5%, tornando-se assim o segmento com maior índice de ataques no mundo digital. Informações como essa revelam que o setor possui uma sensibilidade maior aos ataques devido às suas operações que envolvem riscos associados a processos considerados críticos, sejam eles públicos ou privados.
Em meio ao crescimento generalizado, fraudes nessa área geram preocupação especial pela combinação de fatores como a baixa proteção, o aumento das vulnerabilidades e o elevado impacto em caso de ataque, o que aumenta a lucratividade das organizações criminosas. Dados roubados em ciberataques são vendidos na dark web por valores superiores a informações bancárias. Não é à toa que, nos Estados Unidos, por exemplo, as informações médicas de um paciente chegam a ser vendidas por mil dólares no mercado ilegal. Esse tipo de situação afeta a reputação e pode causar danos financeiros a instituições, como o pagamento do resgate dos dados, perda de investimentos e clientes e multas da LGPD.
Também já foram registrados casos de hackers que conseguiram o contato de fornecedores de saúde de medicamentos do hospital, e por meio dessa informação fraudaram a compra de remédios e os venderam como droga no mercado negro. A partir dos dados pessoais dos pacientes, criminosos também fraudam o seguro de vida com valores muito maiores do que um roubo de cartão, por exemplo.
Em 2021, o número de pedidos de reembolso deu um salto e, em média, 3 milhões pedidos de reembolsos foram registrados pelas grandes seguradoras. No entanto, em cerca de 20% do total de pedidos é identificado algum tipo de fraude e esse número pode se aproximar de 60% quando uma apuração mais eficaz é realizada.
Prestadores de serviços de saúde estão entre as instituições mais relevantes das civilizações, pois nelas depositamos confiança e esperança para o bem-estar, a segurança e a saúde da população. Essas organizações devem garantir protocolos adequados para proteger as informações de seus clientes. Inevitavelmente, isso significa aumentar o investimento em TI e treinar consistentemente toda a equipe.
Um nível de proteção aceitável para cada negócio envolve uma matriz de risco, que consegue identificar o que pode ser feito, os objetivos e outras medidas que assegurem o bloqueio de pessoas não autorizadas. Assim, é garantida a confidencialidade, integridade, disponibilidade, autenticidade e a legalidade, pilares da segurança da informação. Uma realidade que o avanço da tecnologia permitiu e favorece a proteção das instituições de saúde, evitando fraudes e dificultando atividades criminosas, é a autenticação sem senha, que utiliza de outros aspectos do usuário e do sistema para liberar a entrada às ferramentas necessárias. Esse mecanismo aparece como uma forte tendência para essas instituições.
O acesso sem login ou senha inclui uma chave criptográfica com reconhecimento biométrico ou de dispositivo que faz a autenticação do usuário, eliminando a possibilidade da “adivinhação” da senha ou da utilização de um programa que decifra esse mecanismo de entrada. Mas a autenticação biométrica/dispositivo não é possível sem o Onboarding Digital, que envolve uma série de medidas para coleta de dados e validação da identidade do usuário. Sem um processo de Onboarding Digital, é inviável pedir que o usuário se autentique de outra forma que não seja através de senha, a cada transação ou login realizado.
Por outro lado, ferramentas de análise de fraudes também devem ser aplicadas. Não só para maximizar a proteção de informações sensíveis, mas também para minimizar atritos na experiência do usuário. O ideal é buscar por soluções que permitam identificar comportamentos anômalos, pedindo uma autenticação, seja ela biométrica ou via token, somente quando necessário. Esses comportamentos anômalos seriam, por exemplo, o acesso à plataforma via um dispositivo desconhecido ou a tentativa de login a partir de uma localização diferente da habitual. Obviamente, cada usuário possui um padrão individual de comportamento, mas tecnologias anti-fraude mais robustas traçam estes padrões individuais através de Inteligência Artificial, permitindo acionáveis muito mais assertivos.
Com essas novas funcionalidades, podemos dizer que a última geração de programas de tecnologia e cibersegurança permite que as organizações facilitem o atendimento cooperativo, por meio da política de privacidade, monitoramento e controle de acesso aos dados, como também ferramentas de segurança na nuvem. No entanto, ao escolher uma solução é fundamental garantir que a empresa fornecedora deste serviço esteja em total conformidade com a Lei Geral de Proteção de Dados, que começou a vigorar em 2020 no Brasil, e que permita a auditoria das informações a qualquer instante.
A pesquisa Global Digital Trust Insights 2021, da PwC, apontou que quase 49% das empresas do setor de saúde que participaram do estudo estão incorporando questões de cibersegurança e privacidade em cada decisão ou plano de negócios. Entretanto, para esse crescimento ser viabilizado, o investimento na infraestrutura e cibersegurança das plataformas de saúde será uma etapa essencial. A biometria facial e o reconhecimento de dispositivo, por exemplo, são recursos cada vez mais recorrentes no setor, e definitivamente impulsionarão o avanço da telessaúde no Brasil.
* Gustavo de Camargo é VP de Vendas da VU, empresa líder em segurança cibernética especializada na prevenção de fraudes digitais e proteção da identidade do usuário.