Em 04 de abril deste ano, a International Criminal Police Organization (INTERPOL) publicou alerta global, em seu website intitulado: “Cybercriminals targeting critical healthcare institutions with ransomware“, que em tradução livre significa “Cibercriminosos atacando instituições críticas de saúde com ransomware“.
A utilização de ransomwares é mais comum em organizações, e uma vez que estas tenham seus arquivos criptografados, estes dados tornam-se inacessíveis, o que pode resultar em parada de uma fábrica, indisponibilidade de dados necessários para a atividade-fim, segredos industriais em risco, e muitas outras situações danosas, que são praticamente inimagináveis. O ransomware geralmente é projetado para se espalhar por uma rede e se direcionar a servidores de banco de dados e arquivos, portanto, pode paralisar rapidamente uma organização inteira. É uma ameaça crescente, gerando bilhões de dólares em pagamentos a cibercriminosos e infligindo danos e despesas significativos para organizações públicas e privadas (McAFEE, 2020).
A equipe de resposta a ameaças de crimes cibernéticos da INTERPOL vem detectando aumento significativo no número de tentativas de ataques a instituições de saúde, principalmente as que estão a frente, no combate ao COVID-19. Na tentativa de chamar a atenção dos 194 países membros da Organização, esta emitiu um alerta roxo sobre as ameaças e riscos que estão correndo. A INTERPOL entende que a prevenção, mitigação e proteção dos sistemas são ações que podem livrar as instituições destas ameaças (INTERPOL, 2020).
Hospital Sírio-Libanês
Em 5 de julho deste ano, houve tentativa de invasão ao Hospital Sírio-Libanês, referência no Brasil, o que causou transtornos imediatos e serviu para preocupar significativamente instituições de saúde de todo o país.
Em nota emitida à imprensa, o hospital Sírio-Libanês informou que ao identificarem a invasão, o servidor da organização foi desconectado. Contudo, o episódio acarretou transtornos como indisponibilidade de acesso aos serviços do hospital via app e aos serviços de exames de imagem, como ressonância magnética e tomografia. O hospital afirma que não houve vazamento de dados pessoais dos seus pacientes.
Não foi a primeira vez, num passado recente, que o hospital Sírio-Libanês sofreu ataques de hackers. Em 2017, a organização foi afetada pelo ransomware WannaCrypt. O ransomware explorou uma falha gigantesca no sistema Windows, e teve o sistema de áreas administrativas comprometido, sendo recuperado aos poucos, o que não veio a prejudicar o atendimento do hospital. Entretanto, segundo um colaborador da organização, ao tentar acessar o sistema, aparecia uma mensagem, em vermelho, informando que o sistema havia sido invadido e pedindo um resgate em bitcoin, moeda virtual favorita dos cibercriminosos por ser difícil de rastrear.
De acordo com o presidente do Sindicato Paulista de Hospitais, Clínicas e Laboratórios (SindHosp), Francisco Balestrin, após o ataque diversas instituições estão procurando empresas de cibersegurança, a fim de passarem por testes para prevenção de perda de dados, vírus e malwares.
Como a Lei Geral de Proteção de Dados (LGPD) pode auxiliar as instituições que atuam na área de saúde?
A fim de estarem em compliance com a LGPD, e consequentemente, com o intuito de mitigarem vazamentos de dados pessoais e dados pessoais sensíveis, principalmente por causa das possíveis sanções que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), as organizações têm buscado consultorias jurídicas e tecnológicas para se adequarem. Contudo, caso esta adequação seja unidimensional, isto é, apenas com o olhar e interpretação dos artigos da Lei nº 13.709/2018, seja com este jurídico ou tecnológico, mas sem a visão das boas práticas internacionais das normas técnicas da ABNT e da ISO, as organizações poderão ter uma falsa sensação de estarem plenamente adequadas, quando na verdade não estarão.
Seguir apenas o conteúdo da Lei, não garante a plena adequação a ela. As leis são prescrições de uma autoridade soberana de uma dada sociedade, e apenas informam o que deve ser feito. Contudo, elas não informam como deve ser feito. Este papel fica a cargo das normas técnicas, que são documentos estabelecidos por organismos reconhecidos, que auxiliam a implementação das adequações necessárias através de requisitos, controles e diretrizes.
Uma adequação bem feita, deve ser fundamentada na LGDP e todo o seu arcabouço jurídico-regulatório, mas convém que também sejam consideradas as boas práticas nacionais e internacionais trazidas pelas normas técnicas. Paras as organizações que atuam na área da Saúde, destacamos a norma ABNT NBR ISO 27799:2019 – Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002.
Precisando capacitar seus colaboradores? Entre em contato para que possamos auxiliá-lo. O nosso curso de capacitação na norma NBR ISO/IEC 27701:2019 apresenta o framework básico da ABNT/ISO para auxiliar as organizações nos seus desafios de adequação à LGPD.
Referências Bibliográficas:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.
BBC. Os crimes dos hackers que interrompem até quimioterapia em sequestros virtuais de hospitais. Disponível em: <https://www.bbc.com/portuguese/brasil-40870377>. Acesso em: 18 nov. 2020.
CNN. Sírio-Libanês sofre tentativa de ataque virtual de hackers. Disponível em:<https://www.cnnbrasil.com.br/nacional/2020/07/06/sirio-libanes-sofre-tentativa-de-ataque-virtual-de-hackers>. Acesso em: 18 nov. 2020.
INTERPOL. Cybercriminals targeting critical healthcare institutions with ransomware. Disponível em: <https://www.interpol.int/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware>. Acesso em: 18 nov. 2020.
ISTO É DINHEIRO. Ciberataque afeta computadores do Hospital Sírio-Libanês. Disponível em: <https://www.istoedinheiro.com.br/ciberataque-afeta-computadores-hospital-sirio-libanes/>. Acesso em: 18 nov. 2020.
McAFEE. What is Ransomware. Disponível em: <https://www.mcafee.com/enterprise/en-us/security-awareness/ransomware.html>. Acesso em: 18 nov. 2020.