O setor de saúde está se tornando mais visado, motivado
principalmente por possíveis ganhos financeiros, segundo Relatório
de Investigação de Violação de dados da Verizon, que já utiliza
dados de 2012 para identificar novas tendências sobre a segurança
de dados e como o comportamento dos agentes está mudando.
O que está em risco
Tradicionalmente, quando falamos em roubo de dados na indústria
de saúde pensamos e possíveis históricos médicos de pacientes para
usos adversos (venda ou chantagem), porém isso mudou. Hoje, muitos
consultórios particulares funcionam como pontos de venda e usa os
mesmo sistemas que empresas de varejo pequenas ou médias, e os
dados roubados e procedimentos usados estão em linha com isso.
Um dos motivos principais para esse fenômeno é que muitas das
empresas do setor são pequenas ou médias (entre 1 e 100
funcionários), portanto não possuem recursos para manter uma equipe
responsável por TI e segurança de dados. Muitas vezes esse serviço,
se presente, é terceirizado para empresas que utilizam soluções
prontas sem avaliar se são apropriadas à realidade do negócio. Isso
faz com que empresas pequenas e médias de varejo sejam alvos
oportunos por sua alta vulnerabilidade.
Informações confidenciais de pacientes, como dados de
seguro-saúde, informações sobre pagamentos e números de documentos
podem ser utilizadas para golpes como roubo de identidade. Dados de
pagamento podem ser usados para ganho financeiro. Esses dados podem
vazar por ataques ao software de ponto de venda ou pelo roubo
físico de máquinas nas quais estão registradas informações de
pacientes.
O que é um ataque
Dividindo os ataques por tipos, duas táticas aparecem em 93% dos
casos de roubo de dados no setor de saúde. O que é notável é que a
grande maioria de ataques é oportunista, ou seja, não visava
especificamente a empresa que foi atingida. Esse tipo de ação de
larga escala geralmente é indiscriminado, rápido, automatizado e
organizado por grupos de criminosos.
-Ataques foram feitos explorando credenciais padrão ou senhas
simples
O que tratamos por hacking não necessariamente é um ataque de alta
sofisticação. Os softwares de ponto de venda muitas vezes utilizam
credenciais de usuários(nome de usuário e senha, por exemplo)
padrão, ou acabam recorrendo às famosas senhas facilmente
adivinháveis. Apenas explorando essas falhas básicas quase um terço
das violações de dados se tornaram possíveis aos criminosos.
-Ataques envolveram a instalação de Malware
A instalação de malware é facilitada se o computador utilizado para
a operação do software de ponto de venda também é usado por
funcionários para acessar a internet ou arquivos pessoais.
Infecções por meio de e-mails e websites suspeitos ainda são comuns
e caracterizam a maior parte dos ataques oportunos.
Em 72% dos casos, o ataque inicial foi feito por um hacker
utilizando senhas facilmente adivinháveis ou senhas padrão do
sistema utilizado.
A duração de um ataque
Um ataque é caracterizado pelo período total entre a primeira
ação dos criminosos até a descoberta e controle da violação. Em 87%
dos casos, o primeiro ataque leva meros minutos desde o acesso
inicial pelo criminoso até a chegada aos dados visados. Apenas 8%
levam horas e 3% leva dias.
O fator crítico é a descoberta. Em 52% dos casos, as empresas
levam meses para descobrir que seus sistemas estão comprometidos e
que informações sensíveis estão sendo acessadas por terceiros.
Ainda há 26% de casos em que a descoberta leva semanas, totalizando
78% de casos em que dados ficam expostos por logos períodos de
tempo.
O que fazer?
O relatório envolve dados de muitos locais e tipos diferentes de
empresas, portanto uma lista consolidada de melhores práticas para
todas as situações não é algo realista. Porém, manter-se atento e
seguir orientações básicas de segurança são medidas que todas as
empresas devem seguir, além de manter uma perspectiva analítica e
descobrir quais são os riscos que outras empresas como a sua já
viveram.
O ponto de partida é o mesmo, uma vez que muitos ataques tem
natureza similar e se baseiam em dados dos sistemas de ponto de
venda.
01 – Mudar com frequência senhas para terminais de
pontos de vendas
02 – Utilizar firewalls e/ou controlar o acesso remoto e serviços
administrativos
03 – Evitar o uso de computadores com sistemas de ponto de venda
para acessar a internet
04 – Certifique-se de que seu sistema de Ponto de venda atende aos
requisitos de segurança PCI DSS
05 – Se você terceirizou a segurança de sua empresa, certifique-se
de que seu prestador de serviço segue essas medidas.