Conforme os anos passam, a tecnologia ganha cada vez mais espaço e os dados (especialmente os sensíveis) se tornam ainda mais valiosos para a nossa sociedade, não é por acaso que temos uma complexa lei de proteção (LGPD) para diminuir as chances de seu uso indevido.
Mesmo assim, o roubo e vazamento de dados continua bastante comum, inclusive na área da saúde.
Apenas em 2020, mais de 600 vazamentos de dados médicos foram registrados nos Estados Unidos, expondo informação de cerca de 30 milhões de pessoas. (*HIPAA Journal).
Já no Brasil, só em 2021, em média 45 milhões de pessoas tiveram dados expostos na área de saúde. Mas por que é um problema tão grave e, mesmo assim, tão frequente?
Vamos entrar nesse debate. Nós, da Avant Services, somos especialistas em software de proteção de dados e queremos tanto te explicar um pouco mais desde o conceito e problemática, quanto te dar uns direcionamentos de como lidar com esse tipo de vazamento. Confira o sumário abaixo e siga a leitura:
SUMÁRIO
Existem várias camadas quando pensamos nos motivos para o vazamento de dados em hospitais seja tão frequente. Em primeiro lugar, as informações coletadas pela área de saúde são extremamente valiosas para pessoas de má índole, o que já potencializa ataques.
Mas, além disso, esses enormes volumes de registros médicos costumam ser armazenados em sistemas que garantem fácil acesso e melhor distribuição de informações, já que vários profissionais, clínicas e outros estabelecimentos precisam ter acesso.
O lado positivo é que essa facilidade de acesso traz muita praticidade para os profissionais da saúde. A consequência, no entanto, é que também facilita muito o trabalho de hacker.
Para além da busca de facilidade, a vulnerabilidade desses dados vem do fato de que nem todo estabelecimento de saúde tem recurso o suficiente para manter uma boa equipe e sistema de TI ao redor para garantir a segurança.
Desse modo, a soma da alta demanda, com a quantidade de dados valiosos e os sistemas com vários pontos de acesso, acabam prejudicando bastante o meio e nos levam a números alarmantes.
Vale mencionar também que o fluxo de dados na saúde é enorme e de grande criticidade, e o mais importante, lida com vidas. Esse é o setor que mais trata de dados, e o de maior acervo de dados sensíveis entre diferentes segmentos.
Existe um termo muito utilizado e que, quando bem estruturado, pode trazer maior maturidade e visibilidade, mas que, por outro lado, pode expor fragilidades do ecossistemas de saúde: a Interoperabilidade.
Quando ela é bem executada, ajuda muito no cotidiano da área. Contudo, sem visibilidade e controle, pode levar ao vazamento de dados e ataques hacker.
Para você entender o que é a interoperabilidade, vamos usar a definição da HIMSS (Healthcare Informativo and. Management Systems Society), que é bem abrangente:
Ela é a capacidade de diferentes sistemas de tecnologia da informação e aplicações de software se comunicarem, trocar dados e utilizar esse conhecimento mútuo.
Por exemplo, na prática clínica, um ecossistema de saúde é fazer com que todas as informações geradas por um indivíduo ou população possam ser visualizadas e atualizadas por todos os prestadores de serviços. A problemática bem na proteção desses dados: como eles são vistos e acessados? Como são protegidos?
Todo vazamento de dados é preocupante, afinal, quando expostos, normalmente esses dados são usados para aplicar diversos tipos de golpes, que podem afetar qualquer setor do mercado.
Entretanto, quando pensamos em dados da área da saúde, a situação fica um pouco pior, afinal, são informações delicadas e específicas sobre histórico médico, diagnósticos e outros detalhes extremamente privados e sensíveis, ou seja, estamos falando de vidas. Caso esses dados caiam nas mãos erradas, muita coisa pode acontecer, como:
Esses vazamentos podem acontecer de diversas formas, como invasão de sistema, roubo de dispositivos, phishing e muito mais. Esse é o motivo pelo qual os estabelecimentos médicos precisam estar sempre atentos ao seu setor de TI.
Vazamento de dados é tudo que abrange o acesso, coleta, divulgação ou repasse indevido de dados confidenciais de uma pessoa, ou organização.
A LGPD (Lei Geral de Proteção de Dados) exige o sigilo e proteção dos dados em cadastros, sejam eles feitos online ou feitos presencialmente durante um check-in. Essa lei se aplica para todas as áreas e é obrigatório o seu cumprimento.
Nela, as organizações e empresas precisam garantir que:
Obviamente, caso seja encontrado, o responsável pelo ataque é o delinquente que será punido dentro das leis criminais aplicáveis por dolo da ação (realização proposital com fins indevidos).
A empresa que possuía os dados também estará em foco, já que, ao nível jurídico, pode ser considerada culpada pelo vazamento. Isso porque, segundo a LGPD, as empresas são obrigadas a cuidar e tratar dos dados e, se houver qualquer falha que leve ao vazamento dessas informações, o nível de segurança empresarial estabelecido e aplicado será fortemente questionado e investigado.
Caso a empresa consiga provar que realizava um bom trabalho na proteção de dados, é possível que ela consiga uma redução na penalidade — sempre proporcional à quantidade e eficácia das medidas de proteção.
Parte das medidas cabíveis e previstas na LGPD é também que seja feita uma reparação às pessoas que tiveram os seus dados vazados.
Sim, a Lei Geral de Proteção de Dados (LGPD) é aplicável a todas as áreas, incluindo a área da saúde. Hospitais e clínicas não são isentos dessa responsabilidade para com as informações de seus pacientes e funcionários.
Dentre as consequências previstas pela LGPD, podemos mencionar as seguintes:
Existem várias formas de proteger os dados coletados por sua empresa. Separamos algumas dicas que, na verdade, são ações de segurança que deveriam ser obrigatórias para todos. É importante que você se atente bastante a cada um dos pontos e aplique-os imediatamente em sua empresa:
Uma das maneiras mais eficazes de prevenir os acessos, usos ou compartilhamentos não autorizados dos seus dados. Eles precisam estar criptografados em todas as fases, desde o repouso ao trânsito, para não serem roubados.
A autenticação nada mais é do que uma senha forte e elaborada. Por isso, senhas com letras maiúsculas, minúsculas, símbolos, números, em uma combinação difícil são tão importantes.
Se possível, implemente autenticação de dois fatores ou ligadas ao seu celular, ou de um supervisor de confiança.
Softwares e sistemas de segurança em computadores são constantemente atualizados, não só com novidades, mas também com novas funções de segurança, focadas para os ataques que vêm se tornando cada vez mais fortes. Por isso, mantê-los atualizados é uma ótima forma de reduzir a vulnerabilidade ante ataques.
Algo que pode sempre prejudicar muito a segurança de seus dados é um funcionário sem conhecimento sobre a importância e os cuidados necessários com as informações. Por isso, treinar e conscientizar as pessoas que trabalham para você é sempre essencial no processo de evitar possíveis deslizes.
As auditorias são análises de sistemas e processos em sua empresa, para encontrar falhas ou fraquezas em pontos de acesso de dados. Isso te fará agir de maneira preventiva, ajudando a manter a segurança de sua empresa em dia.
Ter um plano já traçado previamente para ser rapidamente aplicado em resposta para incidentes é uma forma extremamente eficiente de minimizar danos causados por vazamentos de dados.
Contratar empresas especializadas em manter a segurança de dados é, sem dúvida, uma das formas mais eficientes, já que esse é um setor tão complexo. Tomar todas as medidas de segurança adequadas só é possível para profissionais com vasta experiência e constante atualização nesse meio. Certifique-se de ter empresas parceiras com conhecimento de como manter a proteção eficaz e atualizada, com monitoramento constante, de suas medidas e softwares de segurança de dados.
Infelizmente esse é um risco ao qual sempre estaremos expostos (em menor ou maior densidade), nessas horas, é preciso tomar as atitudes certas, para amenizar a situação e tomar as medidas necessárias com agilidade.
Pensando nisso, separamos aqui o que fazer, tanto se a sua empresa tiver dados vazados, quanto se os seus dados forem roubados. Confira:
Abaixo trouxemos 6 ações que precisam ser tomadas caso você sofra um ataque e tenha dados vazados.
Avaliar é essencial, especialmente para determinar a gravidade do vazamento. Assim, você consegue ter uma melhor dimensão da situação e de suas próximas ações.
Segundo a LGPD, os estabelecimentos são obrigados a notificar as autoridades em até 72 horas após a descoberta do vazamento.
Dependendo do tipo de dados afetados na invasão, pode ser necessário notificar também a ANPD (Autoridade Nacional de Proteção de Dados) e a ANS (Agência Nacional de Saúde Suplementar).
Seja por e-mail ou outro meio apropriado, o estabelecimento é obrigado a notificar todas as pessoas que tiveram dados vazados, explicando como, porque, quando e que tipos de informações foram vazadas.
Da mesma forma que é importante ter um especialista antes do vazamento, depois eles também podem fazer uma grande diferença, já que conseguirão te auxiliar na avaliação da situação e remediar os danos de forma profissional e especializada.
O único lado bom de situações como essas é justamente a possibilidade de entender nossas fraquezas e trabalhar para corrigi-las. Então, após identificar como os dados foram vazados, é essencial tomar medidas adicionais para que essa brecha não se abra mais.
Por fim, é essencial se manter monitorando os impactos e a reputação após o incidente, para tentar remediar quais efeitos colaterais que apareçam ao longo do processo.
Agora, para finalizar o guia, listamos aqui 5 ações para fazer caso seus dados tenham sido vazados pela falha de segurança de uma empresa.
Antes de fazer qualquer coisa, você precisa ter a informação completa do que aconteceu. Todo indivíduo tem o direito de saber se seus dados foram vazados em todos os detalhes: quantos, quando e quais eram eles.
Fique de olho e se mantenha monitorando contas, cartões e finanças, caso alguma movimentação suspeita apareça, tome atitude imediatamente e entre em contato com a empresa responsável (como o banco).
Existem alguns serviços de proteção de identidade, feitos para te ajudar a monitorar suas informações e te alertar em caso de atividades suspeitas. Essa ação pode facilitar muito sua vida.
Considere também congelar seu crédito para impedir que abram uma nova conta em seu nome.
Como você tem total direito sobre seus dados, reporte o incidente para a Autoridade Nacional de Proteção de Dados (ANPD) e, se possível, também para a ANS (Agência Nacional de Saúde Suplementar). Você também pode procurar o Procon de sua região.
Caso o vazamento inclua dados financeiros ou emocionais, é de extrema importância que você procure ajuda de um advogado para entender seus direitos legais.
Gostou das informações que trouxemos? Deu para tirar suas dúvidas sobre vazamento de dados em hospitais e clínicas? Esperamos que sim. Confira em nosso blog mais assuntos sobre segurança.
Sua empresa merece o melhor, então não deixe de conferir nossos produtos/serviços abaixo:
– Serviços de Cibersegurança Avançado com Bitdefender
– Serviços Safetica: soluções eficazes de proteção a vazamento de dados
– Kaspersky Endpoint Security para empresas: a melhor opção de segurança!