HUCENCY

Ciberataques no setor da saúde: alguns números

Os ciberataques, sejam eles quais forem, afetam organizações de todos os setores de atividade. O seu custo médio aumenta consideravelmente a cada ano. Passaram de 9 000 € por empresa em 2019 para atingir 52 100 € em 2020. (fonte: bayvet-basset.com)

Inevitavelmente, o setor da saúde não é poupado: ransomware, phishing, spear phishing… Em 2016 e 2017, vários ciberataques tiveram como alvo cerca de um terço dos hospitais de Inglaterra. Por exemplo, o Wannacry afetou 300 000 computadores em 150 países. Estes atos maliciosos custaram cerca de 100 milhões de libras (cerca de 115 milhões de euros) ao Serviço Nacional de Saúde, levando ao cancelamento de 19 000 consultas. (fonte: Ministério da Saúde britânico).

Muitos estabelecimentos franceses foram afetados, nomeadamente os de Villefranche-sur-Saône e Dax em fevereiro passado, ou ainda Oloron-Sainte-Marie em março. Isso levou à paralisação do funcionamento do hospital, ao cancelamento de consultas e de alguns exames médicos, bem como ao bloqueio do acesso aos sistemas informáticos e às comunicações telefónicas.

Uma instituição médico-social suíça também foi obrigada a pagar um resgate a cibercriminosos, por exemplo.

Além disso, outros setores da saúde têm sido alvo de ciberataques. Recentemente, o setor farmacêutico, com o grupo Pierre Fabre, no final de março de 2021. (fonte: siecledigital.fr)

Ou ainda a plataforma Doctolib, em julho de 2020, vítima de um roubo de dados administrativos relativos a 6128 consultas médicas. (fonte: usine-digitale.fr)

O diretor-geral da Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) indica que ataques mais graves seguem « agora a razão de um por semana » e acrescenta « Somos obrigados a reagir, trata-se de uma questão de ética quando os hospitais são afetados ».

Por que razão o setor da saúde é alvo de ataques?

Ao contrário dos OIV (Operadores de Importância Vital), os hospitais não têm a mesma importância crítica para a ANSSI e não são obrigados a proteger os seus sistemas informáticos.

O setor da saúde encontra-se num estado de tensão permanente. Isto deve-se à falta de recursos materiais e financeiros, mas também, e mais especificamente, à pandemia mundial. O setor hospitalar é um setor relativamente crítico. É por isso que os cibercriminosos tocam num ponto sensível de países inteiros e consideram que é mais fácil extorquir um resgate neste setor.

Os Responsáveis pelos Sistemas de Informática (RSSI) e os Diretores de Sistemas de Informação (DSI) desempenham um papel fundamental nas suas organizações. Ao sensibilizar as suas equipas para a problemática do phishing, desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados, as instituições têm de proteger melhor os seus sistemas de informação.

Um ciberataque no setor da saúde tem um custo extremamente elevado a vários níveis:

vidas humanas em risco quando todo o equipamento informático fica inoperacional.
o adiamento de certas intervenções, na ausência de um rápido regresso à normalidade.
o tempo perdido com a devolução do papel e da caneta e, depois, para digitalizar tudo assim que o sistema for restaurado.
em alguns casos, o custo de uma restauração do sistema.
a complexidade da gestão dos stocks de medicamentos, por exemplo, que é informatizada.
sem contar com o resgate exigido (50 000 dólares em bitcoins para o hospital de Oloron, nos Pirenéus Atlânticos).

É muito difícil avaliar com exatidão o impacto de um ciberataque, seja a nível humano, material ou financeiro. É por isso que os criminosos podem continuar a causar danos mesmo após a recuperação dos sistemas. Os dados recolhidos podem ser utilizados meses ou anos mais tarde contra as instituições de saúde ou mesmo contra os próprios utilizadores.

É por isso que a Avant de Cliquer ajuda as instituições de saúde a protegerem-se contra o phishing, sendo membro daAPSSIS , atribuímos grande importância à proteção dos seus dados de saúde.