Entenda a importância da segurança da informação na gestão hospitalar
Segundo o Websense, o acesso indevido a dados clínicos e financeiros dos hospitais cresceu impressionantes 600% somente em 2014.
E esses ataques não se limitam aos sistemas hospitalares, mirando também em prontos-socorros, centros de diagnóstico e até operadoras de planos de saúde. Mas o silêncio dos cibercriminosos vem sendo quebrado gradualmente, com os anúncios sucessivos de instituições de saúde alertando o mercado sobre violações à sua base de dados, roubo de informações pessoais de pacientes, furto de dados de cartões de crédito, entre outros prejuízos que destroem a imagem da instituição e podem gerar indenizações milionárias em juízo.
A elaboração de um material como este passa a ser ainda fundamental ao nos lembrarmos de uma pesquisa da KPMG, feita no 2º semestre de 2015. O estudo atestou que 81% dos gestores da área de saúde tiveram suas instituições atacadas por crackers nos últimos anos, sendo que 39% afirmaram não possuir mecanismos confiáveis em segurança da informação para se prevenir de futuras invasões. Bastante alarmante, certo?
É visando chamar a atenção dos diretores de hospitais e demais gestores do setor sobre como proceder e por onde começar a redesenhar os processos de segurança de dados hospitalares que resolvemos mapear algumas estratégias essenciais para evitar que seu hospital seja a próxima vítima. Pronto para se precaver? Então nos acompanhe:
Hackers x Crackers
Antes de mais nada, é preciso entender a diferença entre esses dois termos para não causar confusão. Crackers são pessoas aficionadas por informática que utilizam seu grande conhecimento na área para quebrar códigos de segurança, senhas de acesso a redes e códigos de programas com fins criminosos. Em alguns casos, o termo “Pirata Virtual” é usado como sinônimo para cracker.
Diferente do que se prega na mídia, hackers e crackers possuem propósitos totalmente diferentes. Enquanto o primeiro grupo visa tornar a informática acessível a todos e apenas apontar possíveis falhas de um sistema, o segundo conjunto invade computadores e quebra sistemas de segurança procurando lucrar o máximo possível com a ação.
Apesar de alguns hackers irem de encontro à lei, eles são movidos pela intenção de promover o conhecimento e o auxílio a terceiros, mas nunca de autopromoção ou destruição do trabalho alheio.
É possível aprender com os erros alheios?
Deixando um pouco de lado as óbvias consequências negativas dos percalços pelo caminho, é importante analisar as falhas para que se possa aprender, evitando assim cair na mesma armadilha. Confira as lições que separamos:
Community Health Systems
A Community Health Systems (CHS) é um grupo do Tennessee, nos Estados Unidos, que administra 198 hospitais em 29 estados norte-americanos. E foi a primeira vítima famosa de roubo de dados de hospitais, em meados de 2014. Na época, as informações de 4,5 milhões de pacientes que receberam atendimento em uma das instituições do conglomerado foram expostos ao conhecimento de hackers, que as realocaram para venda no mercado clandestino. Ali estavam endereços, dados de cartões de crédito, números de telefones e muito mais.
Especialistas relataram que uma falha em um software de criptografia largamente utilizado no setor de saúde (chamado OpenSSL) foi a porta de entrada para a intrusão. A vulnerabilidade na aplicação enganava os computadores, permitindo a liberação das informações armazenadas em sua memória.
Anthem Inc.
Passou-se 1 ano e veio mais uma notícia similar. Em 2015, a segunda maior seguradora dos Estados Unidos maculou sua imagem por falhas na segurança de dados. Um ataque virtual nos sistemas da instituição foi o responsável pela violação nos dados de 78,8 milhões de clientes da empresa. Ações indenizatórias ainda correm na justiça americana e o prejuízo financeiro à seguradora não tardará a chegar.
Samsam nos sistemas brasileiros
No último mês de abril, viu-se uma prova do potencial de risco que os hospitais brasileiros estão correndo por não terem sistemas de gestão desenhados com base nas mais poderosas técnicas de segurança da informação. A divisão de inteligência de segurança da Cisco detectou uma variante de ransomware (uma espécie de vírus que sequestra dados) criado especialmente para extrair informações das redes de hospitais e outras instituições de saúde.
O malware chamado de Samsam penetra nos servidores por meio das redes e criptografa toda a base de dados dos hospitais (incluindo receitas médicas, prontuários de pacientes e dados bancários). Em seguida, os hackers passam a exigir pagamento de milhões de dólares para descriptografar as informações ou liberar a chave à vítima. Percebeu agora o risco de fechar os olhos para essa questão?
Qual o interesse dos hackers nesses sistemas?
Qual a política de segurança da informação no seu hospital? É comum chegar à recepção de uma instituição de saúde e perceber diversos dispositivos móveis conectados ao computador do profissional responsável por realizar o atendimento e a triagem? Rede wi-fi que se utiliza de criptografia WEP com senha de 6 dígitos (de altíssima insegurança), ausência de módulos de backup e sistemas sem recursos de proteção extra (como autenticação de dois fatores): os tropeços são diversos. São exatamente esses descuidos que motivam os hackers a migrarem dos sistemas do varejo para a área de saúde.
As possibilidades de lucro são imensas aos invasores, com acesso a:
- Dados pessoais dos cadastrados, que podem ser vendidos no mercado clandestino;
- Dados bancários ou de cartões de crédito dos pacientes;
- Planejamento estratégico do hospital, relatórios financeiros sigilosos ou sua movimentação bancária;
- Propriedade intelectual de técnicas, metodologias, equipamentos ou sistemas.
E como efetivamente se proteger?
Agora vamos à parte prática! Veja a seguir como você pode melhorar a proteção dos dados do sistema do seu hospital com o auxílio da segurança da informação:
Limitar o acesso ao banco de dados
Você pode restringir o acesso ao banco de dados por meio de um firewall, simplesmente acessando o painel de controle dos computadores e indo à aba de configuração avançada para informar as portas que devem ser liberadas.
Utilizar algoritmos de criptografia
A criptografia é uma técnica por meio da qual as informações são codificadas e traduzidas apenas ao destinatário, neutralizando o efeito de eventuais interceptações. Nesse método, cada pessoa ou entidade mantém 2 chaves: uma pública, que pode ser divulgada normalmente, e outra privada, que deve permanecer em segredo. As informações codificadas com a chave pública só serão decodificadas com a chave privada a que estiver coligada.
Para utilizar algoritmos de criptografia com chaves maiores que 128 bits, será preciso fazer o download de alguns arquivos da Sun e substituí-los no diretório do JDK. Por ser utilizado o algoritmo Advanced Encryption Standard (AES) para a criptografia de informações sensíveis nos arquivos .properties, será necessária a instalação desse pacote.
Configurar o servidor Tomcat com SSL
Para quem não está muito familiarizado com as terminologias da área de segurança de dados, Tomcat é um servidor web Java mais leve do que a maioria das tecnologias concorrentes. Como certamente estará em seu ambiente de TI, deve ser configurado com Secure Sockets Layer (SSL), um sistema de encriptação de páginas antes de serem transmitidas pela web que autentica as partes relacionadas (muito comum nas plataformas de pagamentos on-line). As instruções para dar suporte a SSL no Tomcat podem ser conferidas em detalhes neste link!
Configurar o servidor apache com SSL
O servidor apache (chamado também de servidor HTTP Apache ou simplesmente Apache HTTP Server), ainda em 2007, já constituía quase metade dos servidores ativos do mundo. Isso já dá uma ideia de sua importância. Para realizar transações ou acessar dados sigilosos, é preciso que tal servidor atenda a requisições utilizando o protocolo HTTPS, que usa uma camada SSL para criptografar os dados transferidos entre cliente e servidor, assegurando muito mais segurança e menos riscos de intercepções. Neste link você poderá conferir todos os códigos que devem ser inseridos no terminal para a devida configuração.
Fazer backups automáticos
Sistemas de gestão de alta tecnologia já possuem recursos de backup automático (diário ou periodicamente pré-agendado), evitando assim a perda de dados ou a realização de quaisquer alterações indevidas na base.
Adotar a autenticação de 2 fatores
A autenticação de 2 fatores é um nível de segurança adicional para acesso a sistemas. Além da combinação login + senha, a tentativa de entrada na aplicação gera um código numérico (ou alfanumérico), enviado via SMS para um número de celular cadastrado pelo usuário, sendo que tal código é usado uma única vez.
Construir uma escala de permissões
Por último, vale ressaltar que os melhores sistemas de gestão de saúde hospitalar possuem uma escala de permissões de acesso em que cada usuário tem um limite distinto de visualização dos módulos e dados, fortalecendo a proteção dos dados sigilosos (proteção externa e interna).
A segurança da informação nos hospitais é um ponto crítico e deve ser foco de atenção total dos gestores. Não espere o pior: fale com um especialista em TI voltada para a saúde e descubra o que implementar para deixar sua instituição livre de invasões.