Vazamento de dados de saúde deixa pacientes e empresas em perigo: extorsões, fraudes e multas são ameaças

06/07/2023 - 12:01h

Dados relacionados a saúde são sensíveis e, em caso de vazamento, na mão de criminosos podem colocar todos em perigo, desde a pessoa física até empresas. Recentemente, foi detectado um grande vazamento de dados que expôs, de uma importante seguradora brasileira, quase 6 milhões de pessoas, dados de saúde com detalhes de consultas, doenças, procedimentos e exames realizados.

Mas por que um vazamento dessa magnitude chama tanto a atenção sobre a proteção de dados, o que criminosos podem fazer com estes dados e quais os riscos que as empresas estão sujeitas? Fernando Bryan Frizzarin, que é especialista em cibersegurança da BluePex® Cybersecurity, diz que, com esses dados, criminosos podem municiar várias táticas de ataques para crimes virtuais, principalmente os que visam a pessoa, conhecidos como engenharia social. Isso pode levar de fraudes financeiras até a extorsões e ameaças.

Empresas do setor de saúde e bem-estar devem se precaver com procedimentos e práticas rígidas de proteção de dados e cibersegurança, especialmente para estarem em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Além do nome, CPF e endereço, criminosos podem acessar dados sensíveis, como raça, orientação sexual, histórico completo de doenças e tratamentos realizados. Essas informações fornecem aos cibercriminosos amplo conjunto de dados, permitindo a realização de ataques mais direcionados e sofisticados.

De acordo com a LGPD, dados de saúde são considerados sensíveis, uma vez que revelam informações sobre a condição física ou mental de uma pessoa: histórico médico, informações sobre consultas, exames, diagnósticos, tratamentos e outros aspectos relacionados à saúde. A lei estabelece que o tratamento de dados de saúde deve ser realizado com o consentimento do titular ou em outras situações permitidas por lei. “Portanto, é essencial implementar procedimentos e medidas de segurança robustas para proteger os dados de saúde e mitigar os riscos associados a possíveis violações”, orienta Frizzarin.

OS PERIGOS DE UM VAZAMENTO

As informações sensíveis podem ser exploradas tanto em estratégias simples quanto mais sofisticadas, com o objetivo de tirar proveito das vulnerabilidades das vítimas. “Os fraudadores podem realizar fraudes de identidade mais elaboradas, segmentar indivíduos para ataques de engenharia social ou até mesmo vender essas informações sensíveis na dark web. E exposição desses dados pode resultar em danos graves à privacidade, discriminação e até mesmo ameaças diretas à segurança e bem-estar dos indivíduos afetados”, diz o especialista.

Um exemplo é a indução de pagamentos falsos relacionados a medicamentos ou tratamentos. Os criminosos, ao terem conhecimento do uso frequente de um plano de saúde específico para determinado tratamento, podem enviar cobranças falsas para extorquir dinheiro da vítima. Essas cobranças podem parecer autênticas o suficiente para enganar a pessoa e levá-la a realizar pagamentos indevidos.

Chantagens e ameaças também são práticas recorrentes e com alto potencial de abalar a saúde psicológica da pessoa alvo, além da extorsão financeira. Esses são apenas alguns exemplos do potencial de uso malicioso dos dados de saúde vazados. “É crucial que sejam implementadas medidas de segurança eficazes para proteger essas informações sensíveis e mitigar os riscos associados a possíveis violações”, reforça.

PROTEGER A EMPRESA É PROTEGER AS PESSOAS

A Agência Nacional de Proteção de Dados (ANPD), órgão fiscalizador da LGPD, tem atuado constante e ativamente para que as empresas sigam suas obrigações quanto ao tratamento de dados de saúde de seus usuários. O vazamento ou exposição pode resultar em sanções e penalidades, com multas, bloqueio do banco de dados e sistemas e outras medidas administrativas. Muitas empresas têm sido fiscalizadas e autuadas.

O especialista da BluePex® reforça que as empresas do setor de saúde devem adotar medidas abrangentes de cibersegurança para proteger as informações sensíveis em seus cadastros. A recomendação vale para hospitais, mas em especial para consultórios médicos, dentários, laboratórios de análises e clínicas de uma forma geral. “A LGPD não especifica o estabelecimento, mostrando que, seja um profissional liberal ou seja uma empresa, quem trata dados de saúde deve estar adequado a legislação zelando pela sua proteção”, complementa.

É recomendável a adoção de soluções como firewalls, Captive Portal e softwares de controle e proteção, para garantir que os profissionais que têm acesso e manipulam os dados estejam protegidos em escritórios e consultórios médicos. O firewall atua como uma barreira de segurança, controla o tráfego de rede e filtra potenciais ameaças. Já o Captive Portal é um sistema de autenticação que garante que apenas dispositivos autorizados possam se conectar à rede. Os softwares de controle e proteção evitam que o usuário tenha acessos indevidos em informações e sistemas, além de proteger o parque computacional contra ameaças de vírus.

A empresa também deve selecionar um framework de cibersegurança, como o desenvolvido e disponibilizado pela BluePex®, para ter uma orientação e diretrizes para garantir uma segurança cibernética eficaz e bem projetada. A segurança cibernética deve abranger aspectos como a proteção de dados pessoais, a identificação e gestão de riscos, o monitoramento contínuo da segurança da informação, a resposta a incidentes de segurança e a conformidade com regulamentações, em especial a LGPD. Todo esse trabalho e esforço visam mais do que proteger as informações sensíveis dos pacientes, além de preservar a confidencialidade e a integridade dos dados, também manter a reputação e a capacidade de realização e negócios da empresa.

As principais orientações e recomendações da BluePex® Cybersecurity são para que a equipe de TI e em especial os gestores e a alta direção das empresas mantenham o foco na proteção cibernética, para evitar vazamentos de dados e ataques que tenham como objetivo o sequestro dos dados. Isso pode ser alcançado por meio da implementação de equipamentos e softwares especializados em segurança.

Um vazamento de dados pode acarretar consequências desastrosas tanto para profissionais liberais quanto para empresas. As penalidades podem incluir multas significativas e a perda de reputação no mercado. Isso reforça, segundo Frizzarin, a importância de um efetivo cuidado com a segurança dos dados de saúde.

DADOS MÉDICOS DEVEM TER SEGURANÇA REFORÇADA

Proteger os dados médicos requer uma abordagem abrangente tanto por parte das empresas responsáveis pelo armazenamento e processamento desses dados quanto por parte dos usuários, segundo o especialista em cibersegurança da BluePex® Cybersecurity.

Uma medida fundamental é escolher provedores de serviços confiáveis, com reputação sólida e que adotem medidas de segurança reconhecidas, como criptografia de dados e controle de acesso. Ao usuário, é essencial ler atentamente as políticas de privacidade das organizações médicas e verificar se elas possuem medidas de segurança estabelecidas, como o uso de firewalls e criptografia.

Outra medida importante é utilizar senhas fortes e exclusivas para suas contas médicas. É recomendado evitar o uso de informações pessoais óbvias nas senhas e, sempre que possível, ativar a autenticação de dois fatores para adicionar camada extra de segurança.

Software, aplicativos e dispositivos devem estar atualizados com as últimas correções e patches de segurança também são cruciais para evitar vulnerabilidades. Outra recomendação é se familiarizar com práticas de segurança cibernética, como identificação de ataques de phishing e engenharia social, a fim de reconhecer tentativas de fraude.

COMO IDENTIFICAR UM CRIMINOSO E SE PROTEGER CONTRA GOLPES

Como somos todos, em diversos níveis, usuários de serviços de saúde, a orientação é sempre redobrar a atenção e saber lidar com abordagens suspeitas. As instruções a seguir protegem contra possíveis golpes:

Desconfie sempre: mantenha postura cautelosa em qualquer abordagem. Não confie cegamente em informações recebidas sem verificar sua autenticidade.

Verifique a identidade: antes de fornecer qualquer informação pessoal, verifique a identidade da pessoa ou organização que está entrando em contato. Peça informações específicas ou números de referência que ajudem a confirmar a legitimidade da solicitação.

Nunca compartilhe informações pessoais sensíveis: evite fornecer dados pessoais sensíveis, como números de CPF, senhas, números de cartão de crédito ou detalhes médicos, sem ter certeza absoluta de que a solicitação é legítima.

Não ceda à pressão: golpistas frequentemente tentam criar uma sensação de urgência ou pressão para forçar a vítima a agir rapidamente. Mantenha a calma e evite tomar decisões impulsivas. Sempre reserve um tempo para verificar a veracidade da situação.

Faça sua própria ligação: se receber ligação suspeita, especialmente de serviços de saúde ou instituições financeiras, encerre a ligação e entre em contato com o canal oficial de atendimento utilizando os números de telefone verificados e confiáveis.

Comportamentos anômalos: ligue o sinal de alerta caso detecte movimentações consideradas anormais, como tentativas de acesso provenientes de cidades estranhas e em horários fora do habitual. Os produtos BluePex detectam e tratam o caso automaticamente.

Esteja ciente de técnicas de manipulação: golpistas usam táticas psicológicas para enganar as pessoas. Esteja atento a sinais de manipulação, como pressão emocional, promessas muito boas para serem verdadeiras ou ameaças.

Mantenha-se atualizado sobre golpes comuns: esteja informado sobre os golpes mais recentes e as técnicas utilizadas pelos criminosos. Fique atento a avisos de segurança divulgados por órgãos oficiais e compartilhe essas informações com amigos e familiares.

Sobre a BluePex® Cybersecurity

A BluePex® Cybersecurity é uma empresa com mais de duas décadas de experiência na fabricação de tecnologia para o mercado de cibersegurança. É certificada com o selo EED - Empresa Estratégica de Defesa, do Ministério de Defesa do Brasil, e é pioneira a receber o selo VB-100, na América Latina, que a classifica entre as cinco maiores marcas mundiais de antivírus.

Com o diferencial por ofertar suporte ao cliente 24 horas por dia nos 7 dias da semana, a BluePex® possui mais de 100 mil dispositivos protegidos diariamente pela sua plataforma, com índice de satisfação de 98%, e está presente em todo o território brasileiro.

Crédito: PressFoto/Freepik
 

tags: cybersecurity, cibersegurança, vazamento-de-dados

Olá, tudo bem? Converse conosco pelo WhatsApp.

Vamos conversar no WhatsApp?