Além do sequestro digital de dados, organizações ligadas ao setor da saúde como hospitais, clínicas médicas e laboratórios de exames estão sendo alvos de outro grave ataque cibernético: o roubo de dados de pacientes.
A maior instituição hospitalar de Singapura, a SingHealth, sofreu um ataque em sua rede que resultou no vazamento de dados de 1,5 milhão de pacientes que foram atendidos em alguma unidade do grupo entre o período de maio de 2015 – julho de 2018. De acordo com informações do Ministério da Saúde do país, os dados roubados incluem nomes, endereços, data de nascimento, raça, sexo e números de identidade. Porém, cerca de 160 mil destes pacientes, incluindo diversos ministros de estado, também tiveram dados sobre suas prescrições médicas coletados sem autorização, no que está sendo chamado de maior ataque cibernético sofrido pelo país.
Um Comitê de Inquérito será convocado para investigar os eventos que levaram à violação desta grande base de dados e recomendar medidas para melhorar a proteção dos sistemas de TI do setor público, que também podem se tornar alvos do mesmo tipo de ataque. Os administradores de banco de dados dos Sistemas Integrados de Informação em Saúde detectaram pela primeira vez uma atividade incomum em 4 de julho e agiram imediatamente para interromper a atividade. No entanto, investigações posteriores mostraram que os hackers (crackers) haviam violado o sistema uma semana antes, em 27 de junho. Ao todo, nove unidades foram invadidas, incluindo o Hospital Geral de Singapura, o Hospital Geral de Changi e a rede de policlínicas da SingHealth.
O país se preparava para a introdução de uma nova lei prevista para o final deste ano, em que todas as instituições de saúde serão obrigadas a compartilhar dados para o Registro Nacional de Saúde Eletrônico. Em virtude do ataque, o projeto está sendo adiado.
Todos os pacientes afetados serão notificados por SMS ou pelo correio e se os números de telefone não estiverem registrados, os pacientes também poderão acessar o site ou aplicativo do SingHealth para verificar se seus dados foram afetados no ataque.
Em um momento em que cresce de forma acelerada a adoção pelo Prontuário Eletrônico do Paciente (PEP) por essas organizações, é espantoso o aumento de casos registrados de violação de dados em todo o mundo. No Brasil tivemos alguns casos noticiados, mas que não repercutiram tanto na mídia, mas o aumento da preocupação de um incidente é perceptível no setor, ainda mais agora que estamos perto de ter sancionada a Lei de Proteção de Dados Pessoais. Não que o setor da saúde precisasse dessa lei especificamente para tomar medidas de protetivas rigorosas em seus ambientes, pois a Agência Nacional de Saúde Suplementar (ANS) já possui uma série de resoluções normativas que exigem cuidados com dados dos pacientes. A questão é se a ANS realmente fiscaliza a fundo as práticas de segurança que deveriam ser adotadas nessas instituições.
Fontes consultadas: SingHealth / The Hackread
Imagens: SingHealth
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec