Uma recente reportagem da Rádio Bandeirantes confirmou o que muitos profissionais da área de Segurança da Informação já previam, o vazamento de informações de pacientes e de seus prontuários médicos, não mais apenas por funcionários com acessos privilegiados aos sistemas, mas por criminosos que facilmente obtém acesso à rede de vários hospitais. O caso denunciado pela reportagem ocorre em cidades do estado de São Paulo, mas provavelmente a mesma situação poderá ser encontrada em outras regiões do país.
A reportagem apurou que pessoas com familiares internados estão sendo contatados por supostos médicos, que informam a necessidade da realização de exames urgentes e que para isso é preciso o pagamento em depósito. Para dar credibilidade ao golpe, os criminosos descrevem em detalhes o tratamento e demais informações do paciente, o que acaba levando os familiares a acreditarem que realmente se trata de um médico do hospital.
Este golpe não é novo, porém, o que a reportagem da rádio constatou é a participação de criminosos na invasão de redes de computadores dos hospitais para obterem acesso aos sistemas e de toda a base de dados dos atendimentos clínicos, algo gravíssimo, pois fere diretamente o sigilo das informações dos pacientes previsto em resoluções e instruções normativas da área da saúde, publicados por órgãos como a ANS (Agência Nacional de Saúde Suplementar) e o CFM (Conselho Federal de Medicina), cabendo inclusive penalidades com multas, conforme legislação.
Um hacker (ou na melhor definição, cracker) foi flagrado sem saber que estava conversando com um produtor da rádio, negociando a venda de uma base de dados de um hospital no valor de R$ 1.500,00 – R$ 2.000,00. Essa variação dependerá do grau de dificuldade em que o cracker terá na invasão da rede, que neste caso depende da presença física do criminoso no local, pois segundo o mesmo, o ataque ocorre à partir da realização de um acesso via wireless.
Ouça um trecho da negociação gravada pela Rádio Bandeirantes:
Como podemos notar na conversa, é uma prática quase que rotineira e que demonstra claramente as fragilidades do setor da saúde que podem comprometer seriamente a segurança dos pacientes e a continuidade das atividades de muitos hospitais que não adotam controles em sua infraestrutura de TI.
Além disso, fica clara a existência de outra falha grave que qualquer um pode notar ao circular em hospitais públicos e particulares, que é a facilidade de acesso que qualquer pessoa tem a diversos ambientes de alguns prédios sem o monitoramento de vigias ou intervenção de qualquer funcionário, o que mostra que a falta de uma cultura de segurança vai muito além da complexidade do ambiente de TI. A proteção das informações eletrônicas começa com o controle do perímetro físico do local, que inclui constante monitoramento e identificação de qualquer atividade suspeita. Essa prática também tem que ser refletida na rede, mas o que vemos normalmente são equipes de profissionais de TI sobrecarregados que mal conseguem atender o volume de ocorrências diárias, “apagando incêndios” para dar prioridade à disponibilidade dos recursos, mas sendo obrigados a deixar muitas vezes de lado as preocupações com a confidencialidade dos dados.
Fontes consultadas: Rádio Bandeirantes / Jornal Metro
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
