O ataque de um vírus que se propagou na sexta feira dia 12 de maio e afetou centenas de milhares de computadores em mais de 150 países acendeu um alerta entre as instituições de saúde. O ciberataque, que derrubou o sistema de saúde público do Reino Unido deixando milhares de pessoas sem atendimento, mostrou que esse mercado é particularmente sensível ao risco cibernético, gerando alertas sobre a vulnerabilidade dos sistemas e a falta de políticas de segurança. "Hoje os ataques não envolvem mais hackers se divertindo, mas países que querem ter acesso a dados sigilosos da medicina ocidental para queimar etapas e acelerar o desenvolvimento de novas drogas", afirma Enrico De Vettori, sócio da área de saúde da Deloitte. Segundo pesquisa do Ponemon Institute, que entrevistou mais de 300 empresas, incluindo brasileiras, o custo de um incidente de segurança por receita de segurado é maior na saúde do que em qualquer outro segmento: ele alcança US$ 355 per capita, seguido por educação (US$ 246) e finanças (US$ 221). A pesquisa aponta que a maior preocupação das organizações está relacionada à negligência dos colaboradores com 69% das respostas, os ataques cibernéticos, com 45%, aparecem na segunda posição. Apenas 11% das organizações ouvidas pela consultoria não registraram ataques nos últimos 24 meses. Dos ataques sofridos, 50% foram cibernéticos, 41% provocados por empresas externas, 39% por roubo de computadores, 36% em consequência de ação de empregados, 29% decorrentes de falha de sistemas técnicos, 13% por sistemas maliciosos introduzidos pela própria organização, e 8% não maliciosos. O cuidado com a segurança da informação não é mais uma preocupação apenas da área de tecnologia, mas diz respeito ao negócio, pois uma empresa pode perder o seu valor e até ser obrigada a encerrar suas atividades se houver vazamentos. E não se trata apenas de se proteger de ataques de vírus, mas também nas quebras de segurança que podem ocorrer no dia a dia. É muito comum um médico mandar para seu email particular um resultado de exame e comentar informações sigilosas por whatsapp. Um eventual ataque à uma instituição de saúde pode gerar danos à sua reputação por um período de muitos anos. O visível, no primeiro momento, é a insuficiência técnica para barrar o ataque. Depois se avalia as melhorias na segurança, questão regulatória, multas e seguro. De acordo com Vettori, o impacto econômico, nessa fase, será apenas 5% dos custos totais 95% são os outros custos como a perda de propriedade intelectual, perda de clientes, de receita e queda no valor percebido pelos usuários. Por causa de um laptop roubado, uma seguradora de saúde dos Estados Unidos com faturamento de US$ 60 bilhões por ano teve os dados de 2,8 milhões de segurados invadidos. A empresa só se deu conta uma semana depois do ataque, quando teve que suspender os sistemas, o que implicou em prejuízo de US$ 830 milhões, sem contabilizar as perdas com a imagem nos próximos cinco anos. "Não é apenas o prontuário do paciente que deve ser protegido de ataques externos, o risco interno também deve ser priorizado", afirma Luiz Milagres, gerente de cibersegurança da consultoria EY, que ao lado de Vettori, participou de um debate sobre privacidade e segurança no setor de saúde durante a Hospitalar 2017, realizada na semana passada em São Paulo. Nos Estados Unidos, empresas de saúde com mais de 500 funcionários são obrigadas a informar publicamente se sofreram algum ataque. O Brasil está elaborando uma lei de proteção de dados que deve sair até o final do ano. Hoje, o Marco Civil da Internet é aplicado em determinados casos. Uma empresa de saúde tem o dever de diligência, ou seja, não pode ser negligente com a atualização dos sistemas ou terá que responder perante a lei, afirma Renato Ópice Blum, coordenador de direito digital do Insper. Se a instituição de saúde tem problemas de orçamento, o responsável pela tecnologia deve garantir que fez o pedido de verbas e alertou para o problema, dividindo responsabilidades como o gestor. O cuidado, de acordo com Blum, começa na coleta do dado. O Artigo 7 do Marco Civil da Internet diz respeito ao processamento, armazenamento e coleta desses dados. Em primeiro lugar é necessário ter o consentimento expresso, claro e informado da pessoa que fornece as informações, e a empresa tem que guardar o registro desse consentimento em ambiente seguro, pois pode ser multada se essa coleta for feita sem um propósito bem definido, ressalta Blum. A Lei de Proteção de Dados inclui em um de seus artigos a necessidade da criação de um novo cargo nas empresas com mais de 200 funcionários: o de Chief Privacy Officer (Chefe de Segurança e Privacidade).
Fonte:
http://www.valor.com.br/empresas/4981472/setor-apresenta-alto-risco-cibernetico#