Maioria dos estabelecimentos públicos do país não tem protocolo documentado
Ataques cibernéticos têm se intensificado nos últimos anos em todo o mundo. O assunto é delicado e carece de transparência no meio corporativo. São várias as consequências para a empresa – fora o prejuízo financeiro, há comprometimento de imagem, vazamento de informações sensíveis e aspectos legais a serem tratados, entre outros.
Talvez por isso seja difícil o acesso a dados confiáveis sobre o tema. Muitas vezes, a coleta é feita por empresas de segurança digital e o alcance se restringe a determinadas regiões. De qualquer forma, há estimativas de que desde a pandemia de Covid 19, os ataques tenham crescido em escala exponencial, principalmente na área da saúde.
Números compilados pela plataforma Statista e divulgados em abril mostram que o custo médio de uma violação de dados em serviços de saúde, estimados entre 2021 e 2022, foi superior a 10 milhões de dólares. O escore fica muito acima do segundo colocado, o setor financeiro (com custo de 5,97 milhões) e da média global para o período, correspondente a 4,35 milhões.
No Brasil, o problema torna-se cada vez mais evidente. No último mês de maio, o Grupo Fleury sofreu o segundo ataque hacker em dois anos. Na esfera pública, em dezembro de 2021, em meio à campanha nacional de vacinação durante a pandemia, o Ministério da Saúde teve sua plataforma invadida, comprometendo estatísticas oficiais e a emissão de documentos para controle sanitário.
Uma pesquisa que mostra, com rigor técnico e metodológico, o tamanho do desafio que o setor enfrenta no país refere-se ao monitoramento que o Núcleo de Informação e Coordenação (NIC-BR) do Comitê Gestor da Internet no Brasil (CGI.br) faz sobre o tema há alguns anos.
Os resultados de 2022 revelam que a maior parte dos estabelecimentos de saúde do país (52,3%) não possui documento que defina uma política de segurança da informação, observação mais frequente nas instituições públicas (63,9%) do que nas privadas (41,8%).
Se por um lado, a pandemia acelerou a qualidade de conexão e mudou o perfil de investimento do parque tecnológico na área da saúde, por outro adiou a prática de diretrizes da Lei Geral de Proteção de Dados (LGPD).
Apesar da maioria dos que possuem um documento sobre o tema (75,5%) dizer que há treinamento sobre segurança da informação para funcionários, apenas um terço desenvolveu medidas previstas em lei como nomeação de encarregados de dados pessoais (32,7%), disponibilização de canais de atendimento pela internet (26,7%), publicação da política de privacidade no website (26%) e a implementação de um plano de resposta a incidentes de segurança (30,7%).
O setor público, puxa a média para baixo – o plano de resposta a incidentes, por exemplo, ocorre em 43,2% dos estabelecimentos privados contra apenas 17% nas unidades que recebem recursos do SUS.
Outro dado revela um dos pontos nevrálgicos da questão – recursos humanos. A grande maioria das instituições de saúde do país (69,8%) não possui um departamento da área de tecnologia da informação. Há estimativas de que no mundo, o déficit de mão de obra para cibersegurança alcance o patamar de 3 milhões de profissionais.
O investimento no setor se faz urgente. Somados aos prejuízos trilionários que os ataques projetam para os próximos anos, os avanços tanto nos sistemas de inteligência artificial quanto dos serviços de mapeamento genético, desenham um cenário preocupante que alimenta mais uma de nossas distopias.