Em uma pesquisa, o setor de saúde sofreu mais violações de segurança de e-mail do que a média. Os custos de recuperação após tais ataques são particularmente problemáticos para o sistema de saúde.
Os ataques de ransomware a organizações de saúde mais que duplicaram desde 2022, de acordo com o último Relatório Anual do Barracuda Ransomware. No entanto, quando se olha para os cuidados de saúde em comparação com outras indústrias, surge um quadro mais complexo, diz o Dr. Klaus Gheri, vice-presidente e gerente geral de segurança de rede da Barracuda Networks. Em muitos casos, este setor sofre menos incidentes cibernéticos graves do que outras indústrias – mas os ataques chegam às manchetes devido ao risco para os pacientes e à sensibilidade dos dados pessoais. E, em alguns casos, o impacto, embora limitado, é grave.
A saúde é alvo constante de ataques cibernéticos
Em março, um ataque de ransomware a um dos principais hospitais de Barcelona paralisou o sistema informático do centro e forçou o cancelamento de cirurgias não urgentes e exames de pacientes. Os invasores passaram os meses seguintes postando on-line os dados supostamente roubados, depois que o hospital se recusou a pagar o resgate.
Alguns meses mais tarde, em Agosto, um ataque cibernético à Prospect Medical Holdings nos EUA paralisou os sistemas informáticos dos hospitais em todo o país, forçando o encerramento de salas de emergência em vários estados e o desvio de ambulâncias.
É fundamental compreender e abordar os riscos cibernéticos que as organizações de saúde enfrentam. Um bom lugar para começar é o risco baseado em email. O e-mail continua sendo o principal vetor de ataque com uma alta taxa de sucesso para os cibercriminosos e um ponto de entrada comum para muitos outros ataques. Além disso, a pandemia acelerou a digitalização nos cuidados de saúde, o que aumenta ainda mais a superfície de ataque.
77 por cento afetados por uma violação de segurança de e-mail
Um estudo internacional recente sobre empresas de médio porte encomendado pela Barracuda descobriu que 77% dos entrevistados na área de saúde sofreram uma violação de segurança de e-mail em 2022. Em comparação, o número em todos os setores foi de 75 por cento.
Apesar disso, os entrevistados do setor de saúde estavam confiantes na sua capacidade de resistir a um incidente de segurança cibernética. 45% disseram que se sentiam “muito” mais seguros do que no ano passado, em comparação com 34% em todos os outros setores. Isto pode ter mais a ver com práticas, políticas e consciencialização do que com investimento em cibersegurança, uma vez que apenas 10% afirmaram que planeavam investir mais, o segundo valor mais baixo a nível global.
Ainda assim, o setor da saúde tem mais confiança na sua capacidade de combater ameaças baseadas em e-mail do que muitos outros setores. A Barracuda identificou 13 tipos de ameaças de e-mail, que vão desde simples phishing e links ou anexos maliciosos até técnicas sofisticadas de engenharia social, como comprometimento de e-mail comercial (BEC), sequestro de conversas e controle de contas. As empresas de saúde são menos propensas do que muitas outras indústrias a dizer que se sentem despreparadas para esses tipos de ameaças por e-mail.
Os cuidados de saúde são os que mais lutam com os custos de recuperação
Pouco menos da metade (44%) das organizações de saúde pesquisadas citaram custos de recuperação quando questionadas sobre o impacto de um ataque bem-sucedido à segurança de e-mail - em comparação com 31% no geral - com o custo médio do ataque mais caro sendo de US$ 975.000 fornecidos.
Os orçamentos dos cuidados de saúde são frequentemente sobrecarregados e a combinação de recursos limitados, sistemas tecnológicos complexos e muitas vezes críticos e a pressão para que tudo volte a funcionar o mais rapidamente possível contribuem provavelmente para que os custos de recuperação sejam o impacto mais frequentemente citado .
No entanto, a perda de dados sensíveis, confidenciais ou críticos para os negócios ficou abaixo da média: 29% em comparação com 43% no geral. Isto pode dever-se ao facto de, depois de tantos anos terem sido alvo de ataques cibernéticos, as organizações de saúde terem agora políticas particularmente rigorosas para a partilha, armazenamento e segurança de dados médicos e outras informações de saúde protegidas.
Ransomware: setor de saúde menos afetado
A pesquisa descobriu que 60% das organizações de saúde pesquisadas foram afetadas por um ataque de ransomware – a segunda parcela mais baixa depois dos serviços ao consumidor (50%) e abaixo da média do setor de 73%. Este número também se reflete em outros estudos, embora a percepção pública sugira um resultado significativamente mais elevado.
29% das organizações de saúde relataram dois ou mais incidentes de ransomware bem-sucedidos, em comparação com um total de 38%. Isto sugere que os ataques nem sempre são completamente neutralizados ou que as vulnerabilidades nem sempre são identificadas e corrigidas após o incidente inicial.
A boa notícia é que mais da metade (59%) conseguiu recuperar os dados criptografados usando backups (52% no total) e apenas 22% pagaram o resgate para restaurar seus dados (34% no total).
Os ataques de spear phishing têm um impacto significativo
Apenas 8% das empresas de saúde entrevistadas se sentiam inadequadamente preparadas para um ataque de spear phishing. Até certo ponto, esta confiança é justificada, uma vez que apenas 32 por cento das empresas de saúde inquiridas foram afectadas por um ataque deste tipo em 2022, em comparação com 50 por cento no total. No entanto, para as pessoas afectadas, o ataque teve frequentemente consequências graves.
60 por cento das pessoas afectadas afirmaram que os computadores ou outros dispositivos foram infectados com malware ou vírus, em comparação com 55 por cento no total, enquanto 60 por cento disseram que dados confidenciais ou sensíveis foram roubados, em comparação com 49 por cento no total. 70% relataram roubo de credenciais ou apropriação de contas, em comparação com 48% no total, e 40% relataram perdas financeiras diretas.
Aproximadamente 3,5 dias para detectar e resolver um incidente de segurança de e-mail
A pesquisa descobriu que as empresas de saúde levam menos tempo do que muitas outras indústrias para detectar um incidente de segurança de e-mail - uma média de 29 horas em comparação com 43 horas no total - mas estão no meio quando se trata de responder a um incidente e sua resolução (em média 51 horas em comparação com 56 horas no total). 40 por cento dos entrevistados citaram a falta de automação (em comparação com 38 por cento no geral) e 34 por cento citaram a falta de orçamento (em comparação com 28 por cento no geral) como o maior obstáculo à resposta rápida e à mitigação.
Medidas de proteção contra ataques baseados em email
Os ataques cibernéticos baseados em e-mail continuam generalizados e em constante evolução. As empresas de saúde, portanto, precisam ter uma segurança robusta de e-mail. Isto deve incluir controlos de autenticação fortes – pelo menos autenticação multifatorial, mas idealmente avançando para medidas de confiança zero – bem como direitos de acesso limitados, resposta automatizada a incidentes e deteção e monitorização de ameaças baseadas em IA. Tudo isto deve ser acompanhado de formação contínua e de sensibilização dos colaboradores para que saibam reconhecer e denunciar mensagens suspeitas.
Idealmente, essas proteções de e-mail devem fazer parte de uma plataforma de segurança integrada que dê à equipe de TI uma visão completa de todo o ambiente de TI e a capacidade de detectar incidentes ou padrões de comportamento anormais que possam indicar que invasores indesejados estão investigando e respondendo a eles.
A pesquisa foi conduzida em nome da Barracuda pela empresa independente de pesquisa de mercado Vanson Bourne. Foram entrevistados profissionais de TI do primeiro ao mais alto nível de gestão em empresas com 100 a 2.500 funcionários de vários setores nos EUA, bem como em países EMEA e APAC. A amostra incluiu 62 organizações de saúde.
Mais em Barracuda.com
Sobre a Barracuda Networks A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.