Ciberatacantes invadiram a rede da Community Health Systems e roubaram dados pessoais não-médicos. Saúde é a indústria que mais demora para responder às falhas de segurança, diz estudo
A rede hospitalar Americana Community Health Systems (SHS) foi alvo de ataque por hackers chineses, que resultou no roubo de dados de aproximadamente 4,5 milhões de pacientes. A violação foi reportada na segunda-feira (18) pela organização. A instituição informou que os ciberatacantes conseguiram acessar a rede da operadora de cuidados graves dos hospitais em abril ou junho deste ano. Os dados roubados incluem nomes dos pacientes, endereços, números de seguro social, datas de nascimento e números de telefone, mas não dados de cartão de crédito ou informações de saúde do paciente, disse a CHS. Esses registros são de pessoas que foram atendidas ou encaminhadas para tratamento pela rede ao longo dos últimos cinco anos.
A CHS opera em 26 hospitais espalhados por 29 estados nos EUA, e conta com mais de 30 mil leitos licenciados. Segundo dados financeiros divulgados em 31 de julho, a organização registrou receita operacional líquida no segundo trimestre do ano de US$ 4,7 bilhões, aumento de 49,8% sobre a receita operacional líquida de US$ 3,1 bilhões no mesmo período em 2013.
Investigação conduzida com apoio da empresa de cybersegurança Mandiant aponta que a ameaça hacker veio de um grupo chinês que fez uso de malwares e tecnologias altamente sofisticados para invadir a rede. Esses hackers conseguiram romper a segurança da infraestrutura da CHS e, então, utilizaram acessos ilegais para copiar e transferir os dados dos pacientes.
Medidas
Depois de ser contratada pela CHS para investigar a invasão, a Mandiant implementou medidas de segurança na infraestrutura da rede da organização para “aumentar a habilidade de inibir, detectar, responder e conter futuros ataques avançados”, comunicou o diretor geral da empresa de cibersegurança, Charles Carmakal.
De acordo com a rede hospitalar, a Mandiant notificou os órgãos americanos sobre a violação. Além disso, a organização relatou que os suspeitos hackers apropriaram-se da mesma brecha para roubar propriedades intelectuais da rede hospitalar, como informações de desenvolvimento de dispositivos médicos e equipamentos. Além de remover o malware e implementar esforços adicionais, a CHS disponibilizou serviços de proteção contra roubos de identidade aos pacientes afetados.
Cenário
Um estudo divulgado este ano pela BitSight Technology indicou que a segurança no setor de saúde não é tão forte como em segmentos como varejo. Já uma pesquisa conduzida pela InformationWeek EUA, noticiada em maio, mostrou que a saúde é a indústria que mais leva tempo para responder a uma falha de segurança, gastando mais de cinco dias para solucionar o acesso não autorizado aos dados, enquanto o varejo leva em média quatro dias.
"A principal lição para os CIOs e CEOs de saúde é que o setor de deve fazer investimentos em segurança da informação assim como setor bancário e financeiro tem feito recentemente", avaliou o consultor do departamento de saúde pública de Los Angeles (EUA), Sascha Schleumer, sobre o caso.