Alvos preferenciais, Saúde e Energia buscam amadurecer estratégias contra ataques cibernéticos

Esses são apenas dois exemplos de grande repercussão da crescente onda de ataques cibernéticos que os setores de Saúde e de Energia sofreram nos últimos dois anos. Em meio ao crescimento generalizado, esses dois setores geram especial preocupação por uma combinação explosiva de fatores: baixa proteção, aumento das vulnerabilidades principalmente pela introdução de dispositivos com Internet das Coisas (IoT) e alto impacto em caso de ataque, o que aumenta a lucratividade das organizações criminosas. A seguir, especialistas detalham um pouco mais os cenários das empresas de Saúde e de Energia.

Ambiente mais regulado traz perspectivas em Energia

Em plena transformação digital e guiado pela agenda ESG (Environmental, Social and Governance), o setor de Energia cresce também em exposição aos ataques cibernéticos. “Nós vemos ataques cada vez mais direcionados e sofisticados para essa indústria”, relata Magnus Santos, sócio de Cibersegurança da PwC Brasil. Alguns fatores contribuem para isso. Um é que todo a avanço digital acontece em um ambiente que historicamente não foi orientado à cibersegurança, com sistemas legados e mais expostos.

A adoção dos recursos da Indústria 4.0 é um agravante. A transformação das plantas com o uso de dispositivos conectados à Internet das Coisas é um movimento necessário para os negócios, mas que amplia os pontos de vulnerabilidade e pedem controles de segurança. “São esteiras, máquinas, tratores, motores, fornos e demais equipamentos que passam a ser integrados aos sistemas e redes corporativos.

Isso quer dizer que, se um cibercriminoso consegue acesso privilegiado, ele pode não só roubar os dados, como chantagear a empresa com ações como desligamento de um forno, interrupção da transmissão de uma torre de energia ou até mesmo a abertura de um registro para despejar resíduos na natureza”, exemplifica Marcos Sêmola, sócio de cybersecurity da EY.

Uma particularidade do setor é que ele ainda é um alvo relevante para hackers ativistas. “Se uma empresa faz um movimento que vai impactar o meio ambiente, esses hackers fazem um ataque por conta de uma causa em que eles acreditam”, diz Santos. “Eles sabem que atacar o setor de Energia traz visibilidade.”

Por outro lado, esse é um setor que tem um movimento regulatório cada vez mais atento às questões de segurança cibernética, justamente pelos potenciais impactos em toda a cadeia de abastecimento do país. No Brasil, o Operador Nacional do Sistema Elétrico (ONS) traz diretrizes para o setor, o Ministério de Minas e Energia criou um grupo de trabalho, enquanto a Agência Nacional de Energia Elétrica (Aneel) trata do assunto na Resolução 964/2021.

“Ambientes mais regulados tendem a oferecer maior segurança para todo o ecossistema, porque, quando eu, empresa, recebo a imposição de uma regulamentação do setor, apesar de isso representar de imediato maiores custos, por outro lado vai criar um ambiente de maior controle e previsibilidade para todos os agentes. Ou seja, eu não vou me descolar dos meus concorrentes tendo um custo operacional maior. A barra sobe para todos e todos ganham, inclusive o cliente final”, diz Sêmola.

Termômetro global do setor de energia

• 27% das empresas do setor indicam que possuem o suporte da alta administração para incorporar a segurança cibernética e de privacidade nas principais operações e na decisão da organização.
• 46% indicam que já fizeram alguma auditoria ou avaliação de segurança cibernética de maturidade nos terceiros da cadeia de valor. Mas apenas 37% indicam que têm clareza dos riscos que esses terceiros possam trazer para a organização.
• 65% entendem que, para 2022, terão um incremento significativo de atividade por cibercrimonosos nessa indústria.
• 63% compreendem que potencialmente sofrerão um aumento de ataques por meio de comprometimento de dispositivos de IoT.
• Mais de 25% indicaram que vão alocar ou incrementar os orçamentos de segurança cibernética em 2022 em pelo menos 10%.

Fonte: Global Digital Trust Insights Survey 2022, publicada em novembro de 2021 pela PwC.

Hospitais de médio e pequeno porte são os mais desprotegidos

O principal fator que torna o setor de Saúde um alvo valioso para os ataques cibernéticos é a imensa quantidade de dados acumulados pelos hospitais, laboratórios, farmacêuticas e demais empresas. “São dados completos e mais ricos que os dados financeiros”, diz Bruno Porto, sócio e líder de Saúde da PwC Brasil. Eduardo Batista, também sócio e líder de Cibersegurança da PwC Brasil, reforça: “O cartão de crédito eu posso bloquear. Mas um prontuário eletrônico é o seu passado e ele é imutável. Isso tem muito mais valor”, diz.

Além disso, o setor é guardião dos chamados dados sensíveis, protegidos pela Lei Geral de Proteção de Dados Pessoais, a LGPD, que aumenta o risco empresarial em caso de vazamento de dados. “Registros pessoais de saúde são negociados no mercado clandestino por valores quase 25 vezes maiores do que os pagos por dados financeiros”, informa documento da consultoria.

Essa exposição deve ficar ainda maior, considerando os avanços em Open Health, com o compartilhamento de dados entre as empresas, com autorização do titular, e com o desenvolvimento, pelo governo, da Rede Nacional de Dados de Saúde, que pretende conectar todos os dados de saúde das pessoas. “Quanto mais informação concentrada, mais vulnerabilidade”, diz Porto.

Isso sem falar, é claro, no potencial de dano que um ataque de ransomware pode causar, uma vez que paralisa as operações: o risco é de se perder vidas, como mostra estudo do Gartner. Aqui também a transformação digital, incluindo o uso de IoT, é um agravante, e o setor teve um salto nesse quesito durante a pandemia, ainda que não seja dos mais avançados no uso de tecnologia.

São equipamentos de ressonância, bombas de infusão, aparelhos de monitoramento conectados às redes e trocando dados. “Esses equipamentos médicos que fazem parte do conjunto de IoT trazem um legado de obsolescência e riscos conhecidos pelo mercado de ciberataques que muitas vezes não podem ser tratados, porque são softwares embarcados que, se alterados, podem fazer o equipamento parar de funcionar”, explica Batista. “Com isso, as empresas passam a ter uma elevação da complexidade para defender seus ambientes.”

O setor, de modo geral, começa a reagir. A pesquisa Global Digital Trust Insights 2021, da PwC, apontou que quase 49% das empresas do setor que participaram do estudo estão incorporando questões de cibersegurança e privacidade em cada decisão ou plano de negócios.

Mas, no Brasil, enquanto as grandes redes hospitalares e os sistemas do Sistema Únicos de Saúde (SUS) estão bem protegidos, há cerca de 4.500 hospitais privados de médio e pequeno porte com estruturas vulneráveis. “Eles começam a ter exposição digital, mas sem o foco em cibersegurança dos grandes players. São os que precisam ficar muito atentos com as informações que têm coletado, porque certamente são alvos mais fáceis para os ataques”, alerta Porto.

E, diferentemente do setor de Energia, o de Saúde ainda carece de regulação. “As entidades sabem garantir a continuidade operacional e a segurança dos pacientes nos processos de saúde, mas ainda há uma necessidade de diretrizes para a correlação entre tecnologia e segurança. Sem isso, não vira prioridade, só quando a entidade é invadida”, diz Batista.

Especial Cibersegurança

Promover conhecimento e compartilhar boas práticas para ajudar as organizações a reduzirem os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que contará com dezenas de reportagens, vídeos e podcasts sobre o tema.