Setor de saúde tem epidemia de hackers – e Brasil é um dos mais expostos

Na madrugada de 10 de dezembro de 2021, no segundo ano da pandemia, um prolongado apagão foi detectado nas principais plataformas do Ministério da Saúde responsáveis por registrar e monitorar a vacinação no país. O e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunizações (SI-PNI) e o ConecteSUS tinham sido alvo de um ataque hacker. O golpe deixou os serviços fora do ar, manchou os levantamentos estatísticos e impossibilitou a emissão de documentos como o Certificado Nacional de Vacinação Covid-19 e a Carteira Nacional de Vacinação Digital, exigidos para o controle sanitário em viagens internacionais em tempo de quarentena. Em maio do ano passado, houve uma nova tentativa de assalto. Sem êxito, mas não passou em branco: os acessos foram fechados para uma manutenção corretiva.

Os episódios, depois reivindicados pelo grupo criminoso Lapsus$, são exemplos escancarados de um dos principais problemas enfrentados por instituições públicas e privadas na área da saúde: os ciberataques. Como hospitais, centros de exames, empresas de convênios e órgãos do governo dependem cada vez mais de sistemas digitais, há o risco de interrupção dos trabalhos e também de revelação indevida de informações pessoais. O tamanho do problema: 35% dos golpes virtuais, em todo o mundo, miram o setor de saúde. Nesse campo, infeliz e dramaticamente, o Brasil é líder. Um estudo recente da empresa especializada em risco cibernético Tenable revela que, entre novembro de 2021 e outubro de 2022, 43% dos vazamentos criminosos vieram de endereços brasileiros. Nos Estados Unidos, as investidas aumentaram 94% em 2021 na comparação com 2020, de acordo com um relatório da reputada companhia de segurança informática Sophos.

Os mecanismos que armazenam informações de pacientes atraem os hackers pelos danos imediatos que o sequestro de informações pode causar para as instituições de saúde. A bandidagem age e chantageia. A lógica remete aos crimes tradicionais: os contrafeitores exigem resgates milionários e há pouco tempo para negociações. O sumiço de prontuários médicos, por exemplo, compromete a indicação correta de remédios ou a checagem dos exames. A ameaça ganha dimensão exponencial porque hospitais, laboratórios e operadoras costumam trabalhar em rede.“Qualquer usuário de um plano de saúde sente os efeitos de um ataque cibernético aos bancos de dados”, diz Fabricio Polido, advogado especializado em direito digital.

O setor privado, que não para de crescer, também é alvo contumaz. Empresas de grande porte como o laboratório Fleury estão na lista das que já foram vítimas de crimes virtuais. Houve extorsão de dinheiro, antes que os computadores voltassem a funcionar, dias depois do ataque — por motivos óbvios, não foi revelado nenhum tipo de negociação ou acordo com os saqueadores. Nas ações mais sofisticadas, os invasores utilizam o chamado ransomware, um tipo de programa de computador afeito a sequestro de informações. O pagamento do resgate costuma ser exigido em criptomoedas, mecanismo para impedir o rastreamento do criminoso. O prejuízo é grande. Cálculos da IBM sobre a violação de dados em saúde apontam que, apenas em território americano, as perdas ultrapassam 10 milhões de dólares — e os custos decorrentes dos ataques nesse segmento cresceram 42% desde 2020.

A expertise e a petulância dos hackers vêm exigindo mudanças rápidas na área da saúde: elas envolvem investimento pesado em cibersegurança, com a criação de camadas de proteção e vigilância contínua. Ainda assim, os criminosos parecem estar sempre um passo à frente. “A área de tecnologia da informação não é um fim, mas um meio, e por isso ainda não recebe tanto dinheiro”, diz Alexandre Sousa, diretor de engenharia e arquitetura de cibersegurança da Tenable na América Latina. Hoje, o zelo pela proteção eletrônica representa de 1% a 2% do orçamento na indústria da saúde. É fatia que tende a crescer, e cujo custo de aprimoramento certamente acabará mordendo o bolso do consumidor. Não há, contudo, outra saída — os gastos com a defesa já se tornaram compulsórios, sem os quais o perigo tende a crescer. Nesse cenário, algumas estratégias já foram postas em prática para conter a explosão de golpes: desde treinamentos com toda a cadeia de funcionários até o uso de “vírus do bem”, programas que testam e encontram falhas de segurança nos sistemas antes que elas aconteçam no mundo real.

O reforço dentro das empresas, fundamental, precisa vir acompanhado de um outro movimento: a sensibilização dos pacientes, a ponta mais frágil da engrenagem. Os usuários dos planos de saúde, sublinhe-se, estão permanentemente expostos à avalanche de e-mails e mensagens com links perigosos. As modalidades de golpe mais populares são o phishing — cuja isca, na pesca bucaneira, são links que levam à captura de dados pessoais e bancários — e a divulgação de sites falsos para a emissão de segunda via de boletos. As páginas até se parecem com as originais, mas, em vez de encaminharem para um local seguro, direcionam os clientes para conversas de WhatsApp.

Em pelo menos um caso investigado em São Paulo, foram diagnosticados 800 links suspeitos enviados a usuários somente em 2022. Eles estavam atrelados a boletos de pagamento de um plano de saúde. Boletos falsos! As cobranças tinham, em média, o valor de 1 345 reais. “Verificamos que os pagamentos eram feitos diretamente aos criminosos”, relata a advogada Danielle Serafino, de São Paulo, que atua no processo há um ano e três meses. No casamento de ingenuidade com boa-fé, mas também em gesto de malandragem, os próprios beneficiários acabam contribuindo para a cadeia da contravenção. Um banco teve de demitir oitenta funcionários porque eles estavam emprestando a carteirinha do plano a familiares e amigos, em gesto ilegal e fraudulento. “É atitude criminosa que põe em risco a segurança do convênio, com a circulação indevida de dados, e que fatalmente pode encarecer os planos”, afirma Alessandro Acayaba de Toledo, presidente da Associação Nacional das Administradoras de Benefícios (Anab).

Há ao menos uma boa notícia, na contramão da desfaçatez. A Lei Geral de Proteção de Dados entrou em vigor em 2020 para regulamentar a coleta e o tratamento das informações fornecidas pela população na internet. A multa por infração às regras pode chegar a 50 milhões de reais. Mas hacker não respeita lei. Exige-se, agora, que as esferas pública e privada tenham um caminho de emergência para garantir segurança digital em um campo do cotidiano que lida diretamente com fragilidades e riscos à vida — um retrato da sordidez da pandemia de hackers.

Publicado em VEJA de 19 de abril de 2023, edição nº 2837