A Intel Security, através de seu McAfee Labs, divulgou há poucos dias um parecer bastante alarmante sobre o setor da saúde. Na avaliação dos especialistas, o mercado de registros médicos roubados é comparável ao de dados roubados de serviços financeiros, indicando as tendências do “crime cibernético como serviço” voltadas ao segmento. Além disso, o estudo parece ter procurado estabelecer o perfil do criminoso cibernético que tem como alvo a propriedade intelectual das indústrias farmacêutica e de biotecnologia.

Segundo a pesquisa, o desenvolvimento do mercado de dados roubados – e de serviços relacionados a esse tipo de atividade prestados por hackers – indica que o negócio está em pleno crescimento. "Em um setor em que a privacidade é fundamental, a perda de confiança pode ser catastrófica para o progresso e para as perspectivas de sucesso", afirma Raj Santucci, CTO da Intel Security para Europa, Oriente Médio e África.

Em um setor em que a privacidade é fundamental, a perda de confiança pode ser catastrófica

Para ele, devido à crescente ameaça ao setor, os custos desse tipo de violação associados à “Segunda Economia” devem ser avaliados em termos de tempo, dinheiro e confiança. Isso porque, quando a confiabilidade do setor entra em declínio, isso representa uma perda direta tanto para as pessoas quanto para as organizações – neste último caso, na forma de prejuízos financeiros.

O valor dos dados roubados

Com essas informações em mãos, a Intel Security constatou que, no caso de prontuários médicos roubados, o preço por registro permanece inferior em relação a registros de contas financeiras e informações de contas de pagamento de varejo, mesmo que o cancelamento cada vez mais rápido por parte de clientes, bancos e vítimas corporativas ter feito com que dados como números de cartão de crédito e débito se tornem altamente perecíveis.

Esse não é o caso das informações médicas protegidas (PHI, do inglês “protected health information”), que não mudam ou podem ser canceladas facilmente, o que pode explicar o motivo de os cibercriminosos passarem a incluir registros médicos em seu rol de “ofertas”. Essas informações médicas "não perecíveis" podem incluir sobrenomes, nome de solteira da mãe, números de segurança social ou pensão, dados de cartões de pagamento e seguros e históricos de endereços de pacientes.

O setor de saúde tem atraído os cibercriminosos

A pesquisa constatou que o preço médio por registros médicos é maior do que o de informações de identificação pessoal básicas, mas continua sendo inferior ao preço dos dados de contas financeiras pessoais. O valor para dados de contas financeiras ficou entre US$ 14 (R$ 46,72) e US$ 25 (R$ 83,43) por registro e, para cartões de crédito e débito, entre US$ 4 (R$ 13,35) a US$ 5 (R$ 16,70). Já para os dados de registros médicos, o valor variou entre apenas US$ 0,03 (R$ 0,10) a US$ 2,42 (R$ 8,07).

Os resultados sugerem que dados de contas financeiras continuam sendo mais rentáveis do que dados médicos pessoais, que podem exigir um investimento que os dados de pagamentos financeiros não requerem. Após roubar um cache de registros médicos, por exemplo, os criminosos cibernéticos provavelmente precisam analisar os dados e talvez cruzá-los com dados de outras fontes até poderem identificar oportunidades lucrativas de fraude, roubo, extorsão ou chantagem – tornando a prática menos atraente que os crimes convencionais.

Roubo de propriedade intelectual e confidencial

Outro item investigado no relatório foi o interesse em roubar a propriedade intelectual e dados comerciais confidenciais de empresas farmacêuticas e de biotecnologia. Os pesquisadores sugerem que o valor econômico dessas informações é consideravelmente maior em relação aos dados de prontuários médicos – que podem valer apenas centavos de dólar por registro.

Repositórios de dados em empresas biofarmacêuticas se tornaram um alvo bem cotado entre os cibercriminosos

Os pesquisadores encontraram provas de que fórmulas de medicamentos de última geração, resultados de testes com novas drogas e outras informações comerciais confidenciais apresentam um valor significativo no submundo do crime. Assim, não é de se espantar que os repositórios desses dados em empresas biofarmacêuticas, nos servidores de parceiros e até mesmo em órgãos reguladores do setor tenham se tornado um alvo muito bem cotado entre os cibercriminosos.

Adquirir dados médicos é relativamente fácil no mundo do crime

"Como a maioria das coisas no mundo, a espionagem corporativa também se tornou digital", explica Santucci. "Considerando que a pesquisa e o desenvolvimento representam um gasto enorme para esses setores, não deveria ser surpresa que os criminosos cibernéticos se sintam atraídos pelo ROI (retorno de investimento) que podem obter com o roubo desse tipo de dados médicos," comenta.

Serviço ilegal e rentável

A Intel Security ainda identificou os criminosos iniciantes que aproveitam o mercado de “crime cibernético como serviço” para executar seus ataques contra organizações de saúde. O relatório encontrou provas da compra e da locação de exploits e de kits que permitem o comprometimento de sistemas que abrigam dados médicos. Em um dos casos, um leigo na empreitada comprou ferramentas para invadir uma organização e extraiu mais de mil registros médicos das vítimas – algo que poderia lhe render cerca de US$ 15,5 mil (R$ 51,7 mil).

Criminosos cibernéticos andam tentando recrutar funcionários de empresas do setor da saúde

Os pesquisadores também observaram tentativas descaradas feitas por criminosos cibernéticos, que usaram anúncios online e contatos via redes sociais para tentar recrutar funcionários de empresas do setor da saúde com acesso a informações valiosas. “Quando uma comunidade bem desenvolvida de criminosos cibernéticos ataca um setor menos preparado como o da saúde, as organizações desse setor se desdobram para se proteger contra ameaças antigas em vez das ameaças atuais e futuras”, analisa o executivo da Intel.

Na internet, esses tipos de dados são vendidos de forma bem aberta

"Quando se trata da segurança cibernética, para estar preparado, é necessário rejeitar paradigmas convencionais e adotar conceitos totalmente novos. Antes, as organizações de saúde atuavam segundo regras tradicionais; agora, elas devem ser o menos previsíveis possível”, acredita Santucci, dizendo que, em vez de acumular e isolar informações, as empresas do setor devem ser mais colaborativas. “Antes, elas subestimavam a defesa cibernética em geral; agora, devem priorizá-la”, finaliza.

Cupons de desconto TecMundo: