A transformação digital está ajudando os fornecedores de serviços de saúde em todo o mundo a se tornarem mais econômicos e, ao mesmo tempo, a melhorar os padrões de atendimento ao paciente. Mas a digitalização dos registros de saúde também traz alguns riscos cibernéticos. Uma vez que seus dados são armazenados em sistemas de TI que podem ser acessados pela internet, eles podem ser acidentalmente vazados ou acessados por cibercriminosos ou até mesmo por pessoas internas.
Os dados médicos estão entre as informações mais sensíveis que compartilhamos com empresas. Por isso, regulamentações como a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) classificam esses dados como pertencentes a uma "categoria especial", exigindo medidas de proteção adicionais.
O pior cenário possível
Nos primeiros 10 meses de 2023, nos EUA, mais de 88 milhões de pessoas tiveram seus dados médicos expostos, de acordo com dados do governo. O número pode ser ainda maior se forem levadas em conta as organizações não regulamentadas pela lei de privacidade do paciente HIPAA.
Entres os incidentes mais notáveis dos últimos anos estão:
- Change Healthcare, que sofreu um grande ataque de ransomware em fevereiro de 2024. O provedor de serviços de saúde dos EUA não apenas sofreu uma grande interrupção operacional, mas os cibercriminosos (Black Cat/ALPHV) também alegaram ter roubado 6 TB de dados durante o ataque. Embora o grupo de ransomware tenha se desestruturado logo depois que a Change Healthcare pagou um suposto resgate de US$ 22 milhões (cerca de R$ 100 milhões), o afiliado do ransomware responsável pelo ataque tentou extorquir a empresa novamente, ameaçando vender os dados para quem pagasse mais.
- A startup americana Mental Health Cerebral vazou acidentalmente informações médicas altamente confidenciais sobre 3,1 milhões de pessoas on-line. A empresa admitiu no ano passado que, durante três anos, compartilhou inadvertidamente dados de clientes e usuários com "plataformas de terceiros" e "subcontratados" por meio de tecnologia de marketing mal configurada.
O que está em jogo?
Entre os dados médicos potencialmente em risco estão:
- Números de apólices de seguro de saúde ou similares;
- Informações pessoais identificáveis (PII), como número de CPF, endereço residencial, e-mail e data de nascimento;
- Senhas de contas médicas, financeiras e de seguros;
- Histórico médico, incluindo tratamentos e prescrições;
- Informações de faturamento e pagamentos, como dados de cartões de crédito, débito e contas bancárias.
Essas informações podem ser usadas por cibercriminosos para fazer cobranças indevidas no seu cartão de crédito, abrir novas linhas de crédito, acessar e drenar sua conta bancária ou se passar por você para obter serviços médicos caros e medicamentos prescritos. Nos EUA, registros de saúde podem até mesmo ser usados para apresentar declarações de impostos falsos, visando obter reembolsos indevidos. Além disso, se houver informações confidenciais sobre tratamentos ou diagnósticos que você prefere manter em segredo, criminosos podem tentar chantageá-lo com essas informações.
8 dicas sobre o que fazer após ser vitíma de um vazamento de dados de saúde
Se você se encontrar no pior cenário possível, é importante manter a cabeça fria. Trabalhe sistematicamente com o seguinte:
1. Verifique a notificação
Leia o e-mail com atenção para verificar possíveis sinais de fraude. Indicadores reveladores incluem erros ortográficos e gramaticais, além de solicitações urgentes de suas informações pessoais, como pedidos para que você "confirme" seus dados. Observe também se o endereço de e-mail do remetente não corresponde ao da empresa legítima ao passar o mouse sobre o endereço "de". Fique atento a links clicáveis incorporados que incentivam você a segui-los ou a anexos que solicitam ser baixados.
2. Descubra exatamente o que aconteceu
A próxima etapa fundamental é entender a extensão da sua exposição ao risco. Quais informações exatamente foram comprometidas? O incidente foi uma exposição acidental de dados ou houve acesso e roubo por terceiros mal-intencionados? Que tipo de informação pode ter sido acessada? Elas estavam criptografadas? Se o seu provedor não tiver respondido adequadamente a essas perguntas, entre em contato com ele para obter as informações necessárias para tomar as próximas medidas. Se ainda não estiver claro, prepare-se para o pior.
3. Monitore suas contas
Se cibercriminosos acessarem suas informações de identificação pessoal e médicas, eles poderão vendê-las a fraudadores ou tentar usá-las diretamente. De qualquer forma, é essencial monitorar atividades suspeitas, como contas médicas de serviços que você não recebeu ou notificações informando que você atingiu o limite de benefícios do seu seguro. Se as informações financeiras forem comprometidas, fique atento às transações na sua conta bancária e no cartão de crédito. Muitas organizações oferecem monitoramento de crédito gratuito, que notifica você sobre atualizações ou alterações nos seus relatórios de crédito que possam indicar fraude.
4. Denuncie atividades suspeitas
Relate imediatamente qualquer atividade suspeita ou erros de cobrança ao fornecedor em questão. É recomendável fazer isso por escrito e também notificar a seguradora ou o fornecedor por e-mail ou telefone.
5. Congele seu crédito e seus cartões
Dependendo das informações pessoais que foram roubadas, você pode considerar ativar um congelamento de crédito. Isso impedirá que os credores acessem seu relatório de crédito, evitando a aprovação de novas contas de crédito em seu nome e protegendo você contra a contração de dívidas indevidas. Considere também congelar ou emitir novos cartões bancários. Muitas vezes, isso pode ser feito facilmente pelo aplicativo do seu banco.
6. Altere suas senhas
Se suas informações de login foram comprometidos em um vazamento de dados, o fornecedor em questão deve redefini-los automaticamente. Caso isso não ocorra, vale a pena fazer a redefinição manualmente para sua tranquilidade. Isso ajudará a prevenir tentativas de sequestro de contas, especialmente se você aumentar a segurança utilizando a autenticação em dois fatores.
7. Fique alerta
Se os fraudadores obtiverem suas informações pessoais e médicas, eles poderão usá-las em ataques de phishing subsequentes. Esses ataques podem ser lançados por e-mail, mensagem de texto ou até mesmo chamadas telefônicas. O objetivo é usar as informações roubadas para dar legitimidade a solicitações de mais informações pessoais, como detalhes financeiros. Permaneça vigilante. Se um cibercriminoso tentar extorqui-lo(a), ameaçando expor detalhes médicos confidenciais, entre em contato com a polícia imediatamente.
8. Considere tomar uma medida legal
Se seus dados foram comprometidos devido à negligência do seu fornecedor de serviços de saúde, você pode ter direito a algum tipo de compensação. Isso dependerá da jurisdição e das leis locais de proteção de dados e privacidade. Um especialista jurídico poderá aconselhá-lo sobre a possibilidade de entrar com uma ação individual ou coletiva.
Sem fim à vista
Considerando que os registros médicos podem custar até 20 vezes mais do que os detalhes de cartões de crédito no submundo do cibercrime, é improvável que os criminosos parem de visar as organizações de saúde tão cedo. A capacidade de exigir pagamentos multimilionários por meio de ransomware apenas torna o setor um alvo ainda mais interessante. É por isso que é essencial estar preparado para o pior e saber exatamente como minimizar os prejuízos à sua saúde mental, privacidade e finanças.