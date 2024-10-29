Uma violação de dados no prestador virtual de serviços médicos Confidant Health expõe a enorme diferença entre informações pessoais identificáveis (PII), por um lado, e dados sensíveis, por outro.
A história começou quando o pesquisador de segurança Jeremy Fowler descobriu um banco de dados não seguro contendo 5,3 terabytes de dados expostos vinculados à Confidant Health. A empresa oferece ajuda para recuperação de dependência química e tratamento de saúde mental em Connecticut, Flórida, Texas e outros estados.
A violação de dados, relatada inicialmente pela WIRED, envolveu informações pessoais identificáveis (PII), como nomes e lidar com de pacientes, mas também informações sensíveis como gravações de áudio e vídeo de sessões de terapia, notas detalhadas de anamnese psiquiátrica e históricos médicos completos.
O artigo mostrou como algumas das informações eram terrivelmente comprometedoras: “um arquivo de internação mental de sete páginas... detalha problemas com consumo de bebidas alcoólicas e outras substâncias, incluindo como o paciente alegou ter usado... narcóticos do estoque de cuidados pessoais de seus avós antes do falecimento do membro da família.”, de acordo com o artigo. “Em outro documento, uma mãe descreve o relacionamento ‘contencioso’ entre seu marido e filho, incluindo que enquanto seu filho estava usando estimulantes, ele acusou seu parceiro de abuso sexual.”
O relatório do custo das violações de dados de 2024 da IBM destaca que 46% das violações envolveram PII de clientes. O relatório também observa um aumento significativo no custo por registro de dados de propriedade intelectual (PI), saltando de USD 156 para USD 173.
No entanto, o nível de exposição no incidente da Confidant Health representa um aumento significativo no potencial de dano aos indivíduos afetados, superando em muito os riscos associados a meras violações de PII.
Os atacantes cibernéticos e os malfeitores valorizam os dados confidenciais, inclusive os dados médicos, porque eles podem ser usados para ataques de engenharia social, chantagem direcionada ou até mesmo venda para concorrentes ou adversários antiéticos. A natureza confidencial das informações é exatamente o que as torna valiosas para uma invasão.
Para deixar claro, a exposição de dados confidenciais, como detalhes médicos, é um risco não apenas para o alvo, mas também para o empregador. Os dados podem ser usados para chantagear o funcionário para que forneça senhas e outros dados que possam ajudá-lo em uma violação da empresa do funcionário.
Os possíveis vetores de ataque incluem:
A recente violação serve como um lembrete impressionante da necessidade crítica de medidas robustas de proteção de dados, especialmente em ambientes de saúde. Os segredos são abrangência e vigilância constante.
A proteção de informações confidenciais na área de saúde e em outros ambientes exige uma abordagem abrangente.
A implementação de controles de acesso e autenticação robustos é crucial. Isso inclui implementar a autenticação multifatorial para todas as contas de usuário e a criação de controles de acesso baseados em funções para limitar o acesso a dados com base nas funções de trabalho. (auditorias e revisões regulares das permissões de usuário devem ser realizadas para garantir o gerenciamento adequado de acesso.)
A criptografia desempenha um papel fundamental na proteção de dados confidenciais. É essencial criptografar dados em repouso e em trânsito, usando criptografia de ponta a ponta para todas as comunicações e transferências de dados. A criptografia de dispositivos deve ser implementada para dispositivos móveis e notebooks para proteger os dados em caso de perda ou roubo.
A segurança da rede é outro aspecto crítico da proteção de dados. Implementar firewalls de última geração e sistemas de detecção/prevenção de intrusões ajuda na defesa contra ameaças externas. A segmentação de rede pode isolar dados confidenciais, enquanto as redes virtuais privadas fornecem acesso remoto seguro.
As medidas de proteção de dados devem incluir a implementação de soluções de prevenção de perda de dados para monitorar e controlar a movimentação de dados. O mascaramento de dados e a tokenização podem ser usados para proteger informações confidenciais, e backups regulares com procedimentos de restauração testados garantem a disponibilidade de dados em caso de incidentes.
Segurança de endpoint é importante para proteger contra malware e outras ameaças. Mantenha o software antivírus e antimalware atualizado, implementando soluções de detecção e resposta de endpoint e usando o gerenciamento de dispositivos móveis para dispositivos de propriedade da empresa.
Do ponto de vista organizacional, desenvolver e aplicar políticas abrangentes de proteção de dados é fundamental. Isso inclui a implementação de um plano de resposta a incidentes formal e o estabelecimento de procedimentos claros de retenção e descarte de dados. O treinamento regular de consciência sobre segurança para todos os funcionários, com treinamento especializado para aqueles que lidam com dados confidenciais, ajuda a promover uma cultura de consciência sobre segurança em toda a organização.
A gestão de riscos é um processo contínuo que envolve a realização de avaliações de risco regulares e varreduras de vulnerabilidade. Deve ser implementado um programa formal de gerenciamento de riscos, com atualizações e patches regulares aplicados a todos os sistemas e software.
Gerenciar riscos de terceiros é igualmente importante. Isso envolve a implementação de procedimentos rigorosos de gestão de riscos de fornecedores, garantindo que todos os contratos de terceiros incluam cláusulas de proteção de dados e auditem regularmente o acesso de terceiros e as práticas de manipulação de dados.
Conformidade e auditoria são componentes críticos de um programa de segurança robusto. As organizações devem garantir a conformidade com as regulamentações de saúde relevantes, como a HIPAA. Auditorias de segurança internas e externas regulares devem ser realizadas, e registros detalhados de todos os acessos a dados e atividades do sistema devem ser mantidos.
A governança de dados é essencial para uma proteção de dados eficaz. Isso inclui a implementação de um sistema formal de classificação de dados, o estabelecimento de funções de propriedade e administração de dados e o inventário e mapeamento regulares de todos os dados confidenciais.
Os recursos de resposta e recuperação de incidentes são cruciais para minimizar o impacto das violações de segurança. As organizações devem desenvolver e testar regularmente um plano de resposta a incidentes, estabelecer uma equipe de resposta a incidentes dedicada e implementar recursos automatizados de detecção e resposta a ameaças.
As medidas de segurança física não devem ser negligenciadas. Garantir o acesso físico aos data centers e áreas sensíveis, implementar procedimentos adequados de descarte para mídias físicas e usar sistemas de vigilância e controle de acesso em áreas críticas são aspectos importantes de uma estratégia de segurança abrangente.
Ao implementar essas medidas, as organizações podem aprimorar significativamente sua postura de proteção de dados. No entanto, é importante lembrar que a cibersegurança é um processo contínuo que exige vigilância constante. Avaliações e melhorias regulares do programa de segurança são essenciais para manter uma proteção robusta de informações confidenciais no cenário em constante evolução das ameaças cibernéticas.
Conforme navegamos em um cenário cada vez mais digital, esse incidente destaca a necessidade urgente de uma mudança de paradigma na forma como vemos e protegemos dados confidenciais. Não é mais suficiente focar apenas na proteção das PII. As organizações devem adotar uma abordagem abrangente que reconheça o valor único e a vulnerabilidade das informações pessoais sensíveis.