Um consultor de segurança de Singapura, Olli Jarva, explica o que se passa, depois de uma enorme fuga de dados.
Os dados relacionados com a saúde são hoje mais valiosos para os cibercriminosos do que os números de cartões de crédito ou de segurança social e os criminosos vão fazer tudo o que estiver ao seu alcance para os conseguir, disse Olli Jarva, consultor de segurança em Singapura.
Jarva fez este comentário após falha de segurança no sistema de IT da SingHealth que resultou na fuga de dados de cerca de 1,5 milhões de pessoas, incluindo do primeiro-ministro de Singapura, Lee Hsien Loong, que foram ilegalmente acedidos e copiados.
O governo de Singapura descreve o ataque, que terá tido lugar na sexta-feira, como “a mais séria fuga de dados pessoais” por que o país já passou. A cibersegurança é uma das principais prioridades do altamente digitalizado estado de Singapura e do bloco de países que integra a Associação de Nações do Sudeste Asiático (ASEAN).
“A fuga de dados na saúde define uma nova realidade. Hoje, estamos a começar a observar facto novo e assustador – o valor dos dados médicos é tal que os hackers agora estão dispostos a fazer algo mais para os obter. Esta tem sido uma tendência em crescimentos nos últimos anos, de tal forma que os dados de saúde já ultrapassaram o valor dos números de cartões de crédito e números de segurança social”, assinalou.
Já era hora de a segurança ser “integrada” nas aplicações que armazenam dados de saúde, disse Olli Jarva.
Jarva sublinhou que já era hora de a segurança ser “integrada” nas aplicações que armazenam dados de saúde.
“Quando estamos a desenhar e a construir os sistemas para ser resilientes a ciberataques, temos de começar a construir segurança a partir de dentro em vez de confiar apenas na defesa do perímetro”, acrescentou.
Isto significa que antes de escrever a primeira linha de código, já se deve ter começado a mapear os problemas de segurança potenciais de um ponto de vista ‘by design’”, defendeu.
O analista assinala que os probemas de segurança das aplicações podem ser divididos em duas partes: falhas e erros. A maioria destas questões de software precisa de ser detectada tão cdo quanto possível para que “não venham mais tarde assombrar-nos”, referiu.
“Temos de nos manter vigilantes sobre como e de que tipo de ataque nos estamos a proteger, onde estão e que tipo de controlos de segurança temos para nos protegermos. Temos de mudar a nossa forma de pensar relativamente à segurança e combater essas questões cedo no nosso ciclo de vida de desenvolvimento de software.
“Se deixar esses problemas para depois, o custo de arranjar e reagir a fugas será demasiado caro e os efeitos enormes, se não devastadores”, salientou.
Jarva disse que a indústria da saúde partilha as mesmas falhas de cibersegurança que outras empresas, “mas com alguns obstáculos adicionais: falta de segurança, de recursos financeiros e de peritos para corrigir esta fraqueza”.
Os prestadores de cuidados de saúde também estão a lidar com ambientes extremamente heterogéneos. Se por um lado têm computadores e servidores pode ser standard, por outro lado é necessário gerir uma multiplicidade de dispositivos que está ligado à rede. Estes dispositivos podem ser bombas de infusão médicas, dispositivos de imagiologia como scanners MRI e CT ou software de tratamento, como aquele que é utilizado para gerir pacemakers implantados.
Finalmente, Jarva assinalou que os sistemas em diferentes partes da organização de saúde podem não integrar facilmente uns com os outros. Os fornecedores de saúde podem ter múltiplas unidades de negócio que poderão não uniformizar a cibersegurança com eficiência.
“Os registos de saúde electrónicos prometem ajudar os profissionais e pacientes ao simplificar a partilha de informação”, concluiu.