Não passa uma semana sem que tenhamos notícia sobre alguma violação de dados feitas por hackers em grandes organizações, vulnerabilizando dados de milhões de clientes. E a falha de segurança no mais recente alvo aconteceu nos Sistemas de Saúde da Universidade da California-UCLA, em Los Angeles.
Significa que pelo menos 4,5 milhões de pacientes foram afetados. Muito semelhante ao que aconteceu com a Anthem (uma das gigantes do sistema de seguro-saúde dos EUA), a UCLA não se incomodou em criptografar os dados do paciente pelo menos na forma mais básica de criptografia, para protegê-los. Ou seja, os cibercriminosos tiveram poucas dificuldades assim que conseguiram entrar na rede da UCLA.
O ciberataque que atingiu a UCLA vem logo depois de ter ocorrido um megavazamento de dados de empregados federais, além de um outro grande vazamento de informações pessoais da gigante de seguro de seguro-saúde Anthem Inc. incidente que afetou dados de cerca de 80 milhões de pessoas, nos EUA.
A invasão de dados pessoais, ocorrida na UCLA, levanta uma questão delicada sobre a capacidade dos hospitais, seguros de saúde e outros serviços médicos, que manipuam informações delicadas e muito pessoais, para dar segurança a uma vasta gama de gravações médicas eletrônicas e outros dados confidenciais que estão estocados nesses arquivos.
De se levar em conta também que os ataques cibernéticos têm se intensificado nos últimos anos, constituindo-se numa das principais crises das corporações que armazenam dados, princialmente dados pessoais ou financeiros.
O Los Angeles Times não poupou a manifestação da Universidade, em função do vazamento, em artigo de Chad Terhune, ironizando a situação:
"Nós consideramos este ataque a nossos sistemas extremamente sério", disse o Dr. James Atkinson, presidente interino do Sistema do Hospital da UCLA. "Para os pacientes que nos confiam seus cuidados, a sua privacidade é a nossa maior prioridade. Lamentamos profundamente que isso aconteceu.”
Atkinson disse que o hospital detectou atividade incomum em um dos seus servidores ainda em outubro de 2014 e começou a investigar com a ajuda do FBI.
Não era até 5 de maio, de acordo com a UCLA, que os investigadores determinaram que os hackers tiveram acesso a partes da rede de computadores do sistema de Saúde da UCLA, onde algumas informações dos pacientes eram armazenadas.
Aqueles arquivos da rede continham nomes, datas de nascimento, números do Seguro Social (uma verdadeira identidade do americano), números de identificação dos planos medicos e de saúde, bem como algumas informações médicas, tais como diagnósticos e procedimentos de pacientes.
O acesso não autorizado poderia ter começado em setembro de 2014, disse a UCLA, e algumas das informações dos pacientes datam de 1990, conclui o LA Times.
Jonathan Bernstein, especialista em Gestão de Crises nos EUA e editor do Blog Crisis Management, ao comentar o vazamento no seu Blog que “se estivéssemos entre os pacientes cuja informação foi exposta, a primeira pergunta que deveríamos fazer é "Por que ninguém havia nos comunicado esse vazamento até agora?" Afinal de contas, diz Bernstein, os investigadores souberam em 5 de maio que os hackers tiveram acesso a partes da rede em que as informações do paciente foram armazenadas, então por que o enorme atraso na comunicação?
Atkinson, o presidente do Sistema de Saúde da UCLA, diz: "Para os pacientes que nos confiam seus cuidados, a sua privacidade é a nossa maior prioridade."
Pelo menos deveria ser. "O problema é que suas ações dizem o contrário. Um claro interesse em auto-preservação sobre os melhores interesses dos stakeholders é o que já foi demonstrado. Agora, é hora de UCLA adequar seu caminho ao que disse na Nota, ou engolir o provável dano à reputação que vem pela falha de como tudo aconteceu,” conclui Bernstein.
Crise afeta mais a empresa do que consumidor
O New York Times, em artigo bastante elucidativo, publicado ontem (31/07), comentando o vazamento de dados na UCLA, diz que talvez estejamos preocupados, ao acompanharmos as notícias sobre ciberataques. "A Target (empresa de varejo com vendas online) teve os dados de cartões de crédito de 40 milhões de clientes roubados por hackers, em 2014; o banco JP Morgan foi sido vítima de invasão, que roubou detalhes pessoais de 80 milhões de clientes; e agora com a UCLA, entre outros que ocorreram este ano. Isso pode nos dar a ideia de que vivemos uma epidemia de vazamento de dados."
Mas, diz o NYT, o efeito nos consumidores é um tanto quanto diferente do que as manchetes sugerem. Somente um pequeno número de pessoas expostas por vazamentos acaba pagando os custos. E para as raras vítimas atingidas o custo médio tem caido de forma constante.
Como pode ocorrer isso? Pergunta o NYT. “Para começar, várias leis protegem os consumidores de serem responsabilizados de quase todas as perdas financeiras relacionadas a hackers (embora não se livre das dores de cabeça de ter de trocar de cartão, repassar o número aos fornecedores, e outros incômodos).”
Em vez disso, os bancos e comerciantes, como a Target, devem arcar com os custos e eventuais prejuízos. Mas mesmo essas perdas foram caindo nos últimos anos, tendo em vista que os especialistas em segurança de dados aprenderam novas estratégias para evitar que eventuais invasões se transformem em roubo.
Para evitar crises nesse campo, que certamente podem dar algum prejuízo, além de arranhar a reputação da organização, as empresas devem melhorar cada vez mais a proteção de dados, principalmente aqueles que são reservados e podem trazer transtornos não apenas financeiro aos usuários, mas até pessoais. Como é o caso dos sistemas de saúde.
Outros artigos sobre o tema
UCLA Health System data breach affects 4.5 million patients - Los Angeles Times
UCLA Health System data breach may affect millions - Fortune
Ciberataques aumentam em ritmo sem precedentes - O Globo
Stolen Consumer Data Is a Smaller Problem Than It Seems - New York Times
EUA alertam que vítimas de ciberataques aumentam em ritmo sem precedentes - Uol
Forget the Ashley Madison or Sony hacks – a crippling cyberattack is imminent in the US - The Observer
9 Recent Cyberattacks Against Big Businesses
Hackers viram 'dor de cabeça' para montadoras