A Intel Security divulga o relatório "Aviso do McAfee Labs" ao setor da saúde, que avalia o mercado de registros médicos roubados; compara-o ao mercado de dados roubados de serviços financeiros; identifica tendências de "crime cibernético como serviço" voltadas ao setor da saúde; e estabelece o perfil de crime cibernético que tem como alvo a propriedade intelectual das indústrias farmacêutica e de biotecnologia. A pesquisa da Intel Security afirma que o desenvolvimento do mercado de dados roubados e de serviços relacionadas prestados por hackers indicam que o "negócio do crime cibernético" no setor da saúde está crescendo.
"Em um setor em que a privacidade é fundamental, a perda de confiança pode ser catastrófica para o progresso e para as perspectivas de sucesso", afirma Raj Santucci, CTO da Intel Security para Europa, Oriente Médio e África. "Dada a crescente ameaça ao setor, os custos de violação associados à Segunda Economia devem ser avaliados em termos de tempo, dinheiro e confiança — em que a perda de confiança pode prejudicar tanto as pessoas como as organizações na forma de prejuízos financeiros."
O valor dos dados roubados
A Intel Security constatou que, no caso de prontuários médicos roubados, o preço por registro permanece inferior em relação a registros de contas financeiras e informações de contas de pagamento de varejo, apesar do cancelamento cada vez mais rápido ou da natureza perecível de dados como números de cartão de crédito e débito.
O observou que, nos últimos anos, as iniciativas de roubo de dados da comunidade de criminosos cibernéticos vai além de dados de contas financeiras para incluir também registros médicos. Embora os números de cartões de crédito e débito possam ser cancelados e substituídos rapidamente, esse não é o caso de informação médicas protegidas (PHI, do inglês "protected health information"), que não mudam.
Essas informações médicas "não perecíveis" podem incluir sobrenomes, nome de solteira da mãe, números de segurança social ou pensão, dados de cartões de pagamento e seguros, bem como históricos de endereços de pacientes. Porém, embora essa dinâmica tenha levado o setor a especular que o preço por registro médico pode subir em breve para competir ou mesmo superar o preço de dados de contas financeiras ou de cartões de pagamento, a pesquisa realizada pela Intel Security em 2016 não indicou esse movimento nos preços.
A pesquisa constatou que o preço médio por registros médicos é maior do que o de informações de identificação pessoal básicas, mas continua sendo inferior ao preço dos dados de contas financeiras pessoais. O valor para dados de contas financeiras ficou entre US$14 e US$25 por registro e, para cartões de crédito e débito, entre US$4 a US$5. Já para os dados de registros médicos, o valor variou entre apenas US$0,03 a US$2,42. Os resultados sugerem que dados de contas financeiras continuam sendo mais rentáveis do que dados médicos pessoais, que podem exigir um investimento que os dados de pagamentos financeiros não requerem. Após roubar um cache de registros médicos, os criminosos cibernéticos provavelmente precisam analisar os dados e talvez cruzá-los com dados de outras fontes até poderem identificar oportunidades lucrativas de fraude, roubo, extorsão ou chantagem. Portanto, os dados financeiros continuam representando uma oportunidade de retorno de investimento (ROI) mais rápido e atraente para os criminosos cibernéticos.
Roubo de propriedade intelectual e dados comerciais confidenciais
A pesquisa também investigou o interesse em roubar a propriedade intelectual e dados comerciais confidenciais de empresas farmacêuticas e de biotecnologia. Os pesquisadores sugerem que o valor econômico dessas informações é consideravelmente maior em relação aos dados de prontuários médicos, cujo valor por registro é de centavos, segundo identificado pelos pesquisadores da Intel Security.
Os pesquisadores da Intel Security encontraram provas de que fórmulas de medicamentos de última geração, resultados de testes com medicamentos e outras informações comerciais confidenciais apresentam um valor significativo. Os repositórios desses dados em empresas biofarmacêuticas, seus parceiros e até mesmo nos organismos governamentais reguladores envolvidos na comercialização de novos medicamentos se tornaram um alvo cotado para os criminosos cibernéticos.
"Como a maioria das coisas no mundo, a espionagem corporativa também se tornou digital", afirma Samani. "Considerando que a pesquisa e o desenvolvimento representam um gasto enorme para esses setores, não deveria ser surpresa que os criminosos cibernéticos se sintam atraídos pelo ROI que podem obter com o roubo desse tipo de dados médicos."
A economia do "crime cibernético como serviço"
A Intel Security também identificou os criminosos cibernéticos que aproveitam o mercado de "crime cibernético como serviço" para executar seus ataques contra organizações de saúde. Os pesquisadores encontraram provas da compra e da locação de explorações e kits de explorações que permitem o comprometimento de sistemas durante violações de dados médicos. Em um dos casos, um ladrão cibernético relativamente leigo comprou ferramentas para explorar uma organização vulnerável, aproveitou suporte técnico gratuito para orquestrar o ataque e extraiu mais de mil registros médicos que, segundo o prestador do serviço, poderiam lhe render cerca de US$15.564.
Os pesquisadores também observaram tentativas descaradas feitas por criminosos cibernéticos, usando anúncios on-line e redes sociais, para recrutar funcionários internos de empresas do setor da saúde com acesso a informações valiosas.
"Quando uma comunidade bem desenvolvida de criminosos cibernéticos ataca um setor menos preparado como o da saúde, as organizações desse setor se desdobram para se proteger contra ameaças antigas em vez das ameaças atuais e futuras", acrescentou Samani. "Quando se trata da segurança cibernética, para estar preparado, é necessário rejeitar paradigmas convencionais e adotar conceitos totalmente novos. Antes, as organizações de saúde atuavam segundo regras tradicionais; agora, elas devem ser o menos previsíveis possível. Antes, elas acumulavam e isolavam informações; agora, as empresas do setor devem ser mais colaborativas. Antes, elas subestimavam a defesa cibernética em geral; agora, devem priorizá-la. Na Segunda Economia, se você ganhar a competição de 'tempo' com os hackers, poderá proteger seu dinheiro e sua reputação."