Ataque de Ransomware à ChipSoft Expõe Dados de Pacientes Holandeses

Ataque de Ransomware Atinge o Coração dos Registos de Saúde Holandeses

Um significativo ataque de ransomware à ChipSoft, um dos fornecedores de software de registos eletrónicos de pacientes mais utilizados nos Países Baixos, gerou um enorme impacto no setor de saúde holandês. Pelo menos uma dúzia de hospitais já apresentou notificações à Autoridade de Proteção de Dados holandesa (AP), e os investigadores ainda estão a trabalhar para determinar a extensão total da violação.

A escala da potencial exposição é considerável. A plataforma HiX da ChipSoft é utilizada por aproximadamente 70% dos hospitais holandeses para gerir registos eletrónicos de pacientes. Isso significa que um único ataque a um fornecedor de software pode ter efeitos em cascata em grande parte da rede hospitalar do país, potencialmente afetando os dados pessoais e médicos de milhões de pacientes.

Que Dados Podem Estar em Risco

Os registos eletrónicos de pacientes contêm algumas das informações pessoais mais sensíveis que existem: diagnósticos, históricos de tratamentos, detalhes de medicação, números de identificação e informações de contacto. Quando um ransomware infiltra um sistema que gere este tipo de dados, os riscos vão além de uma perturbação temporária.

As investigações estão atualmente centradas em determinar se o tráfego de dados foi intercetado durante o ataque. Esta é uma questão crítica. O ransomware nem sempre se limita a bloquear sistemas e exigir pagamento; cada vez mais, os atacantes exfiltram dados antes ou durante a encriptação, obtendo assim alavancagem para esquemas de dupla extorsão. Se os dados foram intercetados em trânsito, isso pode significar que os registos foram copiados e removidos de ambientes seguros na sua totalidade.

Os hospitais que dependem do software da ChipSoft encontram-se agora na difícil posição de notificar os reguladores enquanto, simultaneamente, tentam perceber o que foi eventualmente roubado. De acordo com as regras do RGPD europeu, as organizações devem comunicar as violações de dados às autoridades de supervisão no prazo de 72 horas após tomar conhecimento das mesmas, e podem também ter de informar os indivíduos afetados, consoante a gravidade do risco.

Por Que Razão o Setor da Saúde É um Alvo Prioritário para o Ransomware

O setor da saúde tornou-se uma das indústrias mais frequentemente visadas por ataques de ransomware a nível mundial. Há várias razões para isso. Os registos médicos têm um valor elevado nos mercados clandestinos porque contêm uma combinação rica de informações pessoais e financeiras. Os hospitais também operam sob uma pressão intensa para manter os sistemas em funcionamento, o que pode torná-los mais propensos a pagar resgates rapidamente para restaurar o acesso.

Os ataques à cadeia de fornecimento de software, em que os criminosos visam um fornecedor utilizado por muitas organizações em vez de atacar cada organização individualmente, multiplicam de forma significativa o dano potencial. Ao violar uma empresa como a ChipSoft, os atacantes ganham uma posição que se estende por toda a rede de clientes que dependem desse software. Esta abordagem é eficiente para os atacantes e devastadora para as organizações e os indivíduos que sofrem as consequências.

Os Países Baixos não são um caso isolado. Os prestadores de cuidados de saúde em toda a Europa e América do Norte enfrentaram incidentes semelhantes nos últimos anos, e a tendência não dá sinais de inversão.

O Que Isto Significa Para Si

Se é paciente num hospital holandês que utiliza o software HiX da ChipSoft, os seus dados médicos e pessoais podem ter sido expostos. Eis o que deve considerar fazer:

• Fique atento a notificações. Os hospitais afetados pela violação são obrigados a informar os pacientes caso os seus dados tenham sido envolvidos. Esteja atento às comunicações oficiais do seu prestador de cuidados de saúde.
• Esteja alerta para tentativas de phishing. Após uma violação de dados, os atacantes utilizam frequentemente informações roubadas para criar e-mails ou chamadas telefónicas de phishing convincentes. Desconfie de contactos não solicitados que afirmem ser do seu hospital ou seguradora.
• Conheça os seus direitos junto da AP. Ao abrigo do RGPD, tem o direito de solicitar às organizações informações sobre os dados que detêm sobre si e sobre como foram tratados. A Autoridade de Proteção de Dados holandesa é o organismo competente caso tenha preocupações sobre a forma como os seus dados foram geridos.
• Compreenda os limites do que pode controlar. Quando os seus dados são detidos por um terceiro, como um hospital ou o seu fornecedor de software, tem um controlo direto limitado sobre a sua segurança. Isso torna ainda mais importante que as instituições cumpram a sério as suas obrigações em matéria de proteção de dados.

Para as organizações de saúde e os administradores de TI, esta violação é um lembrete de que a gestão do risco associado a fornecedores é fundamental. Depender de uma única plataforma em grande parte de um sistema de saúde nacional cria um risco de concentração. Auditorias de segurança regulares, planeamento de resposta a incidentes e garantir que os dados em trânsito estão encriptados são requisitos de base, e não extras opcionais.

O incidente com a ChipSoft ainda está sob investigação, e o quadro completo dos dados afetados pode demorar semanas a ser apurado. Os pacientes merecem uma comunicação atempada e transparente por parte das instituições em quem confiam as suas informações mais sensíveis. Reguladores, hospitais e fornecedores de software têm todos um papel a desempenhar para garantir que esse padrão é cumprido.