Nos tempos modernos, a interconexão global e a crescente dependência da tecnologia digital moldaram profundamente a paisagem dos negócios. No entanto, junto com os benefícios da digitalização surgem desafios significativos, com a segurança cibernética emergindo como uma questão crucial para a estabilidade e continuidade das empresas. O recente ataque à Change HealthCare nos Estados Unidos ilustra como uma brecha na segurança digital pode desencadear impactos devastadores em setores vitais, como o da saúde.
Este artigo explora os complexos entrelaçamentos entre cibersegurança e negócios, destacando a necessidade premente de priorizar estratégias de proteção digital em todas as fases operacionais. Em um mundo onde a digitalização é inexorável, a ausência de medidas robustas de segurança cibernética equivale a um tiro no escuro para as empresas, expondo-as a riscos que podem comprometer sua reputação, finanças e até mesmo sua sobrevivência no mercado competitivo.
Sem cibersegurança, os negócios estão em risco
Entre o dia 21 de Fevereiro e a primeira semana de Abril de 2024, cerca de metade dos hospitais, clínicas e serviços de diagnóstico dos Estados Unidos tiveram um grande problema: eles não conseguiam receber os pagamentos pelos serviços prestados. A razão é que, justamente em 21 de Fevereiro, a empresa Change HealthCare, especializada no processamento de transações financeiras do setor, sofreu um ataque de ransomware e precisou tirar de operação mais de cem serviços online. Infelizmente a empresa é a maior processadora de transações do setor de saúde dos EUA, tratando cerca de 15 bilhões de transações anualmente – metade de todas as cobranças dos prestadores de serviços de saúde dos EUA.
Assim, pagamentos, recebimentos, reembolsos, autorizações de exame, solicitações, marcação de consultas, emissão de receitas – tudo foi prejudicado. Numa pesquisa feita com mil hospitais na primeira semana de Março, a American Hospital Association (AHA) descobriu que um terço deles perdeu metade da receita financeira por causa do ataque. E 74% relataram impactos diretos no cuidado com os pacientes.
Impacto nas finanças e no atendimento
O impacto financeiro foi sentido em nada menos do que 94% dos hospitais pesquisados, segundo o relatório da AHA. E não foi só isso: uma quantidade enorme de farmácias não podia sequer entregar remédios aos pacientes, porque o sistema da Change deixou de exibir as receitas dos médicos. Muitas clínicas não tinham dinheiro para cobrir a folha de pagamentos de Fevereiro.
Para alguns especialistas, o incidente com a Change HealthCare foi o mais perturbador já registrado na infraestrutura crítica dos EUA: a duração do intervalo de inatividade da Change HealthCare pode não ser considerada excepcional, mas os seus impactos de longo prazo são considerados extraordinários. E agora o cenário pode piorar, porque o assunto já chegou à Justiça: existem mais de 20 ações contra a controladora da Change, que é o UnitedHealth Group.
O alcance desse incidente pode ser considerado uma demonstração do grau de digitalização de um setor que é não somente estratégico quanto crítico. Um setor tão importante e estratégico quanto o financeiro, o logístico e tantos outros que – mesmo operando sob o constante risco cibernético – beneficiam pessoas, empresas, governos, cidades e outras organizações, com velozes plataformas digitais. Quem conheceu o sistema bancário brasileiro operando com base em papel e transporte físico de documentos não pode deixar de valorizar os instrumentos financeiros modernos como as transferências instantâneas proporcionadas pelo sistema Pix, por exemplo, ou as transferências internacionais de dinheiro, que ocorrem em segundos nas diversas plataformas. São indiscutíveis as vantagens da digitalização dos processos em todos os setores da sociedade.
Porém, a digitalização bem feita precisa estar acompanhada da cibersegurança desde a fase de projeto, para que aspectos fundamentais como a competitividade, o crescimento e a própria continuidade dos negócios não sejam prejudicados por uma falha ou por uma ameaça externa.
Não se pode acusar sem comprovar
No caso da Change HealthCare, o fato de o ataque cibernético ter grande amplitude e consequências para a economia americana fez com que várias investigações fossem iniciadas. Elas estão sendo feitas não só por iniciativa da própria empresa (que precisa dar respostas aos clientes e acionistas) como, também, de organizações policiais e do governo federal. Algumas precisarão dizer se a empresa foi previdente e usou a cibersegurança suficiente. Mas até que elas estejam concluídas, ninguém pode acusar a empresa de qualquer negligência.
Poucos incidentes cibernéticos indicaram, com tanta evidência, a conexão da segurança cibernética com os negócios e a sua importância para a continuidade deles: a invasão dos servidores e dos sistemas não só interrompeu relações econômicas entre milhares de prestadores de serviços médicos, como abriu uma brecha na reputação da empresa e em seu caixa. Pior ainda: seus concorrentes entraram em cena para atender o setor, ajudando prestadores de serviços de saúde que não conseguiam enviar suas faturas, numa demonstração de como a perda de mercado também faz parte das consequências de um ataque cibernético.
Embora os administradores das empresas – desde as gerências até os conselhos – não cheguem a um consenso sobre a hierarquia apropriada ao gestores de segurança da informação (os chief information security officers e outras nomenclaturas), fatos como esse mostram uma irrecorrível necessidade de trazer as discussões sobre o risco cibernético para as diretorias e conselhos. Não é mais possível ignorar que esse tipo de risco, mal administrado, pode ter consequências irreversíveis para a continuidade dos negócios.
Um tiro no escuro
Infelizmente, mesmo com essas evidências sobre a importância da segurança cibernética e dos seus gestores, ainda são poucas as diretorias e conselhos onde existe uma cadeira para um especialista em cyber: na maioria das micro, pequenas e médias empresas, esse especialista está dentro da estrutura de TI e subordinado ao CIO. Ou seja, não há garantia de que a alta administração receba as informações diretamente dele.
Apesar dessa situação, as pesquisas e estatísticas feitas no mundo inteiro sobre o assunto têm mostrado uma evolução na maturidade cibernética, ao mesmo tempo em que a digitalização das empresas se acelera: em todas os diretores e acionistas sabem que os negócios dependem – em variados graus – de sistemas que não podem parar. Sabem, também, que não podem abrir mão de tornar a empresa cada vez mais digital.
Em outras palavras: a digitalização é inexorável. Mas sem a proteção da segurança cibernética, ela é um vôo noturno sem instrumentos.