Como o setor de healthcare pode se proteger?
Em 2016, uma onda de ciberataques em massa paralisou as atividades de pelo menos 16 hospitais na Inglaterra, além de deixar dezenas de outros funcionando apenas com papel e caneta. Também no mesmo ano, um hospital em Washington foi afetado por um ataque hacker de proporções tão imensas que houve a necessidade de transferir os pacientes para outra unidade de saúde. Mas a expectativa é que os ataques à segurança de dados na saúde não parem por aqui. Para deixar essa questão mais clara, vale a pena lembrar o conteúdo de um relatório recente da Palo Alto Networks (órgão especializado em segurança da informação), que colocou a área da saúde como o principal setor na mira dos hackers em 2017. Com sistemas de multinacionais e instituições financeiras à disposição dos cibercriminosos, o que faz da medicina uma área tão atraente? A resposta está tanto na natureza dos dados armazenados quanto no baixo volume de investimentos tradicionalmente feitos em matéria de segurança de dados. Pensando nesse problema, eis algumas recomendações de especialistas em segurança de TI em saúde para descobrir o que é preciso fazer para mitigar os riscos em sua instituição.
Criptografia
Segurança da informação na gestão hospitalar é o grande Calcanhar de Aquiles do setor. O problema é que as instituições de saúde costumam ser uma das que mais demoram para atualizar sistemas e implementar tecnologias de proteção a dados sigilosos. Para piorar, o imenso volume de senhas de cartões de crédito, além da diversidade de relatórios médicos passíveis de sequestro, fazem da área médica a que, disparado, possui o melhor custo-benefício nas tentativas de intrusões. Muitos gestores ainda não perceberam que segurança de dados na saúde é coisa séria. Quem atua na área hospitalar deve se lembrar do icônico roubo de dados na Community Health Systems (CHS), grupo que administra 198 hospitais nos Estados Unidos. Em 2014, uma simples falha em um software de criptografia levou ao mercado negro informações de 4,5 milhões de pacientes, deixando nas mãos de estelionatários dados como senhas de cartões de crédito e diagnósticos. Foi o primeiro caso de grande vulto em invasões a sistemas de saúde. Para prevenir esse tipo de violação a sistemas hospitalares, é preciso implementar soluções de gestão em saúde dotadas de ferramentas criptográficas de alto impacto, que protejam os dados durante o tráfego e armazenamento. É necessário abandonar também a burocracia das assinaturas manuscritas (de fácil adulteração), em nome da proteção extrema da certificação digital (vale lembrar que uma simples tentativa de inserção de dados em um relatório médico assinado digitalmente é suficiente para invalidar por completo a firma aposta anteriormente).
Confidencialidade
Muitas vezes, a vulnerabilidade não está no sistema, mas nos protocolos de segurança de dados na saúde. Quem pode nos testemunhar sobre isso é a Prefeitura de São Paulo, que em 2016, por pura negligência, deixou aberto ao público dados registrados entre 2001 e 2007 de mais de 350 mil pacientes. Com uma simples busca no Google, e sem que houvesse a necessidade de login, era possível visualizar CPF, nome completo dos pacientes atendidos, além de informações detalhadas sobre o quadro clínico de gestantes, como nuances do parto (prematuro ou não), grau de risco da gravidez, eventual má formação no feto, entre outros dados sigilosos. A exposição desses relatórios choca-se frontalmente com os ditames da Portaria nº 1.820/2009 do Ministério da Saúde, que determina no artigo 5º, inciso II, o sigilo e a confidencialidade de todas as informações pessoais, mesmo após a morte, salvo nos casos de risco à saúde pública. Antes de falar em tecnologia, quem quer gerir uma instituição modelo em segurança de dados na saúde deve elaborar um protocolo de procedimentos em gestão da informação, de forma a preservar a privacidade do conteúdo de acordo com o disposto no artigo 1º da Resolução CFM nº 1.605/2000 (o médico não pode revelar o conteúdo do prontuário ou ficha médica do paciente, exceto se houver sua autorização).
Virtualização
Muitos roubos de dados ocorridos na área médica têm origem em vulnerabilidades presentes nos datacenters centralizados (quando a empresa prefere manter sua infraestrutura de servidores locais ao invés de buscar soluções em nuvem, que são providas de recursos de proteção de dados especiais). Manter um datacenter exige espaço físico, além do devido rigor no controle de acesso (biometria e sensor de presença, por exemplo); determina também manutenção periódica, refrigeração adequada do ambiente, entre muitas outras variáveis, que se não seguidas rigidamente, podem tornar o conteúdo armazenado passível de visualização ou até mesmo de danos/exclusão. Em função dessas questões críticas à segurança de dados na saúde, é imprescindível recorrer à virtualização de servidores por meio de empresas que tenham conhecimento em infraestrutura de TI em nuvem. Esse tipo de solução, quando provida por fornecedores especializados, é integrada a recursos de proteção de dados como backups automáticos, rede privada e firewall exclusivo a cada cliente, fortalecendo a confidencialidade de relatórios médicos, diagnósticos, exames de imagem, além de informações armazenadas em dispositivos wearables (como holters). Esse tipo de aparato é fundamental para manter intacta a credibilidade de sua instituição.
Protocolo
Segundo um levantamento feito pela KPMG em 2015, 81% dos executivos do setor de healthcare confessaram que suas empresas já foram comprometidas ao menos uma vez com malwares nos últimos dois anos. A manutenção de sistemas legados desatualizados é uma das razões para esse volume intenso de ataques. Segurança digital hospitalar começa com a adoção de um Prontuário Eletrônico do Paciente (PEP), que além de centralizar os dados médicos de cada atendimento (histórico completo), facilita o alcance de acreditações de prestígio no setor, como HIMSS (Health Information and Management Systems Society), ligada às boas práticas de TI em saúde. Esse tipo de ferramenta possui diversos recursos de segurança de dados na saúde, como criptografia dos documentos redigidos, vigoroso sistema de hierarquia de permissões de acesso, autenticação de dois fatores, entre outros instrumentos de proteção. Como hoje em dia quase todos esses sistemas são alocados em nuvem, backups automáticos e gerenciamento 24 horas também estão presentes entre os recursos de segurança.
Nunca como antes o Juramento de Hipócrates (“aquilo que, no exercício ou fora do exercício da profissão e no convívio da sociedade, eu tiver visto ou ouvido, que não seja preciso divulgar, eu conservarei inteiramente secreto”), onde os médicos declaram praticar seu oficio honestamente, foi tão atual. Em tempos de violações a prontuários médicos, manter a confidencialidade não é tarefa simples. Dessa forma, é preciso recorrer às inovações em segurança digital para gestão hospitalar, além de treinar a equipe permanentemente para evitar usos inadequados das informações.
Veja mais notícias sobre Tecnologia.
Comentários: