Allan Costa é Co-CEO da ISH Tecnologia
Na cibersegurança, discute-se muito o tamanho do desafio de proteger os dados de empresas relacionadas a setores críticos da sociedade – são áreas que, sendo atacadas ou não, simplesmente não podem trabalhar com a possibilidade de paralisar as operações por muito tempo por conta de um incidente cibernético. E não há setor que exemplifique melhor isso do que a saúde.
De pequenos consultórios até grandes hospitais, o papel da cibersegurança está ligado tanto à proteção de dados sensíveis como à garantia da continuidade dos serviços. A quantidade de informações coletadas e armazenadas é expressiva, na maioria das vezes incluindo dados que dizem respeito à dignidade das pessoas. A Lei n° 13.787/18, por exemplo, exige que prontuários eletrônicos, diagnósticos de imagem e outros dados confidenciais sejam guardados por até 20 anos – um verdadeiro banquete para os criminosos, e um tremendo desafio de proteger essas informações por tanto tempo.
Vale lembrar também que aqui, um ataque não compromete “apenas” a privacidade dos dados, como pode literalmente colocar vidas em risco – basta pensarmos, por exemplo, numa rede que controla ventiladores mecânicos ou a distribuição de medicamentos sendo sequestrada por um ransomware. Isso mostra como a cibersegurança não é apenas uma preocupação técnica, mas uma responsabilidade ética.
Infelizmente, estudos mostram que o entendimento do tamanho do problema por parte dessas empresas poderia ser maior. Segundo o relatório “Perspectives in Healthcare Security”, 60% das unidades hospitalares pelo mundo ainda tratam o tema da cibersegurança em segundo plano. Para tentar contornar essa realidade, a Organização Mundial da Saúde (OMS) estabeleceu o período de cinco anos para que países adotem uma abordagem segura em meio à saúde digital — prazo que expira em 2025, daqui poucos meses.
Enfrentar esse desafio com medidas mais práticas envolve, por exemplo, abordar a necessidade de camadas de segurança incorporadas aos equipamentos médicos, uma vez que a fragilidade deles, que podem ser mais antigos e legados, é explorada para fins maliciosos. Modernizar esse aparato todo inclui o uso de tecnologias de IA e Machine Learning, que implementam “de partida” a possibilidade de identificar padrões de comportamento suspeitos.
A capacidade de resposta a incidentes é consideravelmente ampliada com esse tipo de tecnologia, uma vez que a identificação precoce de ameaças permite parar ataques antes que eles causem danos. É um volume significativo de dados sendo transmitido, então o uso de criptografia de ponta a ponta nos prontuários eletrônicos e comunicações internas ajuda a garantir que o que é mais sensível transite apenas por equipes autorizadas. Métodos de autenticação multifatorial (MFA), já difundidos em muitos setores, também são chave aqui, reforçando a proteção em ambientes onde há múltiplos pontos de entrada e diferentes dispositivos utilizados por profissionais.
No campo regulatório, e olhando especificamente para a saúde, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, da sigla em inglês), é um documento relativamente antigo, de 1996, mas já serve como um ótimo ponto de partida de boas práticas para padronizar medidas de proteção. Além disso, já temos disponíveis no mercado diversos frameworks de maturidade em cibersegurança, além de normas como a LGPD, que já dão, pelo menos num nível básico, uma rota do que fazer ou não.
As informações circulando dentro da rede de um hospital ou clínica são valiosas e sensíveis demais para serem ignoradas, tanto por criminosos como pelos gestores dessas instituições – de acordo com a Reuters, registros médicos podem ser de 10 a 20 vezes mais valiosos do que números de cartão de crédito. Além de garantir a continuidade operacional, fazer o possível para proteger esses dados é também um ato de responsabilidade com todas as pessoas que depositam nesses lugares a confiança do cuidado com sua vida – e não há chamado para a ação mais importante do que esse.
