A utilização de tecnologias no ambiente hospitalar traz uma série de benefícios assistenciais e administrativos para as instituições, sem contar as vantagens competitivas diante de um mercado cada vez mais acirrado. No entanto, na mesma velocidade em que a adoção tecnológica aumenta, crescem também os riscos à segurança digital e ampliam-se as vulnerabilidades nas instituições de saúde.
Nos últimos anos, os cibercriminosos passaram a olhar para o setor de saúde e a realizar constantes investidas contra ele. De acordo com um levantamento realizado pela KPMG, 81% dos executivos de organizações ligadas à Saúde afirmaram que suas empresas já sofreram ataques virtuais e apenas metade dos gestores entrevistados se sentia preparado para proteger a instituição de futuros ataques.
Além disso, 39% afirmaram não possuir mecanismos confiáveis em segurança da informação para se prevenir de futuras invasões. Ainda de acordo com o IDC, os gastos globais com cibersegurança aumentarão cerca de 8,3%, movimentando US$ 101,6 bilhões até 2020. Na Saúde, os gastos em segurança da informação devem crescer 10,3%, índice maior que a de qualquer outro setor.
Os motivos para aumentar os mecanismos de segurança para evitar, ou reduzir, os estragos feitos em um ataque vão muito além de proteger somente as informações do paciente. Em artigo publicado, o CIO do Hospital Adventista de São Paulo, Fábio Carvalho, faz as seguintes reflexões: sabemos dos riscos que corremos? Nossos dados estão protegidos? Nossa ferramenta de DR é confiável?
“Quando falamos em Data Center, pensamos em backup e proteção dos dados, e é um desconforto pensar em perder os dados, segredos industriais ou até mesmo ter os dados criptografados”, reflete o CIO. Ainda de acordo com o executivo, estas são preocupações que permeiam 24 horas na mente dos profissionais de TI.
Por mais críticas que sejam as violações capazes de expor as informações do paciente na rede, outra questão, ainda pouco contemplada pelas unidades de saúde, surge e pode ser consideravelmente mais “grave” à vida do paciente.
Em 2015, o pesquisador americano de segurança, Billy Rios, apontou uma vulnerabilidade em bombas de infusão que permitiriam a hackers alterarem o sistema e controlarem a dosagem dos medicamentos. O problema foi encontrado nos equipamentos produzidos pela norte-americana Hospira, adquirida Pzifer também em 2015. O incidente foi reportado pelo site de tecnologia Wired.
Na época, a farmacêutica teria alegado que não há possibilidades de uma violação desse tipo por não haver conexão entre o módulo de comunicação, que é ligado à rede do hospital, e a placa que controla o equipamento. Porém, essa afirmação, explica Rios, é falsa. “Há um cabo interno que liga a máquina ao módulo de comunicação. Não é um cabo de rede, mas um cabo serial. Apesar disso, a conexão ainda é possível”, explica.
Em setembro de 2017, o FDA, órgão regulador do setor de saúde nos EUA, emitiu a notificação para os consumidores norte-americanos alertando que 465 mil marcapassos estão vulneráveis a cyberataques e precisavam de atualização de software.
Os dispositivos vulneráveis foram produzidos pela Abbott (anteriormente chamada St. Jude Medical), e a vulnerabilidade identificada pela agência norte-americana não está propriamente nos marcapassos, mas sim nos transmissores que enviam as informações cardíacas do paciente para uma plataforma em nuvem que pode ser acessada por médicos. Essa conexão entre os dispositivos permitiria, por exemplo, que um hacker esgotasse a bateria do dispositivo ou alterasse o batimento cardíaco do usuário.
Essa não foi a primeira vez que uma falha de segurança nos equipamentos da multinacional foi notificada. Em 2016, foram identificadas vulnerabilidades nos sistemas de marcapassos e desfibriladores da St. Jude Medical Inc., após um paciente, Muddy Waters, contratar uma empresa de segurança para testar a segurança de seu marcapasso. Indignada com o ato, a St. Jude negou os fatos afirmando que seus sistemas eram seguros e processou Waters.
O CIO do Hospital Adventista também alerta que outros dispositivos ligados à rede das instituições de saúde correm riscos semelhantes. Alterações das informações dos monitores multiparamétricos de um paciente na UTI, oximetria, por exemplo, podem levar o paciente a uma intubação desnecessária. “Podemos pensar na mudança de inclinação de camas conectadas suportando pacientes bariátricos recém operados, elevação drástica de potência da incidência radiológica provocando danos ao paciente. Podemos passar horas enumerando situações nas quais uma simples falha de segurança pode causar enormes danos à vida”, acrescenta.
De acordo com CEO da Aker, empresa especializada em segurança da informação, Rodrigo Fragola, um hospital não deixa de ser uma empresa como outra qualquer, e a primeira coisa que a instituição precisa ter em mente é que TI não é um custo, mas um investimento, ela faz parte do core business do hospital.
“É importante discutirmos segurança tendo em mente que a TI é uma área estratégica para a organização, caso contrário ela continuará sendo feita à moda antiga. Este é o primeiro ponto fundamental e que deve ser levado em consideração quando falamos sobre segurança”, pontua Fragola.
Ao contrário de grande parte das empresas de outros segmentos, o setor de saúde, principalmente os hospitais, trabalham com uma mão de obra extremamente qualificada, onde a maioria da equipe possui nível superior e tem alta aderência à novas tecnologias.
Os impactos desse perfil no ambiente hospitalar, onde há uma concentração de hard users, aliados à departamentos dependentes de tecnologia como a radiologia, operando equipamentos e sistemas de RIS e PACS, por exemplo, é que em muitos projetos ou aquisição de novos dispositivos acabam não consultando ou envolvendo a TI nos processos de aquisição de tecnologia.
Outra peculiaridade apontada pelo CEO da Aker, e que pode influenciar no nível de segurança, é a implementação dos processos de segurança. “Quando você chega com uma política de segurança para ser aplicada em um ambiente onde existem grupos coesos e com muita força, há um desafio muito grande em implementar essas políticas. É preciso trazer esses profissionais para o processo de segurança.”
Segurança e IoT
A nova tecnologia que surge como a menina dos olhos para as empresas de saúde é a Internet das Coisas (IoT). Segundo Fragola, este pode ser considerado um ponto de falha absurdo em relação a segurança. Os hospitais já têm uma entrada razoável de dispositivos conectados como a digitalização de imagens diagnósticas, de registros médicos e dispositivos de monitoramento, ou os implantados no paciente. “Agora, o hospital passa a entrar em uma seara de antecipação dos problemas do mercado de IoT.”
O executivo explica que o problema desse mercado de IoT é que a conectividade dos dispositivos é geralmente feita por empresas que não tem know-how na parte de comunicação, logo não geram as correções que precisam ser realizadas, como os procedimentos de segurança necessários. “O fundo do poço para a segurança pode ser infini-
to. Uma empresa pode gastar milhões de reais e o nível de segurança pode não aumentar muito. Segurança não pode ser tratada como um projeto, ela é um processo contínuo e que dificilmente terá um fim”, alerta o executivo que também destaca a necessidade de as organizações do setor de saúde desenvolverem planejamentos de segurança em médio e longo prazo.
Matéria publicada na 11ª edição da Revista Health-IT.
