A indústria de saúde está no radar dos ataques hackers. Prova disso é que 78% das instituições foram alvo de, ao menos, um incidente de cibersegurança em 2022, de acordo com uma pesquisa global encomendada à Pollfish pela Claroty.
Essa vulnerabilidade é consequência dos desafios que o setor enfrenta: sistemas legados desatualizados em função da escassez orçamentária ou da falta de visibilidade, e maior uso de tecnologias dada a adesão à Transformação Digital, especialmente no pós-pandemia.
São inúmeros os equipamentos em um hospital: tomógrafos, respiradores, computadores, dispositivos de CTI (Centro de Terapia Intensiva), raio-X e robôs-cirurgiões, entre outros que promovem automação e inteligência para garantir menos esforço humano possível e melhores tratamentos.
Ao passo que tudo está on-line e conectado, há muito com o que se preocupar quando se trata de ameaças cibernéticas. Hackers podem invadir sistemas de CTI, por exemplo, e alterar as informações, levando à letalidade do paciente. Por outro lado, os registros médicos, em mãos erradas, podem levar a fraudes relacionadas a prescrições de receitas, divulgações de informações confidenciais e pedidos de resgate.
Além disso, uma vez que os dados de pacientes e/ou funcionários sejam vazados, as empresas estarão sujeitas às multas da LGPD (Lei Geral de Proteção de Dados Pessoais), que podem chegar a R$ 50 milhões. Vale ressaltar que a Lei garante o direito aos detentores dos dados de saber quem os acessou. Dessa forma, as instituições precisam rastrear e disponibilizar essas informações quando solicitadas pelos proprietários dos dados.
Diante desse cenário crítico é preciso que o setor assegure que os dispositivos médicos e os dados sejam protegidos contra as ameaças visando garantir a segurança dos pacientes e funcionários. A realização de uma análise de vulnerabilidade de superfície de ataque em dispositivos que estão voltados para a internet e o discovery dos dados são um bom começo nessa jornada, provendo visibilidade, controle e apontando os riscos e as soluções para prevenção de problemas.
Nesse sentido, no campo de proteção de dados e controle de acesso é fundamental o uso de ferramentas de cibersegurança, como criptografia, anonimização (embaralhamento) e mascaramento dos dados; controle de acesso com autenticação multifatorial (senha combinada com SMS, biometria, e-mail etc) e controle do acesso privilegiado e auditada, ou seja, dar acesso a informações do paciente de acordo com o nível profissional e de forma rastreável, garantindo o registro de logs no momento do acesso, alteração ou eliminação dos dados.
Outra ação é ter uma segmentação dos equipamentos médicos de uma forma segregada da arquitetura de TI convencional. Isso porque muitos equipamentos de TI e saúde estão na mesma rede, e isso precisa ser ajustado para mitigar o risco de um ataque cibernético que interrompa o negócio, impactando diretamente a vida de pessoas que estão em situação de vulnerabilidade. Vale ressaltar também a necessidade de realizar uma micro segmentação dos equipamentos médicos legados que não possuem mais suporte dos fabricantes para coibir as vulnerabilidades.
Por fim, a conscientização de colaboradores por meio de campanhas contra phishing e sobre golpes de engenharia social são medidas extremamente necessárias para o funcionamento eficaz de um projeto de cibersegurança no setor de saúde. Essa capacitação permite que as pessoas possam utilizar melhor e de uma forma mais segura os recursos de tecnologia das empresas, reduzindo drasticamente o perímetro de ataques.
E, independentemente do nível de maturidade de Segurança da instituição de saúde, é importante que tudo isso seja conectado a um SOC – Security Operations Center (Centro de Operação de Segurança) que, por meio de ferramentas de IA, fará o tratamento de vulnerabilidades, coleta e correlacionamento de eventos de segurança e responderá aos incidentes de segurança com o objetivo de recuperar o mais rápido possível o ambiente operacional.
O mercado de saúde foi um dos mais impactados pela Transformação Digital, um aspecto positivo, mas que também gerou impactos negativos na segurança da informação. E, por lidar com informações críticas de pacientes, a necessidade de proteção dos dados passou a ser imperativo do setor para assegurar que, cada vez mais, a sua missão, de salvar vidas, esteja garantida.
Wladimir Bortoletto Nunes, especialista em soluções de saúde e Paulo Sergio da Silva, especialista em cibersegurança. Ambos atuam na SONDA Brasil.
