A pandemia causou um aumento no uso de tecnologia de saúde e soluções digitais de saúde, à medida que as organizações de saúde procuravam maneiras de prestar cuidados com segurança. As consultas remotas tornaram-se a solução para superar as barreiras de acesso ao atendimento presencial.
Devido à Covid-19, a telemedicina foi regulamentada no Brasil, atingindo mais de 7,5 milhões de consultas entre 2020 e 2021. Em meio a essa transição, as soluções de saúde digital ofereceram uma oportunidade para que os cuidados fossem mais adaptados às necessidades dos pacientes e continuarão sendo um importante impulsionador de como serão prestados no futuro. Mas a pressa em implantar esses serviços em grande escala resultou em um conjunto de desafios de segurança cibernética e privacidade negligenciados.
É sabido que a saúde pode ser mais lenta para adotar soluções digitais do que outros setores e enfrenta desafios para gerenciar a tecnologia legada que está em vigor. Isso, combinado com o fato de que organizações de saúde e médicos lidam com dados de pacientes ultra sensíveis e de alto valor, significa que o setor sempre esteve pronto para ataques.
O Brasil registrou um aumento de 40% em ataques de ransomware em 2020 e, devido à criticidade das redes hospitalares, os invasores sabem que muitas organizações de saúde pagarão altos resgates porque simplesmente não podem arcar com qualquer tempo de inatividade da rede que possa resultar em consequências de vida ou morte.
Embora os sistemas e dispositivos legados impliquem em um problema diferente, com uma grande quantidade de provedores de assistência médica globais de linha de frente ainda usando equipamentos médicos com um sistema operacional legado, o que pode criar vulnerabilidades de segurança. A pandemia só fez da saúde um alvo ainda maior. Muitas organizações de saúde ainda se esvaíram como resultado de um aumento no número de pacientes — a TI e a segurança cibernética, compreensivelmente, ficaram em segundo plano devido ao foco adicional que precisava ser colocado no atendimento ao paciente crítico.
Saúde digital e consultas remotas adicionam ainda mais risco e complexidade ao cenário. E enquanto as organizações e prestadores de cuidados estão tentando formalizar rapidamente as melhores práticas, há uma curva de aprendizado íngreme. De fato, 30% dos provedores de telessaúde admitiram que alguns de seus médicos tiveram os dados dos pacientes comprometidos ao realizar sessões remotas de telessaúde. À medida que esse processo se desenrola, os invasores podem muito bem ver uma abertura para explorar possíveis pontos fracos.
Segurança descentralizada
Na Inglaterra, o Nuffield Trust mostrou que 99% dos consultórios passaram a usar plataformas de consulta remota para fazer a triagem de pacientes antes de oferecer a presencial. Mas o maior desafio da ação remota e da saúde digital é descentralizar a rede hospitalar.
Este já era um movimento exigente para garantir um ambiente hospitalar único e centralizado, mas com os pacientes adotando soluções de consulta remota em vários dispositivos, o hospital mudou para “o limite” — e para as casas das pessoas. Essa distribuição e dispersão dificultam as equipes de TI de saúde, pois a superfície de ataque agora é muito mais expansiva. Com novos dispositivos e aplicativos sendo usados em sedes hospitalares, na nuvem e também em residências, há um número significativamente maior de pontos de entrada em potencial para invasores.
Além disso, os pacientes também estão usando seus próprios smartphones, tablets, laptops e roteadores para acessar recursos online do hospital e se comunicar com profissionais de saúde. Esse hardware geralmente não é seguro e os hospitais não têm a visibilidade e o controle necessários para gerenciar e proteger esses dispositivos com eficiência.
Cibersegurança requer rede de usuários
Em última análise, proteger a saúde digital não é apenas uma questão de segurança e operações — para torná-la o mais segura possível, é necessário um ecossistema de parcerias envolvendo profissionais de saúde, fabricantes de dispositivos médicos e pacientes.
Os profissionais da saúde — incluindo a equipe de TI de saúde, mas também CEOs e membros do conselho — devem estabelecer um único ponto de risco, controle e governança. Parte da solução se resume ao básico, como estabelecer visibilidade, garantir uma boa higiene cibernética, priorizar o gerenciamento de ativos e ter planos de remediação sólidos para quando surgirem problemas. Mas, mais importante, também precisamos começar a atrair os médicos para essa conversa sobre segurança cibernética, para que eles possam garantir que praticam práticas de segurança seguras e entendam como podem agir sem saber como vetores de ataque.
Priorizar o desenvolvimento dos órgãos de saúde ajudará a melhorar os serviços. Ao usar dados e recursos digitais, eles poderão desenvolver um plano para atender às necessidades de saúde da população da área — permitindo que eles entendam melhor as prioridades locais, acompanhem a entrega dos planos e impulsionem a melhoria contínua no desempenho e nos resultados.
A escolha do fabricante de dispositivos médicos é outro ponto importante. Os dispositivos de saúde são implementados com a tecnologia de internet das coisas (IoT) — rede de objetos físicos incorporados com tecnologias, como sensores e software, para conectar e trocar dados com outros dispositivos — melhorando os resultados dos pacientes. Dispositivos médicos, como monitores de pacientes ou bombas de insulina, são uma grande parte da tecnologia de saúde. Uma vez que um invasor pode hackear um dispositivo, ele pode se mover lateralmente em uma rede, potencialmente obtendo acesso a informações médicas altamente confidenciais.
É por isso que é tão importante que os médicos examinem os dispositivos que compram e as equipes de TI façam o monitoramento em busca de qualquer movimento suspeito. No futuro, é preciso haver maiores requisitos e regulamentações exigindo que os fabricantes de dispositivos médicos projetem seus produtos baseados em segurança cibernética.
Quanto aos pacientes, há pequenas, mas impactantes ações, que eles podem fazer para tornar a tecnologia de saúde mais segura, como manter-se atualizado sobre como corrigir seus dispositivos, usar autenticação multifatorial e educar-se sobre higiene de segurança cibernética.
No entanto, pode ser difícil incentivá-los a adotar essa postura e assumir a responsabilidade, por isso é importante descobrir uma maneira de envolvê-los nessa conversa, seja fornecendo incentivos de seguro ou apenas tornando a tecnologia mais fácil de usar.
Futuro da tecnologia na saúde
A transição tecnológica resultará em um número maior de oportunidades para fornecedores de tecnologia trabalharem com o setor público, permitindo a implementação de bases digitais e de dados inteligentes para conectar serviços de saúde e assistência médica. Isso transformará completamente os cuidados de saúde para colocar os pacientes no centro.
No geral, a pandemia destacou a necessidade de serviços de tecnologia e reformulou a saúde nos últimos dois anos. Devido aos benefícios da tecnologia de saúde, não é surpresa que ela continue sendo um elemento permanente do nosso sistema de atendimento no futuro. Essa condição garantiu às equipes de saúde a oportunidade de trabalhar de forma flexível e remota, e os pacientes estão mais capacitados para assumir o controle de seus próprios cuidados. No entanto, é fundamental estabelecer e planejar as melhores práticas de segurança cibernética no setor de saúde , para que hospitais e pacientes possam ser protegidos no futuro.
*Felipe Nascimento é diretor de engenharia de soluções da Tanium para América Latina.
