No mundo em que vivemos hoje, a segurança digital tornou-se uma preocupação crítica em todos os setores, especialmente na área da saúde. Equipamentos médicos e sistemas hospitalares agora estão conectados à internet para melhorar o atendimento e a eficiência, mas a modernização dos processos também traz riscos. As crescentes ameaças exigem uma mudança de posicionamento ao segmento, com mais investimentos em cibersegurança e prevenção de fraudes.
A interface entre tecnologia e o corpo humano é uma realidade, seja quando falamos de wearables que já acompanham a rotina de muitos até mesmo os testes do chip cerebral da Neuralink, do Elon Musk. Infelizmente, relatos de casos de invasões cibernéticas a equipamentos de saúde – como bombas de infusão, monitores cardíacos, e até mesmo dispositivos de suporte à vida – também se tornaram frequentes. Além da violação da privacidade dos pacientes, as ações podem ter consequências ainda mais graves, uma vez que um aparelho comprometido pode ser manipulado remotamente para causar danos sérios ou até mesmo morte.
Com ataques variados, dos tipos Ransomware, Phishing, Malware, DDoS, entre outros, hackers também têm prejudicado os atendimentos em instituições de saúde. Em janeiro deste ano, por exemplo, o Instituto Nacional do Câncer (Inca), vinculado ao Ministério da Saúde, chegou a suspender sessões de radioterapia por conta de uma invasão ao sistema. O serviço foi normalizado três dias após o incidente, que obrigou o Inca a desligar todos os computadores e a fazer registros manuscritos durante o período.
Outra frente utilizada pelos fraudadores é aplicar golpes financeiros direcionados, com base em informações obtidas em prontuários ou bases de dados governamentais. Documentos pessoais, endereço, detalhes sobre situação de saúde e acesso a benefícios sociais são alguns dos dados importantes que podem cair em mãos erradas. Os criminosos podem se aproveitar de situações de fragilidade de pacientes e familiares ao se passarem por representantes de hospitais e outras organizações de saúde.
Para elevar a segurança, é fundamental a adoção do modelo Zero Trust, ou Confiança Zero. Trata-se de um conceito criado em 2010 por John Kindervag, considerado um dos maiores especialistas em segurança cibernética do mundo, em que se assume que todas as máquinas, usuários e servidores podem não ser confiáveis. Por isso, na política Zero Trust, são exigidas verificações constantes de identidade e autorizações para cada interação, mesmo dentro da rede própria.
A gestão de identidade digital é essencial para a implementação bem-sucedida do Zero Trust. Uma aplicação prática é demandar autenticação multifatorial para determinados acessos, o que pode incluir validação contínua de reconhecimento biométrico. Por meio da centralização de dados, é possível monitorar as atividades dos usuários para detectar atividades suspeitas ou não autorizadas.
As organizações de saúde ainda podem aplicar controles de acesso granulares, concedendo permissões específicas com base nas funções e responsabilidades de cada profissional. Isso significa que cada usuário terá acesso apenas às informações e recursos necessários para realizar suas tarefas, reduzindo o risco de exposição indevida de dados confidenciais. Isso dificulta invasões que tomem posse do sistema como um todo.
A cibersegurança requer uma atuação multidisciplinar dentro das organizações de saúde e fabricantes de equipamentos médicos, afinal o potencial de danos envolve a vida humana, em última instância. Neste cenário, a gestão da identidade digital é mais uma camada que deve ser adicionada aos investimentos para a mitigação de golpes e exposições de dados sensíveis. Um onboarding cauteloso e a atualização regular da jornada do usuário são medidas consideradas simples, com baixo impacto de desenvolvimento, mas que podem auxiliar no incremento da confiança nas relações de maneira efetiva.
Danilo Barsotti, CTO da idwall.
