As instituições de saúde foram o segundo alvo preferencial dos cibercriminosos, ficando atrás somente do setor de varejo. É o que mostra o levantamento global de ciberataques divulgado no início deste ano pela Check Point Research. O estudo aponta que os ataques ao setor de saúde cresceram 64% no Brasil, causando diferentes tipos de prejuízos, o que comprova a necessidade de investimentos em governança, privacidade de dados, certificação, gestão de identidade e acesso, prevenção a fraudes e compliance com a Lei Geral de Proteção de Dados (LGPD) e normas regulatórias.
Isso ficou evidenciado durante painel do Fórum Saúde Digital, promovido por este site, em que foram abordados os vários aspectos que envolvem a segurança na área de saúde. Ao enfatizar que a segurança da informação e a cibersegurança são cruciais para o Hospital Sírio-Libanês, o diretor de TI (CIO), digital e inovação, Ailton Brandão, destacou um fato curioso: o aumento dos ataques quando alguma personalidade do meio artístico, político ou empresarial é internada.
Para ele, é fundamental que se tenha preocupação com o ferramental e uma equipe de desenvolvedores, internos ou de parceiros, para verificar as vulnerabilidades, além de backup e restore. Segudo Brandão, é importante também seguir o padrão de proteção de dados da HIPAA [Health Insurance Portability and Accountability Act], lei aplicável no território americano, para verificar se a instituição está com boas ferramentas implantadas, bem como fazer a proteção de endpoints e dispor de uma solução de SIEM para o gerenciamento e correlação de eventos de segurança.
O CIO do Sírio-Libanês ressalta que o elo mais fraco da cadeia de segurança continua sendo o fator humano, daí a importância de se adotar autenticação multifator e ter um programa de conscientização de funcionários e colaboradores. “No caso do hospital isso é muito importante porque muitos médicos que atuam lá trabalham com dados sensíveis e não são funcionários do Sírio”, diz.
A conscientização dos funcionários e profissionais de saúde também é parte da política de segurança do laboratório de medicina diagnóstica Dasa. De acordo com Caroline Rocabado, advogada sênior da Dasa, uma das preocupações centrais da organização é com a privacidade de dados dos clientes. Como a Dasa investe bastante em pesquisa clínica buscando ampliar as opções de tratamentos, novos métodos de diagnóstico e o desenvolvimento de novas tecnologias para aplicação em saúde, ela precisa da participação dos clientes com consentimento. “A empresa tem uma preocupação muito grande com a transparência para que o paciente saiba que existe uma estrutura e uma finalidade de uso do seu dado quando toma a decisão de dar o consentimento”, enfatiza Caroline.
Para Tonimar Dal Aba, technical manager da ManageEngine, a proteção de dados sensíveis do paciente é o ponto central da segurança. Segundo ele, além de garantir acesso seguro a todos os usuários, com privilégios e controle de acesso, é fundamental que se garanta também a disponibilidade, 24 horas por dia, 7 dias por semana, das aplicações e recursos críticos. Para isso, o especialista cita alguns desafios que as organizações, inclusive as do setor de saúde, precisam vencer.
“Além de suportar sistemas legados com atualizações, patches de vulnerabilidades e outras manutenções, as empresas precisam fortalecer a segurança cibernética das suas redes, como ativos de TI e os dados da organização contra ameaças internas e externas”, explica Dal Aba. Ele acrescenta ainda a importância de se garantir a conformidade com regulamentações complexas da área de saúde como HIPAA e HITECH (Health Information Technology for Economic and Clinical Health), que estrutura a forma como se coleta, armazena e usa informações de saúde.
Ao enfatizar que privacidade só existe com segurança, o managing director do AllowMe, Gustavo Monteiro, observa que o hacker hoje não precisa ser superespecializado para realizar uma fraude. “Os fraudadores têm sido cada vez mais criativos e rápidos, trabalhando em conjunto e tentando ganhar escala”, alerta ele, ao dizer que a combinação de ferramentas biométricas com análises de dispositivos e do comportamento do usuário é um dos caminhos mais efetivos para a identificação prévia de possíveis fraudes com mitigação da fricção para os usuários.
“Hoje temos uma relação quase que simbiótica com o celular, que é capaz de nos dar a maioria das respostas que precisamos para dizer se uma transação é ou não legítima. Ao mesmo tempo em que conseguimos coletar informações de contexto, o aparelho funciona também como canal para a captura de dados biométricos caso necessário”, reforçou Monteiro.
No painel, foi consenso entre os especialistas o entendimento de que não há uma solução única de defesa, e que, portanto, é preciso combinar uma série de ferramentas e processos para uma proteção efetiva e uma resposta rápida a eventuais ataques ou tentativas de fraude.