Durante a pandemia, hospitais, clínicas e outras instituições da área da saúde, públicas e privadas, tiveram forte impacto da digitalização. Porém, a mudança dos serviços para o mundo virtual não foi acompanhada por investimentos em infraestrutura e segurança, o que deixou o setor de saúde à mercê de ciberataques. Dados pessoais armazenados pelas empresas do segmento passaram a ser alvo principal de hackers, colocando em risco até a vida de pacientes.
Segundo o relatório anual da Apura Cyber Intelligence, em 2021, a área da saúde foi a terceira mais atacada no Brasil por ransomware, ficando atrás apenas de governo e indústria. “Até então, as empresas de saúde não se sentiam alvos por não lidarem com dados bancários, porém, as informações de um paciente não mudam nunca e podem nutrir detalhes para golpes ainda maiores do que um desvio do saldo bancário. E por que esse dado no mercado vale mais do que de cartão de crédito? Porque ele permite que você faça fraudes muito maiores do que realizar uma compra na internet ou um empréstimo. A partir do dado pessoal do paciente, é possível fraudar seguro de vida, por exemplo, com valores muito maiores do que um roubo de cartão. Em média, dados referentes ao histórico médico de um paciente valem, na dark web, em torno de 50 vezes mais que dados bancários”, explica Alexandre Sgarbi, diretor da consultoria de negócios Peers Consulting.
Para o consultor, a enorme cadeia de negócios envolvidos na saúde, desde rede farmacêutica até hospitais, torna o setor ainda mais frágil. “Já existem casos de hackers conseguirem o contato de fornecedores de saúde de medicamentos do hospital, por exemplo, fraudar a compra desse medicamento e vender como droga no mercado negro. Há muito espaço para novos crimes cibernéticos no mercado da saúde, pois é algo muito recente”, conta Sgarbi, complementando que ataques a equipamentos de saúde podem prejudicar o tratamento de pacientes e colocar a vida deles em risco.
O último caso foi no sistema do Ministério da Saúde, que sofreu um ataque em dezembro do ano passado e uma tentativa no último mês. Em dezembro, o ataque cibernético derrubou a maior parte dos sites da rede do ministério, incluindo o Conecte SUS com dados de vacinação da população. Outras informações, como remédios recebidos por meio de programas de farmácia popular, registros de internações e atendimentos pelo serviço público de saúde, também se tornaram indisponíveis.
Ausência de regulamentação no Brasil
Pela alta exposição a ciberataques, os Estados Unidos possuem certificações para segurança da informação na saúde. A HIPAA (Health Insurance Portability and Accountability Act) é uma lei estrangeira aplicável no território americano, que deve ser cumprida pelas empresas do segmento de saúde para proteção dos dados. No Brasil, a lei mais próxima que existe é a Lei Geral de Proteção de Dados (LGPD).
O Congresso também reconheceu em fevereiro deste ano a proteção de dados pessoais como direito fundamental do ser humano, tornando-a cláusula pétrea da Constituição Federal. No entanto, a adequação das empresas à LGPD ainda é lenta no país, mesmo com penalidades que podem abocanhar até 2% do faturamento anual da empresa.
Diante disso, a resolução nº 2 da Autoridade Nacional de Proteção de Dados (ANPD), editada em janeiro deste ano, buscou reduzir os custos de adequação à LGPD aos chamados ‘agentes de tratamento de pequeno porte’, como microempresas, empresas de pequeno porte e startups. A flexibilização, porém, exige uma atenção ainda maior ao investimento em segurança digital, já que um ataque traz prejuízos não só financeiros, como de reputação.
“Daqui para a frente, com o mundo cada vez mais digitalizado, será importante que as empresas tenham segurança não apenas física, mas digital. Há muitos ataques para obtenção e sequestro de dados. A legislação concede os dados para a pessoa física, cabendo à empresa a guarda e proteção. Todos precisam se profissionalizar na questão da cibersegurança”, ressalta Bruno Bueno, do escritório Barros Pimentel Advogados.
Para reduzir os riscos, é preciso unir capacitação profissional e tecnologia. Os especialistas recomendam um plano de conscientização com funcionários e colaboradores para que defendam a empresa e, por meio de políticas de uso de e-mails, troca de senhas e compartilhamento de informações, ajudem a evitar os ataques.
“É só uma questão de tempo para uma empresa sofrer um ciberataque. São vários hackers tentando invadir e, por mais que haja uma equipe de TI, não é o suficiente para enfrentá-los. Por isso, é essencial ter equipes engajadas, sistemas que protejam os dados e restabeleçam a operação rapidamente. Os processos devem ser permanentes, as pessoas treinadas e as tecnologias implementadas de forma inteligente”, reforça Alexandre Sgarbi, da Peers.
Sistemas certificados
Outro ponto de atenção é quanto ao entendimento dos padrões de cibersegurança, que vão muito além dos controles internos. “O que muitas empresas de saúde não têm se atentado é sobre fazer checagem periódica também junto aos seus fornecedores de tecnologia, buscando as melhores práticas para corrigir possíveis riscos. Não basta os canais da empresa estarem seguros, é preciso que o alto nível de segurança também seja uma prática em todas as entregas de fornecedores. Um exemplo é a utilização de softwares com código fonte não proprietários ou sob questionamento ou disputa jurídica. O simples fato de um usuário não trabalhar com a versão mais atualizada de um programa pode levar a vulnerabilidades.
Outro bom exemplo que mostra este contexto aconteceu nos EUA com a Microsoft. Um usuário teve seus dados invadidos e levantou processo contra a empresa, pois sua conexão se dava sempre através dos programas da empresa. O usuário perdeu o processo quando a Microsoft conseguiu provar que o indivíduo não executou as atualizações recomendadas, explica Lucas Paglia, DPO (data protection officer) e sócio fundador da P&B Compliance. O especialista também é presidente do Comitê de LGPD da Rede Governança Brasil.
Com a aceleração da digitalização da saúde, cada vez mais dados valiosos circulam pelas mais de 500 healthtechs existentes no país. Com mais de 20 anos de existência, a Bionexo é uma referência também em segurança da informação. A empresa que conecta em suas soluções 2.300 instituições de saúde a mais de 30.000 fornecedores, tem investimentos recorrentes e crescentes em segurança de dados; somente entre 2021 e 2022, o investimento destinado à segurança da informação praticamente dobrou de um ano para o outro.
O mais recente investimento da companhia está na tecnologia de planejamento automatizado de suprimentos, apontado pelo mercado como um dos maiores desafios da gestão da saúde. Com o objetivo de fortalecer a proteção de dados sensíveis, a Bionexo investe no desenvolvimento e aquisição de software para ter uma tecnologia 100% proprietária. A companhia adquiriu todos os direitos do módulo de planejamento que pertencia à empresa Funcional Health Tech. Trata-se de uma tecnologia utilizada para auxiliar no planejamento e gestão de estoque, um sistema que conecta diversos agentes da saúde.
“Em softwares não licenciados, como não há garantias e atualizações, é possível identificar mais de 2.500 vulnerabilidades nos chamados pentests (ou testes de intrusão), que são capazes de avaliar a segurança de um sistema computacional ou de uma rede, simulando um ataque de uma fonte maliciosa. Por meio do Pentest é possível detectar vulnerabilidades em sistemas. Já em um software licenciado, como o Código Fonte que adquirimos, os testes chegaram a ‘zero’ vulnerabilidade”, afirma André Ceron, diretor de infraestrutura e segurança da Bionexo.