No cenário cada vez mais digitalizado do ambiente médico, a implementação de agentes e componentes eletromédicos sensíveis apresenta desafios significativos em termos de segurança cibernética. A complexidade é tal que a própria ANVISA (Agência Nacional de Vigilância Sanitária) adverte contra a instalação de dispositivos que possam comprometer a eficiência dos sistemas originais. Este é apenas o começo de uma série de dilemas que permeiam a interseção entre a Tecnologia Operacional (OT), a Tecnologia da Informação (TI) e a Medicina.
Um dos principais desafios enfrentados atualmente pelas instituições de saúde é a garantia da segurança desses dispositivos, tanto os legados quanto os mais recentes. A relutância em intervir nesses sistemas, seja por medo de perder garantias ou devido à complexidade do suporte técnico, torna ainda mais complicada a tarefa de protegê-los contra ameaças cibernéticas.
Se faz necessário ferramentas que analisam o comportamento dos dispositivos e identificam potenciais vulnerabilidades na rede. Soluções de análise comportamental de equipamentos em rede e soluções de microsegmentação são fundamentais para isolar alguma possibilidade de equipamentos não gerenciados pela TI diretamente se comuniquem com outros dispositivos desnecessariamente
Um dos aspectos mais preocupantes é a falta de visibilidade dentro do ambiente médico. Com a predominância de tecnologias legadas e a relutância em interferir em dispositivos críticos durante procedimentos médicos, muitas vezes não se sabe o que está acontecendo dentro dessas máquinas, deixando as instituições vulneráveis a ataques cibernéticos.
No Brasil, apesar da existência de regulamentações e frameworks de segurança cibernética, ainda há uma lacuna significativa em termos de priorização da segurança dos dispositivos médicos. A integração de sistemas de TI e OT ainda é um desafio, e o trabalho de conscientização sobre a importância da segurança cibernética é fundamental tanto para profissionais de saúde quanto para administradores de sistemas.
Outro aspecto crucial é a cultura organizacional em torno da segurança cibernética. A falta de preocupação com questões básicas, como senhas padrão e portas abertas vulneráveis, é um reflexo de uma mentalidade que muitas vezes privilegia a conveniência em detrimento da segurança.
Para lidar com esses desafios, é essencial adotar uma abordagem holística que englobe não apenas soluções tecnológicas, mas também mudanças culturais e regulatórias. Existem soluções acessíveis no mercado que estão na vanguarda da cibersegurança no setor de saúde, oferecendo ferramentas e serviços especializados para enfrentar as ameaças cada vez mais sofisticadas que as instituições médicas enfrentam.
À medida em que a tecnologia continua a desempenhar um papel cada vez mais central na prestação de cuidados de saúde, é crucial que as instituições médicas estejam preparadas para enfrentar os desafios que surgem no mundo digitalizado de hoje. Em última análise, garantir a segurança cibernética no setor de saúde não é apenas uma questão técnica, mas uma responsabilidade moral e ética.
Frederico Freitas, CISSP – Diretor de Segurança da Informação da Add Value.
