Poucos setores avançaram tanto em digitalização nos últimos anos – e tornaram-se alvo de tantos ataques – como a vertical de serviços de saúde. Estudo divulgado em março de 2023 indica que uma violação de dados no mercado em geral causa prejuízos de USD 4,45 milhões. No setor de saúde, as perdas são as mais pesadas de todas, chegando a USD 10,93 milhões. O mesmo relatório indica que essas marcas colaboraram para que as organizações de saúde tivessem 53,3% de aumento em seus custos entre 2020 e 2022.
O estudo aponta que o tempo médio necessário para detectar e conter uma violação de dados foi de 291 dias. A extrema complexidade e heterogeneidade das aplicações de saúde, no entanto, fazem com que se demore, em média, 19 dias a mais para conter uma violação de dados.
Fusões e aquisições tornam o desafio mais complexo
Outro fator que colabora para isso é a consolidação do setor de saúde brasileiro. De 2003 até 2023 aconteceram 817 fusões e aquisições. Uma das mais expressivas foi a fusão da Rede D’Or e da SulAmérica Seguros, que gerou um negócio avaliado em US$ 3,1 bilhões (cerca de R$ 16 bilhões na cotação atual). Um movimento como esse exige a integração e a proteção de sistemas profundamente diferentes entre si e implementados de forma distribuída entre vários estados brasileiros.
HIPAA e LGPD
Conscientes da criticidade dos dados sobre saúde, entidades globais construíram padrões que estabelecem as melhores práticas para desenvolvimento e proteção das aplicações do setor. No Brasil, cresce a cada dia a adoção de plataformas digitais que já nascem alinhadas ao HIPAA (Health Insurance Portability and Accountabilty), uma lei federal dos EUA voltada para a proteção de dados sensíveis sobre o paciente. É comum encontrarmos organizações de saúde que buscam simultaneamente se alinhar ao HIPAA e à Lei Geral de Proteção de Dados.
Uma das forças do HIPAA é sua especificidade – há todo um conjunto de Regulamentações para Privacidade de Informações de Saúde. Isso inclui orientações que vão da organização do time de cybersecurity às políticas cotidianas de segurança de dados:
*Garantias Administrativas (Security Rule 164.308): Atribuição de responsabilidade sobre segurança a um indivíduo ou a uma equipe. Inclui a exigência de políticas de gerenciamento de segurança e acesso, proteção contra software malicioso, e tratamento de incidentes de segurança.
*Garantias Físicas (Security Rule §164.310): Lista os mecanismos necessários para proteger sistemas eletrônicos, equipamentos e dados contra ameaças, desastres ambientais e intrusão não autorizada. Exige políticas de segurança física e segurança de redes. Uma forma de endereçar esse ponto é utilizar soluções de controle de acesso à rede que rastreiam os usuários quando eles entram e saem da rede. Isso serve, também, para mapear as aplicações que dependem da rede para ser acessadas.
*Garantias Técnicas (Security Rule 164.312): O HIPAA estabelece processos automatizados para proteger dados, controlar acesso a dados – incluindo autenticação –, e sua integridade (criptografia e descriptografia de dados ao serem armazenados e/ou transmitidos). Nesse ponto, pode fazer diferença o uso de soluções para comprovar as credenciais do usuário (nome de usuário, senha, dados biométricos, chaves, tokens, códigos, dispositivos conectáveis) e o direito de acesso de dispositivos. Uma estratégia recomendada é codificar/encriptar informações armazenadas ou transmitidas de modo que elas sejam ininteligíveis ao observador casual. A meta é que o dado sobre a saúde do paciente só possa ser decodificado pelo destinatário correto, munido dos certificados e chaves apropriados.
*Exigências de Políticas, Procedimentos e Documentação (Security Rule §164.316): Ponto que regula a adoção, manutenção e documentação de políticas e procedimentos apropriados para conformidade com as provisões da Security Rule. Ou seja: além de estar segura, a infraestrutura da organização de saúde precisa apresentar documentações e relatórios que confirmem isso. O uso de plataformas avançadas de Firewall Next-Generation (NGFW) garante a coleta e organização de dados de forma alinhada com as políticas da empresa. Para isso, apresenta vários dashboards, recursos de notificação e templates de relatórios.
*Notificação de Violação (Security Rule 164.404-410): O HIPAA exige que se estipule quem, e quando, notificar quando da ocorrência de uma violação da segurança. Nesse ponto, uma forma de acelerar os processos é contar com soluções para um rápido entendimento do que deu errado, quem foi afetado, por que e onde ocorreu, e qual ação corretiva foi ou deverá ser tomada para prevenir uma futura violação.
IA a favor da proteção dos dados do paciente
O alinhamento ao HIPPA e à LGPD é uma jornada complexa, com profissionais de cybersegurity atuando 24×7 para preservar os dados de saúde. Algumas organizações estão usando Inteligência Artificial (IA) e automação para ganhar uma visão preditiva e eficaz sobre o quadro de ameaças. Estudo da IBM indica que quem fez isso conquistou, nos EUA, em 2022, reduções de custos de USD 850.000 em comparação com a média global de custo por vazamento.
Há casos de instituições de saúde que já colhem os frutos da adoção de IA para proteger seus dados.
Inteligência Artificial para identificar novos padrões de ataque – O DCRO é um dos maiores Centros Médicos da Polônia, com 6 departamentos, 2 clínicas de especialidades e 3 laboratórios diagnósticos. Era fundamental atualizar e renovar a infraestrutura de segurança para assegurar a segurança de dados críticos e proteger o perímetro e a rede interna contra-ataques e agentes maliciosos. Nessa jornada, a organização decidiu adotar uma plataforma NDR (Network Detection and Response) com recursos de IA que identifica novos padrões de ataque e automatiza a resposta a essas tentativas de invasão. No DCRO o NDR atua em conjunto com o NGFW. A meta é fornecer detecção e proteção contra ameaças em toda a rede, com visibilidade, monitoramento e análise profunda dos incidentes. Isso colabora com a elevação da postura da instituição como um todo.
Em 2024, dados de pacientes continuarão a ser um produto muito valorizado na Dark Web. Para evitar esse quadro é fundamental estudar o que o alinhamento dos processos da instituição ao HIPAA e à LGPD – somado ao uso de plataformas IA – pode fazer pela proteção do setor de saúde brasileiro.
Jadielson Nascimento, Gerente de Vendas do Setor Privado da Hillstone Brasil.
