A teoria de “A Grande Dispersão”, de Scott Galloway, argumenta que as indústrias estão cada vez mais digitalizadas e distribuídas, uma tendência acentuada pela pandemia, com mudanças notórias, como o varejo se deslocando para as casas das pessoas via e-commerce e o streaming assumindo o papel do cinema. E o mesmo padrão de lazer e consumo também se repete na área da saúde.
A telessaúde decolou nos últimos dois anos, tendo em 2020 o boom dos atendimentos remotos, sendo uma opção não apenas de saúde, como de acesso popular aos cuidados com a saúde. Um estudo da empresa de pesquisa de mercado SSRS descobriu que quase um terço dos adultos norte-americanos fizeram uma visita de telessaúde para si ou para um dependente durante a pandemia, e essa porcentagem é ainda alta para os beneficiários do Medicare, sistema de seguro de saúdo do governo americano. E há razões para acreditar que a telessaúde continuará sendo uma opção de cuidado proeminente, mesmo após a pandemia diminuir. O projeto de lei de infraestrutura assinado no ano passado dedica US$ 65 bilhões à expansão da banda larga, o que ajudará a ampliar o acesso à saúde em áreas remotas e popularizar ainda mais a telessade nos EUA.
Mas, embora a telessaúde ofereça imensos benefícios para pacientes e provedores, ela também revela um grande conjunto de desafios negligenciados no que se refere a cibersegurança e privacidade.
Por que a telessaúde é uma ameaça potencial à segurança cibernética?
A saúde sempre esteve pronta para os invasores por inúmeras razões. Primeiramente, porque os provedores de saúde gerenciam dados sensíveis de pacientes, que valem muito dinheiro na dark web, o que significa que há um enorme incentivo econômico para roubar informações relacionadas à saúde.
Em segundo lugar, devido à criticidade das redes hospitalares, os invasores sabem muito bem que muitas organizações de saúde pagarão os maiores resgates porque, simplesmente, não podem arcar com qualquer tempo de inatividade em rede, o que poderia resultar em consequências graves para os pacientes.
Em seguida, é de conhecimento que as organizações de saúde podem ser retardatárias tecnológicas. Um relatório da Kaspersky descobriu que 73% dos provedores globais de saúde da linha de frente atuais usam equipamentos médicos com um sistema operacional legado, o que pode criar vulnerabilidades de segurança. Por fim, a pandemia só tornou a saúde um alvo ainda maior. Com muitas organizações de saúde ainda sobrecarregadas como resultado de um aumento no número de pacientes – o que traz uma verdade renovada devido ao pico da Ômicron — a TI e a segurança cibernética, compreensivelmente, ficam em segundo plano no atendimento ao paciente. Hackers implacáveis sabem disso e esperam o momento mais vulnerável para agir.
Nesse quesito, a telessaúde adiciona ainda mais perigo, principalmente porque ainda é uma tecnologia relativamente nova. E enquanto organizações e prestadores de cuidados estão rapidamente tentando formalizar as melhores práticas, há uma curva de aprendizado íngreme.
De fato, 30% dos provedores de telessaúde admitiram que alguns de seus médicos tiveram os dados dos pacientes comprometidos ao realizar sessões remotas de telessaúde. À medida que esse processo está se desenrolando, os invasores enxergam uma oportunidade para explorar os potenciais pontos fracos.
Dificuldades práticas da segurança descentralizada
A telessaúde descentraliza a rede hospitalar. Garantir um ambiente hospitalar único e centralizado era uma tarefa complexa e, com a mudança dos limites físicos do hospital para a casas das pessoas, adicionou-se mais desafios neste processo.
E por que essa distribuição e dispersão dificultam as equipes de TI de saúde? Na sua forma mais simples, a superfície de ataque é muito mais expansiva. Com novos dispositivos e aplicativos sendo usados na sede do hospital, na nuvem e em residências, há um número significativamente maior de pontos de entrada para invasores.
Além disso, os pacientes também estão usando seus próprios smartphones, tablets, laptops e roteadores de nível de consumidor para acessar recursos hospitalares e se comunicar com profissionais de saúde. Esses equipamentos não costumam ser seguros e os hospitais não têm a visibilidade e o controle necessários para gerenciar e protegê-los com eficácia.
Segurança cibernética é uma responsabilidade compartilhada
O conselho geral é lembrar que “proteger a telessaúde” não é apenas uma questão de SecOps — para tornar a telessaúde o mais segura possível, será necessário um ecossistema de jogadores. Isso é validado pelo National Cybersecurity Center of Excellence (NCCoE), uma parte da NIST (National Institute of Standards and Technology), que desenvolveu orientações úteis as quais se relacionam aos diversos componentes e práticas que prestadores de serviços de saúde, provedores de tecnologia e pacientes devem empregar para garantir uma telessaúde segura.
Prestadores de cuidados de saúde
Vamos começar com a forma como os provedores de saúde — que inclui a equipe de TI em saúde, mas também cada vez mais CEOs e conselhos — desempenham um papel. Para começar, é fundamental estabelecer um ponto único de risco, controle e governança. Historicamente, esses vários pilares eram isolados e vários stakeholders tomavam suas próprias decisões independentes uns dos outros.
Parte da solução também se resume ao básico, como estabelecer visibilidade, garantir uma boa higiene cibernética, priorizar o gerenciamento de ativos e ter planos de remediação sólidos para quando surgirem problemas. Você precisa saber quantos dispositivos estão sendo implantados, onde estão, como estão configurados, quais protocolos estão em uso, como os aplicativos estão sendo usados e monitorar constantemente padrões e anomalias. ;
Além disso, precisamos incentivar a linha de frente, o que significa que também é necessário começar a atrair os médicos para essa conversa sobre segurança cibernética. A manutenção de um ambiente de saúde remoto seguro não depende totalmente dos ombros das equipes de TI de saúde — as pessoas na linha de frente precisam entender como podem, sem saber, agir como vetores de ataque e garantir que eles pratiquem práticas seguras de segurança.
Fabricantes de dispositivos médicos
Dispositivos médicos de IoT (Internet das Coisas), como monitores de pacientes ou bombas de insulina, são uma grande parte da telessaúde. O problema persistente com a IoT, no entanto, é que os dispositivos geralmente são lançados no mercado para que fornecedores ansiosos possam ganhar dinheiro, o que tem ramificações que observamos inúmeras vezes.
E uma vez que um invasor “hackeia” um dispositivo IoMT (Internet das Coisas Médicas), ele pode se mover lateralmente por toda a rede, potencialmente obtendo acesso a informações médicas altamente confidenciais. É por isso que é tão importante que os provedores de assistência médica examinem os dispositivos médicos que compram e que as equipes de TI de saúde estejam monitorando tanto o movimento norte-sul, quanto o movimento suspeito leste-oeste.
No futuro, será preciso que haja maiores exigências e regulamentos que obriguem que os fabricantes de dispositivos médicos projetem seus produtos com segurança cibernética em mente. A segurança precisa ser incorporada ao processo de desenvolvimento. Além disso, esses fabricantes de dispositivos devem considerar potenciais vulnerabilidades da cadeia de suprimentos e tomar medidas para mitigar riscos — por exemplo, todos os componentes do nosso dispositivo são seguros? Como é que sabemos? Já verificamos?
Pacientes
Há pequenas ações, mas que são impactantes e que os pacientes podem fazer para tornar a telessaúde mais segura, como manter-se atualizado sobre a patches de seus dispositivos, usar autenticação multifatorial e educar-se sobre higiene de segurança cibernética. Mas a questão é: como incentivamos os pacientes a fazer essas coisas e assumir a responsabilidade? Semelhante aos médicos, os pacientes fazem parte da “linha de frente” e precisamos descobrir uma maneira de engajá-los nessa conversa, seja fornecendo incentivos de seguro ou apenas tornando a tecnologia mais fácil de usar
A telessaúde veio para ficar
A pandemia iluminou a promessa de telessaúde e remodelou a sade nos últimos dois anos. Dado seus enormes benefícios, espero que a telessaúde permaneça um elemento permanente de nosso sistema de atendimento no futuro. Mas, enquanto ainda está em sua infância, é fundamental que estabeleçamos e programemos as melhores práticas agora, para que possamos proteger os hospitais e seus pacientes em frente.
*Felipe Nascimento é diretor de engenharia de soluções da Tanium para América Latina.