Se há um elemento vital em relação aos cuidados com os pacientes em um hospital, além da assistência médica, é a informação. Quando um paciente está internado, tudo o que acontece com a sua saúde vai sendo registrado nos sistemas durante sua estada. É esse mapeamento que o médico utiliza para acompanhar o quadro clínico e tomar as providências necessárias para que o estado do paciente evolua positivamente. A segurança desses dados pode salvar vidas e uma invasão ao sistema de gerenciamento dessas informações compromete a saúde dos que dependem da continuidade das operações dos dispositivos conectados durante seu tratamento.
Globalmente, cerca de 10 a 20% dos dispositivos médicos da maioria dos hospitais estão conectados. Esse número está crescendo rapidamente, aumentando a vulnerabilidade e favorecendo a entrada dos hackers, que podem obter acesso aos sistemas da instituição e fazer mau uso das informações, ou manter esses sistemas como reféns por um enorme resgate. Sim, esse patrimônio tão importante nos hospitais também tem sido alvo de ataques cibernéticos.
No ano passado o WannaCry – ataque sem precedentes na história – infectou 300 mil computadores de diferentes corporações em 150 países, após quatro dias. Dessas, 37 eram hospitais e 603 clínicas.
O Hospital do Câncer de Barretos foi atingido pelo ataque global Petya. Na ocasião, foi pedido resgate de US$ 300 por máquina, o que geraria uma perda de US$ 360 mil, o equivalente a mais de R$ 1,3 milhão. Felizmente, o hospital conseguiu evitar o prejuízo, porém, houve impacto negativo momentâneo aos pacientes: cerca de 3 mil consultas e exames foram cancelados e 350 pacientes ficaram sem radioterapia por conta da invasão.
Como qualquer outro sistema conectado, os dispositivos IoT, como monitores de saúde, são vulneráveis a ataques cibernéticos. De acordo com o Gartner, líder mundial de pesquisas, “dispositivos médicos antigos que não foram concebidos para serem acessados pela Internet estão agora sendo conectados à rede como parte das iniciativas de saúde, elevando os riscos e a superfície de ataque”.
Realmente, quando se trata de segurança cibernética, dispositivos médicos são o calcanhar de Aquiles da saúde, já que a maioria tem pouca ou nenhuma segurança interna – e a segurança que eles podem ter não é robusta o suficiente para combater ataques sofisticados da atualidade.
Alguns hospitais reagem desligando a conectividade de rede em favor da segurança, mas isso anula a capacidade de usar dados de dispositivos em tempo real para melhorar o atendimento ao paciente. Outros hospitais criaram um elaborado sistema de firewalls e controles de acesso à rede. Contudo, embora funcionem em ambientes estáticos, eles tendem a ser menos eficazes no ambiente dinâmico e móvel de assistência médica.
O dispositivos mais seguros estão vindo dos fabricantes, com uma tecnologia de ponta capaz de minimizar os riscos por meio do desenvolvimento de linguagens habilitadas a se conectar aos sistemas de gestão do hospital para protegê-los. Eles são capazes de bloquear qualquer tipo de acesso, de uma forma comprovada até por certificações de peso como a DIACAP e a FIPS 140-2 expedidas pelo Departamento de Defesa do Governo Norte-Americano (DoD).
As instituições de saúde que utilizam essa tecnologia não foram afetadas pelos recentes ataques. Na vanguarda dessas inovações estão equipamentos que permitem monitorar o estado do paciente com segurança e de forma móvel ou a beira leito. O que se tem, então, já disponível hoje, é um sistema de gerenciamento de dispositivos médicos que incorpora microssegmentação e criptografia de dados para solucionar problemas de segurança, tornando a rede invisível para hackers, incluindo dispositivos médicos mais antigos e menos seguros.
Diante do cenário dos ataques cibernéticos e das tecnologias acessíveis, as instituições de saúde que voltarem seus olhos para a gestão de suas informações terão não apenas sua segurança alavancada, como também a saúde dos seus pacientes muito mais protegida.
Alberto Aprigio, gerente de Segmento de Monitorização e TI da Dräger.