Cibersegurança e saúde: a importância de proteger hospitais, clínicas e laboratórios

Cybersecurity
Cybersecurity

Cibersegurança e saúde: a importância de proteger hospitais, clínicas e laboratórios

O crescimento do trabalho remoto e, mais recentemente, a situação de pandemia evidenciaram a importância da segurança da informação no dia a dia das pessoas e das empresas. A área médica, no epicentro dos eventos, requer atenção especial pela sua importância no contexto.

Entre os sistemas informatizados que auxiliam a área médica encontramos os equipamentos para registros de pacientes e resultados de laboratórios, cirurgias remotas, consulta médica remota, equipamentos de radiologia, respiradores etc.

Toda essa tecnologia traz benefícios para o atendimento ao paciente porque facilita a integração de dados, a participação do paciente e o suporte clínico. Com isso, uma equipe multidisciplinar consegue ter os resultados dos exames de seu paciente em um único lugar de forma integrada.

Por outro lado, essas tecnologias podem ser vulneráveis a ataques cibernéticos que acessem dados de pacientes, sequestrem o controle dos equipamentos para minerar criptomoedas ou fechar hospitais inteiros até que o resgate seja pago, como aconteceu no Reino Unido em 2017, quando 16 hospitais foram paralisados por um ataque hacker.

Com a evolução tecnológica, novos equipamentos são conectados à rede, sendo gerenciados remota ou localmente. A IoT (Internet das Coisas) trouxe maior conectividade e, sendo assim, o cuidado com os equipamentos plugados à rede deve ser observado com muita atenção.

Uma abordagem segundo a LGPD (Lei Geral de Proteção de Dados)

Segundo o art. 55-k da Lei nº 13.853, de 8 julho de 2019, é de responsabilidade exclusiva da ANPD (Autoridade Nacional de Proteção de Dados) a aplicação das sanções administrativas para o descumprimento da LGPD.

Dentre as sanções possíveis, encontram-se, por exemplo, a suspensão do funcionamento de banco de dados, proibição do exercício de atividades relacionadas a tratamento de informações por um período de seis meses (prorrogável por igual período em caso de reincidência), advertências, multas e indenizações a usuários prejudicados por falhas no tratamento de informações. A lista de todas as sanções está no art. 52 da LGPD.

Parte do problema de segurança cibernética tem menos a ver com as falhas de segurança presentes nos sistemas de saúde e mais com o enorme valor dos dados do setor.

Hospitais e organizações de saúde precisam coletar muitos detalhes pessoais de seus pacientes, incluindo nome completo, endereço, números de documentos pessoais (como CPF e de assistência médica), medicamentos que os pacientes estão tomando e informações de cartão de crédito.

O registro de um único paciente pode valer até US$ 1.000,00 no mercado negro e um ataque de grande escala pode render centenas ou até milhares de registros. Naturalmente, isso faz das organizações de saúde um alvo.

Como muitos dados pessoais e dados sensíveis não mudam ao longo da vida do paciente, as informações acessadas por meio de violações de dados de saúde são de particular interesse para os criminosos.

O tipo de sangue, cirurgias, diagnósticos anteriores e outras informações pessoais de saúde estão incluídos no registro médico do paciente. Como esses registros incluem dados privados, como nome, data de nascimento, CPF e informações genéticas e de saúde, quando os dados privados são violados não há como restaurar a privacidade ou reverter o dano psicossocial.

Essas informações de identificação pessoal e as informações sensíveis de saúde são processadas por quase todos os departamentos do hospital em um ou mais sistemas de informações de saúde.

Os hospitais têm um longo caminho a percorrer e precisarão tomar muitas medidas para garantir a segurança e a privacidade dos dados de seus pacientes, funcionários e prestadores de serviços.

Para garantir uma maior proteção de todos os dados pessoais, é necessário mudar e adaptar-se a novos processos no seu dia a dia, e até desenvolver uma nova cultura interna de trabalho.

A tendência é que hospitais, clínicas, centros de exames, casas de repouso e toda a rede de saúde pública ou privada invistam com prioridade em segurança da informação no ano de 2021.

Segundo pesquisas, este tema vem sendo abordado por grandes redes de hospitais na Europa e Estados Unidos. Após alguns ataques, os danos foram incalculáveis e isso fez abrir os olhos da saúde pelo mundo, tendo em vista que o dado genético e dados pessoais são alvos dos hackers.

Vulnerabilidades mais comuns na área de saúde

Relatórios recentes mostram que os ransomware e outros ataques cibernéticos estão em alta e a área da saúde é um dos maiores alvos.

Com o intuito de pesquisar e mostrar as vulnerabilidades presentes nos equipamentos hospitalares e na rede onde trafegam os resultados, pesquisadores em Israel anunciaram que criaram um aplicação de computador capaz de adicionar tumores em tomografias computadorizadas e ressonâncias magnéticas, um malware projetado para enganar os médicos a diagnosticar erroneamente pacientes de alto perfil.

Apesar da crescente ameaça, a grande maioria dos hospitais e médicos não está preparada para lidar com ameaças de segurança cibernética, apesar de representarem um grande problema de saúde pública.

Além disso, um ataque de exploit em 2017 mostrou que dispositivos implantados, como os marcapassos, podem ser hackeados para controlar o ritmo ou esgotar as baterias.

Caso 1

Devido ao aumento de consultas remotas em tempos de Covid-19, muitas instituições estão vulneráveis a ataques.

A conexão feita sem criptografia pode sofrer ataques e ser gravada, alterada, usada para ataques de ransomware, captação de dados pessoais e pessoais sensíveis ou até mesmo interrompida.

Hoje, as conexões domésticas não possuem tantos recursos de segurança e, por conta disso, os dispositivos utilizados podem sem alvos de ataques.

Caso 2

Com o avanço tecnológico e aplicação cada vez mais frequente da internet, sistemas automatizados como elevadores, ares-condicionados e outros estão sendo cada vez mais monitorados à distância através de redes sem fio e trabalhando com aplicativos muito conhecidos pelos hackers.

Fica muito fácil, então, qualquer um entrar na rede de comando de uma empresa e alterar valores de processos.

Um exemplo está nas salas de comando e centros de operação e tornam o acesso aos profissionais de fora da área operacional muitas vezes difícil, se fazendo necessário o acesso a esses parâmetros via internet.

Instalados para atender aos operadores, os consoles estão à disposição destes profissionais e os aplicativos são criados para apresentar da melhor forma possível todos os equipamentos que envolvem a planta operada, como geradores, ares-condicionados, elevadores e auxiliares elétricos.

Caso 3

O paciente deitado na mesa da sala de emergência estava com um derrame em uma cirurgia remota. O tempo estava se esgotando. Um residente de medicina de emergência em um grande hospital sabia que precisava enviar o paciente para uma tomografia computadorizada.

Mas, quando teve acesso à tela do computador da sala, viu uma mensagem em pop-up exigindo um pagamento em bitcoin. Poucos minutos depois, disseram-lhe que a mesma mensagem havia desativado o scanner.

Ele teria que ajudar o paciente sem saber se o derrame foi causado por um sangramento ou um coágulo, informações que geralmente são vitais para o curso do tratamento.

exemplo
Fonte: Google (2017)

Este exemplo é amplo e pode ocorrer em diversos ambientes no segmento da saúde. Dessa forma, podemos ver como os ambientes estão vulneráveis e como cirurgias remotas, exames de imagem, quimioterapias e atendimentos de emergência estão suscetíveis a ataques de ransomware.

Erros mais comuns em cibersegurança para a saúde

- Não estabelecer políticas de segurança

A primeira delas não poderia ser outra a não ser o não estabelecimento de políticas de segurança. Nesse sentido, é necessário determinar (e documentar) qual é o conjunto de ações, práticas e técnicas relacionadas ao uso seguro dos dados.

- Falta de treinamento do pessoal

A falta de treinamento do pessoal também está entre os principais erros de segurança da informação. Entenda que a não capacitação ou o mau treinamento acerca da utilização dos softwares pode gerar sérias consequências.

- Não investir em ferramentas e tecnologias adequadas

Para evitar os problemas relacionados a roubo ou perda dos dados, é preciso investir em ferramentas e tecnologias adequadas para tal.

Parte das corporações ainda são mantidas com programas, equipamentos e procedimentos ultrapassados, fato que as deixarão mais vulneráveis aos ataques, invasões ou panes, por exemplo.

- Ausência de um backup e de um plano de contingência

Ninguém está imune a falhas, nem mesmo as maiores corporações do planeta. Os data centers podem ficar indisponíveis e os servidores podem cair ou ser invadidos a qualquer momento.

Ferramentas de auxílio aos CISO e DPO

O problema da segurança cibernética na saúde é enorme, complexo e está piorando a cada dia. Muitos hospitais e organizações de segurança estão intensificando seus esforços para melhorar a segurança, mas eles simplesmente não estão fazendo o suficiente.

Além disso, precisam encontrar formas de se adequar à LGPD para evitar multas e sanções.

Não há uma solução rápida, mas é óbvio que precisamos começar a agir em várias áreas, incluindo uma melhor educação em segurança cibernética para profissionais de saúde, padrões mais estratégicos de substituição e adesão de tecnologia, melhor orientação das agências reguladoras e, claro, mais recursos para a manutenção da infraestrutura de TI.

Essas brechas podem ser resolvidas com conscientização, políticas, treinamento e software com tecnologias de ponta. Israel é reconhecido internacionalmente por atuar forte contra a guerra cibernética e a IB Tecnologia possui tecnologia vinda diretamente de lá para aplicar no Brasil.

Assim, a utilização de softwares de inteligência artificial com tecnologia de ponta traz não só segurança, mas também estabilidade, produtividade e conformidade para instituições da área de saúde.

Soluções de mercado oferecidas pela IB Tecnologia

O Specula é uma solução desenvolvida pela Suridata, empresa israelense de cibersegurança, e utiliza tecnologia de programação neurolinguística para descobrir e classificar de maneira autônoma os dados pessoais e dados pessoais sensíveis na infraestrutura das empresas.

A ferramenta utiliza um inovador mecanismo de descoberta e classificação baseado em inteligência artificial para que as empresas tenham total visibilidade e controle sobre dados valiosos em qualquer repositório de informações.

Por meio de um fluxo de trabalho totalmente automatizado, o Specula conecta-se às fontes de dados, analisa o texto, entende a natureza e o contexto do conteúdo e então classifica os dados.

Já o Deceptive Bytes é uma plataforma israelense de cibersegurança que cria informações dinâmicas e enganosas que interferem em qualquer tentativa de assumir o controle do ambiente, impedindo que o malware execute suas intenções maliciosas.

Ele também ajuda a reduzir riscos, encargos e custos operacionais, já que não apresenta falsos positivos. Além disso, aumenta as taxas de prevenção e detecção, contribuindo para a produtividade dos funcionários e aumentando a confiança na segurança da empresa.

Dessa forma, sua empresa tem uma plataforma de defesa preventiva e proativa, cobrindo diversos cenários e interrompendo ameaças avançadas sem depender de assinaturas, padrões ou necessidade de atualizações constantes.

Outra solução em cybersecurity é o OREV, uma ferramenta israelense que utiliza inteligência artificial e machine learning para auditar diversos computadores e usuários em tempo real e em um único ponto de controle.

O sistema também analisa informações da rede e monitora as atividades realizadas na web para oferecer proteção contra ameaças internas e externas.

A partir de dashboards totalmente customizáveis, o OREV entrega somente informações já tratadas e verificadas pelos sistemas internos na própria plataforma. Com isso, as equipes podem agir para bloquear, fechar brechas, mitigar vulnerabilidades e evitar vazamentos de dados, por exemplo.

Em apenas uma ferramenta é possível detectar a ameaça, investigar onde o ataque começou, qual a vulnerabilidade atingida e quem foi o responsável. O OREV foi desenvolvido para fazer parte da empresa como um todo, não apenas do setor de TI.

Com essas soluções, é possível garantir a proteção completa de hospitais, clínicas e laboratórios e evitar ataques cibernéticos.

Entre em contato conosco e agende uma demonstração dos sistemas de cibersegurança para saúde da IB Tecnologia.

Sobre o autor

Gabriel

Graduado em Gestão da Tecnologia da Informação com MBA em Gerenciamento de Projetos e mais de 10 anos de experiência na área. Possui certificação: Scrum Master, ITIL V3, COBIT 4.1, ISO 20000, ISO 27001 Auditor