Cibersegurança na Saúde: você está fazendo o mínimo?
Hospitais com ambientes digitais desprotegidos estão sujeitos a prejuízos de grandes proporções, além de colocarem a vida dos pacientes em risco. Por isso, ter a cibersegurança como prioridade nos negócios é fundamental
Segundo uma pesquisa feita pela PwC, 49% das organizações globais de saúde estão voltando seus olhos para a cibersegurança e a privacidade. Parece um número alto (e até é), mas, por outro lado, 51% das empresas não estão protegendo seus ambientes virtuais, o que é preocupante. “A Saúde é um mercado menos maduro para a cibersegurança. Cerca de 2.500 hospitais no Brasil são informatizados, então, a gente entende que mais de 1.300 não falam de segurança ainda”, conta Rodrigo Luchtenberg, Diretor de Serviços e Tecnologia da Flowti.
De acordo com ele, diferentes aspectos explicam esse gap na área da Saúde. Em primeiro lugar, sabe-se que a maior preocupação do setor, segundo a Agência Europeia de Cibersegurança, ainda são as ameaças tradicionais, como fenômenos naturais (incêndios no hospital e data center, inundações, terremotos, etc), erros humanos (como uma configuração errada no sistema, um controle de acesso não autorizado, um erro do paciente, por exemplo) e falhas sistêmicas (bug do software, problema no servidor ou na rede e manutenção que não foi feita).
Porém, é verdade que, nos últimos anos, dois novos itens foram adicionados à lista de temores das instituições. O primeiro são as ações maliciosas, como vírus, ransomware, fishing, roubo de dados e de identidade, DDoS (Ataque de negação de serviço, que derruba sistemas das empresas). O segundo medo está relacionado à cadeia de suprimentos, que acaba se tornando o elo mais fraco num ataque cibernético, pois nem sempre tem a mesma condição de se blindar contra a ação dos hackers.
Mas, por que tanta resistência?
A demora em investir na proteção dos ambientes digitais por parte das instituições de Saúde acontece por diferentes razões. O aspecto financeiro é uma delas: é preciso ter dinheiro para fazer algo que nunca foi feito antes. Quando não há previsão para a cibersegurança no orçamento, é mais difícil começar do zero. Outro obstáculo é a própria natureza complexa dos hospitais, que não operam com um padrão. “Cada hospital funciona de um jeito diferente, não é como no sistema bancário, por exemplo, em que há diversos protocolos a seguir e todos fazem igual”, conta Rodrigo. Soma-se a isso o fato de a TI também não estar acostumada a definir padrões, além de o portfólio de segurança, em termos de produtos e serviços, ser altamente complexo. Resultado: investir em cibersegurança, muitas vezes, parece bem complicado, sobretudo numa área como a Saúde, que tem diversas outras prioridades disputando o tempo e o orçamento.
“As organizações de Saúde demoram para investir porque precisam de muito dinheiro para um padrão que não existe, e aí trava a tomada de decisão. Então, elas esperam. Os clientes que estão investindo hoje o fazem porque já sofreram ataques. Grandes redes, que têm muito dinheiro, estão trazendo pessoas de mercado e profissionalizando as instituições. Mas os hospitais menores, ou não têm dinheiro para investir em segurança ou acham que, por serem pequenos, não serão invadidos”, explica Rodrigo. Mas não dá para confiar cegamente nisso e o aumento substancial de ataques cibernéticos à área da Saúde durante a pandemia provou que ninguém está 100% seguro. Os prejuízos para uma empresa de Saúde podem ser imensuráveis quando um hospital sofre um ataque cibernético. Não só em termos financeiros, mas também no âmbito da reputação, que sofre um impacto considerável. Muitas vidas podem entrar em risco quando há um sistema vulnerável, principalmente se estes ataques afetarem sistemas críticos, como energia elétrica, por exemplo.
“Os clientes que estão investindo hoje o fazem porque já sofreram ataques. Mas os hospitais menores, ou não têm dinheiro para investir em segurança ou acham que, por serem pequenos, não podem ser invadidos.” Rodrigo Luchtenberg, Diretor de Serviços e Tecnologia da Flowti
O mínimo de segurança é possível
A proteção dos ambientes digitais pode ser iniciada de maneira gratuita, por incrível que pareça. Antes de sair cotando o máximo de ferramentas sem ter ideia do que é bom e quais as reais necessidades da instituição, é importante criar processos, até para não se sentir perdido no meio de tantas possibilidades. Segundo Rodrigo Luchtenberg, o modelo de sistema de gestão de segurança da informação proposto pelo NIST (National Institute of Standards and Technology) e ISO 27000 compreende 5 passos:
1. Identificar
Tudo começa pelo levantamento das informações: quais são os ativos da empresa? Quais são os sistemas? Quanto tempo ela pode ficar indisponível? Onde está o backup? Qual é o risco que a empresa corre? “Essas informações geram um mapa de dados do que existe na organização e do risco que ela corre”, conta Rodrigo. Segundo ele, é possível fazer essa
avaliação dentro de casa, ou seja, se alguém souber fazer este levantamento ou, pelo menos, tiver meios de ler os materiais disponíveis e procurar entender como faz, este processo sai gratuitamente.
2. Proteger
Esta etapa começa com um processo de cultura, de definição de processos. Por exemplo: quem tem acesso ao sistema da empresa? Estão usando uma senha forte? É regulada? Então, é preciso definir uma senha forte e comunicar a todos a melhor forma de cuidar dela (sem dar a senha a amigos ou deixá-la exposta). Mais uma vez, este processo é de graça. “Neste passo, entende-se que a empresa precisa de um software de gestão de senhas, por exemplo. Aí que você começa a ver que precisa de um software ou de outro, mas já está dentro de uma metodologia. Você não está mais perdido, está mais fundamentado. É hora de cotar”, indica Rodrigo.
3. Detecção
Aqui, sim, é preciso investir em ferramentas, porque não há outras formas de detectar problemas e riscos. E é preciso monitorar os ativos críticos.
4. Resposta
De novo, para esta fase, é necessário criar um processo para saber como deve ser a resposta quando, na monitoração, uma anomalia foi detectada. “Percebi que tenho um vírus na rede, como respondo? Com processo. Este passo até pode ter um pouco de ferramenta, mas é muito mais procedimento que deve ser estipulado”, conta Rodrigo.
5. Recuperação
O último estágio é uma mistura de processo e tecnologia. Aqui, também, tem o investimento em ferramentas capazes de recuperar o sistema se for atacado.
“Isso é só o início. Toda empresa que faz estes passos vai estar bem suportada de framework para tratar e conversar sobre segurança”, diz Rodrigo Luchtenberg, que lembra, ainda, que a instituição que não consegue realizar estas etapas sozinha, pode contratar uma consultoria para fazer todo o processo.