Segurança da informação e privacidade de dados: dilemas que precisamos transpor
A área da Saúde é uma das mais vulneráveis a ataques cibernéticos e, no entanto, é a que apresenta menores graus de maturidade em segurança digital. As mudanças, portanto, devem ser urgentes
A aceleração digital à qual as empresas de todos os setores tiveram que promover trouxe uma proporcional vulnerabilidade aos seus sistemas. E os desafios com relação à segurança e à privacidade de dados na área da Saúde são ainda maiores. Segundo um estudo feito pela Ponemon Institute, que faz pesquisas sobre segurança da informação, mais de 20% das instituições de Saúde nos EUA relataram aumento da taxa de mortalidade após passarem por episódios de ataque cibernético. Além disso, 64% das empresas disseram que ataques por ransomware causaram atraso em procedimentos médicos e exames.
Esses e muitos outros indicadores alarmantes que são reportados diariamente dão a dimensão do problema e só confirmam a certeza de um caminho: investir em segurança digital não é luxo e, sim, uma questão de sobrevivência – de pessoas e dos negócios. Afinal, toda cadeia de suprimentos traz consigo uma sensibilidade muito grande neste campo, porque se um dos fornecedores não estiver tomando todas as medidas de segurança da informação, toda a cadeia — e a imagem da empresa para a qual ele presta serviço — fica danificada.
Segundo Hélio Matsumoto, Diretor executivo do Fleury, o tráfego de dados é um grande desafio atual na área da Saúde.
“Quando a gente olha de forma holística esse ecossistema, que era um pouco mais fechado há alguns anos, observamos que ele está se abrindo. Além dos tradicionais players (planos de saúde, hospitais, clínicas, laboratórios), agora há diversas startups neste jogo, que também estão olhando para a jornada de cuidado ao paciente. E todas as empresas querem este dado para poder gerar valor. Mas o dado não é do laboratório, nem do hospital. É do paciente. Então, ele tem o direito de compartilhar. Só que não existe uma regulação para você ter a posse deste dado. Hoje, a gente fala muito em opt-in, ou seja, se seu cliente assinou um termo de autorização para poder compartilhar este dado, tudo bem. Mas essa empresa tem segurança para hospedar este dado?”, questiona Hélio.
Além disso, perder o controle do rastreamento de dados é uma realidade. “Às vezes, você manda para um parceiro e ele tem mais cinco parceiros. Quando você vê, o dado já passou por três, quatro mãos e você perdeu o controle. Mas, no fundo, o dado é seu. Se ele vazar, até explicar que passou por três, quatro cadeias, já pode ser tarde”, explica Hélio.
Superar este dilema na Saúde, para o especialista, é uma questão de amadurecimento da indústria enquanto comunidade. É importante exigir certificação de fornecedores e demais parceiros para que se tenha um nível de segurança e controle adequados para poder operar. “A indústria precisa evoluir para garantir que todo mundo que vai manipular dados dos pacientes tenha essa maturidade de segurança, processo e governança. Segurança não é só ter ferramentas de bloqueio. Tem toda a parte de custódia de dados, que é até mais complexa: quem tem acesso à informação e onde está guardada, se faz ou não auditoria, se o dado foi alterado e por aí vai. É uma área super sensível”, conclui.
A urgente demanda pelo “Firewall humano”
De nada adianta usar as melhores ferramentas do mercado, contratar os serviços de segurança mais caros que existem se aquele único colaborador desavisado deixa a senha do servidor escrita num post-it, grudado no computador dele. Ou, então, se um funcionário clica em um link malicioso, tornando-o uma presa de um criminoso por meio de um e-mail phishing.
O aspecto humano, mais que nunca, é um dos dilemas da segurança da informação que devem ser considerados. Não à toa, o termo “Firewall humano” vem ganhando mais espaço, pois esta é a primeira linha de defesa. Por isso, treinar colaboradores sobre os riscos cibernéticos é um passo que deve ser constante.
Segundo Hélio Matsumoto, é comum haver uma falsa sensação de segurança quando as empresas investem em diversas ferramentas e consultorias especializadas. Claro que isso tudo é importante para minimizar os impactos negativos de um ataque cibernético, mas a resposta humana ao incidente é o que vai fazer a diferença no fim das contas.
“Se o criminoso entrou e destruiu todos os seus ambientes, quanto tempo você demora para recuperar? Quais os processos que você tem? Você treina esses processos ou vai testá-los na hora que um inicidente acontecer e estiver tudo fora do ar, no pior cenário? Se você está acostumado a treinar aquele processo, simular para saber como atuar e a equipe já sabe o que fazer, a recuperação depois de um incidente é muito mais rápida.”
Falta visão clara “do todo”
De acordo com o relatório State of Healthcare de 2022, entre 2021 e 2022, houve um aumento de 123% dos ataques de ransomware em dispositivos médicos, colocando a vida de muitos pacientes em risco. “Fazer a segurança da informação para as pessoas é diferente do que proteger um dado. Hoje, um ataque cibernético pode levar uma pessoa à morte, inclusive, já existem casos em que isso aconteceu. Então, fazer a segurança da informação também é proteger vidas”, diz Leandro Ribeiro, Gerente de Segurança de Informação do Hospital Sírio Libanês.
Apesar desse dado alarmante, ainda falta muita conscientização por parte das empresas na área da Saúde sobre a segurança digital. Segundo uma pesquisa feita pela Mastercard, em parceria com a Datafolha, somente 23% das empresas de Saúde têm área própria para cibersegurança e 49% das organizações do setor relataram que esta não é uma prioridade no orçamento.
Para Leandro Ribeiro, a visibilidade é importantíssima para fazer uma boa gestão de risco. “Preciso ter ideia do perímetro: o que proteger, quantos dispositivos médicos temos no ambiente, se estão vulneráveis, atualizados, etc. Devo ter o downtime deles para aplicar as atualizações, ter certeza de que eles não tenham nada que possa dar uma brecha a um criminoso”, explica Leandro. Ele também lembra da importância de trabalhar com fornecedores com um bom grau de maturidade de segurança. E mais:
“Preciso criptografar o dado, mascarar a informação que é sensível, fazer backup, testar as estratégias de segurança e ter certeza de que a empresa consegue se recuperar em tempo hábil, porque alta disponibilidade é fundamental. São muitos passos. Precisamos cada vez mais conscientizar as pessoas de que segurança da informação não é mais um mal necessário, é efetivamente necessário”, conclui Leandro.
Conteúdo apurado no HIS 2022.