A preocupação em buscar a cibersegurança na área da saúde ganhou ainda mais importância, após um ataque hacker, em um hospital na Alemanha, levar a óbito uma paciente que não conseguiu receber atendimento devido a uma queda no sistema.

Esse ataque, segundo o veículo de imprensa alemão RTL, se deu por meio de ransomware e tinha como objetivo sequestrar os dados de uma universidade próxima. Ao receber a informação que invadiram o hospital, os cibercriminosos enviaram uma chave digital para liberar.

Aqui no Brasil, também em 2020, o Hospital Albert Einstein teve graves problemas com ataques de hackers. No último mês de novembro, eles notificaram o vazamento de dados de 16 milhões de pessoas que tiveram suspeita ou diagnóstico positivo para a Covid-19.

Outro exemplo de ataque aconteceu com o Ministério da Saúde. Hackers aproveitaram uma falha na proteção e invadiram o sistema de notificação dos casos de coronavírus, deixando, durante mais de seis meses, as informações de 234 milhões de brasileiros expostas na internet.

Mesmo com objetivos diferentes, esses três casos mostram como é necessário o investimento em cibersegurança para o setor de saúde, a fim de garantir o melhor gerenciamento e defesa contra ameaças, além da mínima perda de dados.

E em um mundo cada vez mais conectado, os dados, principalmente do setor da saúde, são valiosos. Segundo Luis Gustavo Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS), essas informações armazenadas por hospitais são diferentes, por exemplo, das de um cartão de crédito, já que são eternas e não podem ser canceladas ou expiradas.

Essa preocupação é ainda mais necessária quando pensamos na quantidade de arquivos maliciosos que foram lançados, diariamente, no ano de 2020. Segundo o Boletim de Segurança da Kaspersky, cerca de 360 mil novos arquivos maliciosos foram criados por dia, um aumento de 5,2% em relação a 2019.

 Quais são os riscos da falta de cibersegurança para o setor de saúde?

Os hospitais e clínicas carregam, diariamente, informações essenciais para a saúde de cada paciente que, muitas vezes, são confidenciais e devem ser preservadas com o máximo de respeito e cuidado.

Segundo a IBM, em números globais onde dados de 130 países foram analisados, o setor hospitalar, que também engloba fabricantes de produtos farmacêuticos e empresas de energia (fornecedoras diretas com suprimentos), representaram 6,6% das ameaças digitais em 2020, o dobro em relação a 2019.

Ou seja, por serem tão importantes, esses dados são valiosíssimos no mercado ilegal. Um exemplo é a possível utilização deles por recrutadores para uma vaga de emprego. Esses profissionais, ao terem acesso, podem rejeitar a candidatura de um participante por conta das suas questões clínicas.

Outro ponto de risco, e que pode impactar diariamente no funcionamento, é o que ocorreu no hospital em Düsseldorf, na Alemanha. Neste caso, a admissão da paciente foi impossibilitada por conta do ataque de ransomware que sequestrou todos os dados e bloqueou a utilização dos equipamentos.

Um possível ataque também pode atingir silenciosamente o sistema e sabotar de diversas maneiras as informações armazenadas, como os remédios ministrados a um paciente, o tipo de tratamento adequado ou todo o histórico de atendimento, algo tão importante quando pensamos em casos de internação.

 Como os hospitais devem se proteger?

Quando falamos de cibersegurança para o setor de saúde, é preciso, inicialmente, lembrar que os hospitais e clínicas também devem seguir obrigatoriamente a Lei Geral de Proteção de Dados e podem responder na justiça, em caso de vazamento.

A lei, que entrou em vigor no ano passado, determina que os pacientes logo no atendimento, deem o consentimento para a utilização de suas informações com um único objetivo: cumprir as suas necessidades clínicas.

A única exceção, segundo o artigo 11 da LGPD, é caso haja a necessidade de garantir a “tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias”, ocasião em que os hospitais podem utilizar os dados sem a autorização.

Porém, mesmo que este motivo não exija a autorização do paciente, é preciso manter todo o cuidado possível e continuar seguindo os procedimentos, seja o da lei ou o do departamento de tecnologia, que determina o gerenciamento e defesa contra ameaças.

E este combate contra o vazamento das informações de entrada, diagnósticos, prontuários ou, até mesmo receitas, deve ser feito com a tecnologia como aliada, sendo necessário que os dados sejam armazenados em locais seguros e com o correto controle, para evitar outro grande problema: a sabotagem interna.

Neste caso, todo o planejamento do gerenciamento de cibersegurança para o setor de saúde pode ser jogado fora. Afinal, esse time de vazamento muitas vezes não é descoberto, já que o controle é dificultado e, em muitos casos, não existe a notificação de acesso, como ocorre quando a invasão é externa.

Então, existem duas maneiras para reduzir a possibilidade deste acontecimento. A primeira é treinar os profissionais, criar uma cultura de boa governança, desenvolver boas práticas corporativas e investir no departamento de tecnologia para, caso ocorra o vazamento, seja realizada uma análise rápida.

Já a segunda, tem relação total com o investimento, intensificando o monitoramento em cada documento, verificando como eles estão sendo utilizados por quem tem acesso e, em caso de comportamento anormal detectado pelo setor tecnológico, verificando o que aconteceu. Ou seja, garantir a cibersegurança na área da saúde também é um processo interno.

 Como a Vertic pode ajudar

Com todas essas informações, fica claro que é necessário garantir proteção e segurança para os hospitais e clínicas. Por isso, a Vertic Tecnologia, desenvolveu um método próprio, baseado na LGPD e em frameworks como NIST Cybersecurity Framework e ISSO 27000, combinando uma solução sólida de segurança e gerenciamento de risco em tecnologia da Informação, a um custo acessível a pequenas e médias empresas.

Trabalhando de maneira próxima e informado os tomadores de decisão e colaboradores durante todo o processo, as empresas de saúde estarão preparados para atender clientes, fornecedores e colaboradores de maneira segura, além de atender os requisitos da LGPD.  

Entre em contato hoje mesmo, ligando ou enviando uma mensagem para o número de WhatsApp (15) 18103-3543.