Saúde e segurança cibernética: cuidados com os dados em um setor crítico
Por Francisco Larez*
Desde
2020, a saúde digital passou a ocupar um lugar de ainda mais importância no
Brasil (e em todo o mundo) na busca por soluções ágeis para o enfrentamento da
pandemia de Covid-19. Um estudo recente do Cetic.br (Centro Regional de Estudos
para o Desenvolvimento da Sociedade da Informação) revela que ao menos 50% da
população brasileira realizou serviços de saúde online nos últimos 12 meses.
Assim, o uso da tecnologia para o atendimento à distância é e se consolida cada
vez mais como fundamental para a democratização do acesso à saúde.
Contudo,
em relação ao tratamento de dados dos consumidores, os cuidados devem ser
redobrados no setor de saúde. Arquivos e documentos são uma mina de ouro para
os cibercriminosos, que utilizam essas informações para golpes. Por isso, a
segurança da informação é uma tarefa essencial para evitar vazamentos e
exposição de dados confidenciais - o que acarreta multas, além de problemas
jurídicos e de reputação.
O
que deve ser protegido?
Todas
essas implicações fazem com que os desafios de segurança tecnológica para a
saúde sejam tão altos que diferentes estratégias são necessárias para
superá-los. Na rotina de clínicas, hospitais e laboratórios, o ponto mais
crítico ainda é a proteção de dados do paciente incluídos em arquivos que
circulam constantemente entre diferentes profissionais.
Outro
ponto de atenção é que os e-mails podem ser brechas para vazamentos. Embora
muitas empresas ainda confiem nessa ferramenta para o compartilhamento de
informação, uma vez que anexar um arquivo é algo que todos podem fazer, essa
praticidade pode ser arriscada quando se trata do envio de documentos
confidenciais.
Além
do risco de segurança envolvido (interceptar arquivos, enviar para o
destinatário errado ou até mesmo um grupo de distribuição inteiro), o e-mail
não foi feito para a transferência de arquivos grandes (muitos serviços limitam
o tamanho dos anexos a 10 MB ou menos). A capacidade disponível é insuficiente
para acomodar formatos de mídia não estruturados como vídeo, áudio e imagens.
Não
obstante, a transferência de arquivos grandes por meio de servidores de e-mail
causa problemas de desempenho que afetam a confiabilidade e a entrega de
arquivos. Ter muitas cópias de anexos grandes consome espaço e cria problemas de
gestão de armazenamento. Com isso, o departamento de TI perde a visibilidade
dos locais dos arquivos - o que pode ser um problema durante auditorias.
Como
alternativa, as soluções de transferências de arquivo (FTP) são melhores do que
e-mail, mas têm limites que também comprometem as operações. Com elas, o
principal desafio é a falta de um método automático de criptografia durante o
transporte de arquivos e seu armazenamento. Somado a isso, o fato de que as
soluções de FTP, baseadas em processos manuais sem meios nativos de automação e
integração com processos de negócios, não são escaláveis. Por fim, arquivos
armazenados em um servidor FTP permanecem lá para sempre ou até que alguém os
remova.
Leis
de privacidade e sequestro de dados
Nesse
contexto, é importante ressaltar que as violações no setor de saúde em
diferentes países podem custar mais de US$9 milhões por incidente (dado da
IBM/Ponemon, publicado no Beckers Hospital Review) – maior cifra em comparação
com qualquer setor. Ainda de acordo com a IBM, quase metade (44%) das violações
analisadas no relatório expuseram dados pessoais de clientes, incluindo
informações de saúde, nomes, e-mails e senhas. Entre os dados confidenciais que
devem ser protegidos, estão: lembretes de consultas, big data (imagens
médicas, por exemplo), informações de cobrança e pagamento, relatórios de
conformidade regulatória, entre outros.
Além
das violações, as leis de privacidade de dados são também um desafio enfrentado
pelos profissionais de TI e segurança. No Brasil, com a Lei Geral de Proteção
de Dados (LGPD), as regras para segurança de informações de pacientes preveem
penalidades severas para instituições que não cumprem as normas, com multas que
podem chegar a R$50 milhões.
Independentemente
disso, proteger a privacidade do paciente é a coisa certa a fazer em relação à
ética empresarial e à resiliência dos negócios. Para isso, as empresas precisam
estar atentas às principais questões para o cumprimento de muitas
leis, que incluem:
● Autenticação:
verificar se os usuários são quem dizem ser.
● Controle
de acesso: garantir que o acesso aos dados não seja permitido sem a devida
autorização.
● Segurança
de transmissão e armazenamento: incluir criptografia nas transmissões de dados
e em repouso.
● Integridade:
certificar-se que as informações de saúde protegidas não sejam alteradas sem
permissão ou detecção.
● Controle
de auditoria: conceder total visibilidade das transferências de arquivos.
Zero
Trust
Todas
essas questões podem ser controladas garantindo que os dados sejam
criptografados durante a transmissão e armazenamento, que as alterações no
arquivo sejam detectadas e que a trilha de auditoria mostre tudo o que
aconteceu com um arquivo durante o processo de movimentação.
Nas
estratégias mais eficazes de proteção de dados, muitos profissionais de TI
adotam o conceito de Zero Trust (confiança zero, em tradução livre), que
significa que a melhor maneira de proteger todos os dados e ativos é não
confiar em nada até que áreas da rede sejam comprovadamente confiáveis.
Dessa
forma, os documentos precisam de um alto nível de proteção e ninguém deve ser
confiável para acessá-los sem permissão explícita e autenticação validada. Para
a Microsoft, esse modelo assume os riscos de violação e verifica cada
solicitação como se fosse originada a partir de uma rede aberta.
Independentemente de onde o pedido se origina ou qual recurso ele acessa, o
Zero Trust “nunca confia, sempre verifica”.
Uma
chave para aplicar a política Zero Trust é garantir gerenciamento e proteção de
identidade fortes, principalmente por meio de autenticação, que deve ser
aplicada em todo o ambiente, limitando os direitos dos usuários apenas ao que é
absolutamente necessário. Ou seja, somente aqueles que precisam abrir, transferir
ou receber um arquivo podem fazê-lo.
Hoje,
no setor de saúde, a tecnologia é responsável por conectar todos os atores. Por
isso, medidas de segurança eficientes são indispensáveis para garantir a
integridade dos processos. Adotar políticas de controle de acesso às
informações ajuda a manter a segurança e a privacidade de dados críticos,
alavancando a saúde digital, e contribuindo para expandir o alcance do
atendimento assistencial. Nesse contexto, o maior beneficiário deve ser sempre
o paciente, e o objetivo é manter sempre a segurança de seus dados.
*Francisco Larez é
vice-presidente da Progress para América Latina e Caribe.
Nenhum comentário