Saúde e segurança cibernética: cuidados com os dados em um setor crítico

Desde 2020, a saúde digital passou a ocupar um lugar de ainda mais importância no Brasil (e em todo o mundo) na busca por soluções ágeis para o enfrentamento da pandemia de Covid-19. Um estudo recente do Cetic.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação) revela que ao menos 50% da população brasileira realizou serviços de saúde online nos últimos 12 meses. Assim, o uso da tecnologia para o atendimento à distância é e se consolida cada vez mais como fundamental para a democratização do acesso à saúde.

Contudo, em relação ao tratamento de dados dos consumidores, os cuidados devem ser redobrados no setor de saúde. Arquivos e documentos são uma mina de ouro para os cibercriminosos, que utilizam essas informações para golpes. Por isso, a segurança da informação é uma tarefa essencial para evitar vazamentos e exposição de dados confidenciais - o que acarreta multas, além de problemas jurídicos e de reputação.

O que deve ser protegido?

Todas essas implicações fazem com que os desafios de segurança tecnológica para a saúde sejam tão altos que diferentes estratégias são necessárias para superá-los. Na rotina de clínicas, hospitais e laboratórios, o ponto mais crítico ainda é a proteção de dados do paciente incluídos em arquivos que circulam constantemente entre diferentes profissionais.

Outro ponto de atenção é que os e-mails podem ser brechas para vazamentos. Embora muitas empresas ainda confiem nessa ferramenta para o compartilhamento de informação, uma vez que anexar um arquivo é algo que todos podem fazer, essa praticidade pode ser arriscada quando se trata do envio de documentos confidenciais.

Além do risco de segurança envolvido (interceptar arquivos, enviar para o destinatário errado ou até mesmo um grupo de distribuição inteiro), o e-mail não foi feito para a transferência de arquivos grandes (muitos serviços limitam o tamanho dos anexos a 10 MB ou menos). A capacidade disponível é insuficiente para acomodar formatos de mídia não estruturados como vídeo, áudio e imagens.

Não obstante, a transferência de arquivos grandes por meio de servidores de e-mail causa problemas de desempenho que afetam a confiabilidade e a entrega de arquivos. Ter muitas cópias de anexos grandes consome espaço e cria problemas de gestão de armazenamento. Com isso, o departamento de TI perde a visibilidade dos locais dos arquivos - o que pode ser um problema durante auditorias.

Como alternativa, as soluções de transferências de arquivo (FTP) são melhores do que e-mail, mas têm limites que também comprometem as operações. Com elas, o principal desafio é a falta de um método automático de criptografia durante o transporte de arquivos e seu armazenamento. Somado a isso, o fato de que as soluções de FTP, baseadas em processos manuais sem meios nativos de automação e integração com processos de negócios, não são escaláveis. Por fim, arquivos armazenados em um servidor FTP permanecem lá para sempre ou até que alguém os remova.

Leis de privacidade e sequestro de dados

Nesse contexto, é importante ressaltar que as violações no setor de saúde em diferentes países podem custar mais de US$9 milhões por incidente (dado da IBM/Ponemon, publicado no Beckers Hospital Review) – maior cifra em comparação com qualquer setor. Ainda de acordo com a IBM, quase metade (44%) das violações analisadas no relatório expuseram dados pessoais de clientes, incluindo informações de saúde, nomes, e-mails e senhas. Entre os dados confidenciais que devem ser protegidos, estão: lembretes de consultas, big data (imagens médicas, por exemplo), informações de cobrança e pagamento, relatórios de conformidade regulatória, entre outros.

Além das violações, as leis de privacidade de dados são também um desafio enfrentado pelos profissionais de TI e segurança. No Brasil, com a Lei Geral de Proteção de Dados (LGPD), as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$50 milhões.

Independentemente disso, proteger a privacidade do paciente é a coisa certa a fazer em relação à ética empresarial e à resiliência dos negócios. Para isso, as empresas precisam estar atentas às principais questões para o cumprimento de muitas leis, que incluem:

• Autenticação: verificar se os usuários são quem dizem ser.
• Controle de acesso: garantir que o acesso aos dados não seja permitido sem a devida autorização.
• Segurança de transmissão e armazenamento: incluir criptografia nas transmissões de dados e em repouso.
• Integridade: certificar-se que as informações de saúde protegidas não sejam alteradas sem permissão ou detecção.
• Controle de auditoria: conceder total visibilidade das transferências de arquivos.

Zero Trust

Todas essas questões podem ser controladas garantindo que os dados sejam criptografados durante a transmissão e armazenamento, que as alterações no arquivo sejam detectadas e que a trilha de auditoria mostre tudo o que aconteceu com um arquivo durante o processo de movimentação.

Nas estratégias mais eficazes de proteção de dados, muitos profissionais de TI adotam o conceito de Zero Trust (confiança zero, em tradução livre), que significa que a melhor maneira de proteger todos os dados e ativos é não confiar em nada até que áreas da rede sejam comprovadamente confiáveis.

Dessa forma, os documentos precisam de um alto nível de proteção e ninguém deve ser confiável para acessá-los sem permissão explícita e autenticação validada. Para a Microsoft, esse modelo assume os riscos de violação e verifica cada solicitação como se fosse originada a partir de uma rede aberta. Independentemente de onde o pedido se origina ou qual recurso ele acessa, o Zero Trust “nunca confia, sempre verifica”.

Uma chave para aplicar a política Zero Trust é garantir gerenciamento e proteção de identidade fortes, principalmente por meio de autenticação, que deve ser aplicada em todo o ambiente, limitando os direitos dos usuários apenas ao que é absolutamente necessário. Ou seja, somente aqueles que precisam abrir, transferir ou receber um arquivo podem fazê-lo.

Hoje, no setor de saúde, a tecnologia é responsável por conectar todos os atores. Por isso, medidas de segurança eficientes são indispensáveis para garantir a integridade dos processos. Adotar políticas de controle de acesso às informações ajuda a manter a segurança e a privacidade de dados críticos, alavancando a saúde digital, e contribuindo para expandir o alcance do atendimento assistencial. Nesse contexto, o maior beneficiário deve ser sempre o paciente, e o objetivo é manter sempre a segurança de seus dados. 

 

Francisco Larez - vice-presidente da Progress para América Latina e Caribe.