Segurança de dados em saúde precisa se tornar prioridade para garantir a proteção das informações
Segurança de dados em saúde precisa se tornar prioridade para garantir a proteção das informações
A operadora de saúde Golden Cross sofreu o seu segundo
A operadora de saúde Golden Cross sofreu o seu segundo ataque hacker na tarde da terça-feira, 20, após ter sido vítima de uma invasão em seu sistema no início de setembro, o que expôs problemas com segurança de dados. Em nota publicada em seu site oficial, a empresa afirma que “identificou uma instabilidade sistêmica causada por um incidente de segurança que afetou parte de seus servidores. Os sistemas foram, inicialmente, interrompidos de forma preventiva, e desde então estão funcionando em regime de contingência, e sendo restabelecidos conforme ordem de prioridade e relevância”.
Dessa vez, os invasores deixaram uma mensagem ameaçando vazar dados pessoais de beneficiários, supostamente obtidos por eles, e que caso a Golden Cross tenha interesse, poderia entrar em contato e evitar que isso ocorra. A prática é conhecida como “sequestro de dados”, quando hackers cobram resgates para não tornar públicos e devolver o banco de informações.
Não é a primeira vez que uma empresa de saúde é vítima de um ataque hacker. Mas esse novo episódio traz à tona a vulnerabilidade da segurança da informação no setor como um todo, em um cenário onde os dados de saúde se tornaram cada vez mais valiosos. Com um orçamento limitado e focado na assistência, pequenas e médias empresas não possuem uma equipe dedicada à proteção de dados, o que se torna cada vez mais urgente com a digitalização.
“Investe-se menos na proteção dos dados digitais porque tem todo um cenário que não estava preparado para a digitalização que temos hoje. Quem está na sobrevivência e tem que dar conta de diversos tipos de sistema e automações, que estão gradativamente ocorrendo no cenário da saúde, ainda não foi exposto essa questão mais grave sobre os dados”, explica Guilherme Zwicker, presidente do Instituto HL7 Brasil.
Contudo, é preciso ter em mente que um vazamento de dados tem diversos impactos aos usuários, como a possibilidade de fraudes com dados vazados. Além de afetar a credibilidade e o nome de uma instituição de saúde, um ataque hacker pode impactar no atendimento e tratamento de pacientes, o que resulta em custos aos prestadores e, principalmente, em risco à saúde da população.
O boom da digitalização
A saúde é um dos setores que mais demorou para começar o processo de digitalização – e está longe de terminar. Com a pandemia de Covid-19 houve avanços significativos nesta área, impulsionados pela criação da Lei Geral de Proteção de Dados Pessoais (LGPD) e pelas necessidades de realizar atendimentos remotos. A fragmentação das informações é uma debilidade, mas que já tem tido a atenção de diferentes prestadores de serviços de saúde para avançar a pauta.
Mas essa não é a realidade da maior parte do Brasil. De acordo com Zwicker, “a digitalização do Brasil é rasante, muito diferente do cenário americano. Estamos em uma fase em que a grande massa de dados acontece ainda nos Sames [Serviços de Arquivo Médico e Estatística] tradicionais, com papel. O cenário de segurança é outro, para que não roubem ou tirem foto do papel. O cuidado digital da fuga de informação está em uma camada anterior, dos dados registrados em algo arcaico”.
Por outro lado, hospitais e prestadores maiores, com mais orçamento e afinidade com tecnologia, assim como startups que já nasceram na era digital, já possuem capacidade e ferramentas que possibilitam a utilização de sistemas, programas e gadgets, que através do histórico e dos dados dos pacientes, conseguem colaborar com um tratamento mais eficaz e direcionado.
Entretanto, emerge no setor a necessidade de proteger esses dados, garantindo a privacidade dos usuários do sistema de saúde. Assim como uma estrutura física demandou uma equipe de segurança, seja na porta dos hospitais ou até em alguns setores internos, o espaço digital também necessita de recursos para esse fim.
“No fim das contas, a escolha é entre comprar uma ressonância magnética ou esse negócio de cibersegurança. É isso que passa muito na cabeça dos médicos, e principalmente em hospitais que são administrados por eles. Estamos indo para uma era que se a cibersegurança não for considerada prioridade, vamos ter muitos problemas”, afirma Andrey Abreu, diretor corporativo de tecnologia na MV, uma das principais empresas de prontuário eletrônico do país.
O impacto das invasões
A Pesquisa Febraban de Tecnologia Bancária 2022, realizada pela Deloitte, aponta que a cibersegurança e a segurança da informação já representam 10% do orçamento de tecnologia das instituições bancárias. Esse é um número para se utilizar como referência ao analisar o setor da saúde, mas que não pode ser comparado sem uma análise crítica.
“O orçamento de TIC (Tecnologia da Informação e Comunicação) de um hospital é muito menor que de um banco. É uma característica do meio da saúde, ainda é visto como um custo, não uma necessidade de investimento. Quando você pega um orçamento que já é pequeno, e ainda pega 10% disso para segurança da informação, é muito pouco perto do que a gente precisa ter de protagonismo com a segurança”, ressalta Andrey.
Uma pesquisa realizada em 2021 pelo Datafolha, a pedido da Mastercard, ouviu 351 gestores de tecnologia de empresas de diferentes setores. Na área da saúde, 44% dos profissionais afirmam que as empresas não estão preparadas para lidar com um ataque cibernético.
O impacto disso pode ser gigantesco. Em 2017, quando o Hospital de Amor (antigo Hospital do Câncer de Barretos) sofreu uma invasão hacker, cerca de 3 mil consultas e exames precisaram ser adiados até que os sistemas fossem restabelecidos, assim como as sessões de radioterapia. Isso afetou não só a unidade do interior paulista, mas também diversas filiais da instituição pelo país.
A normalização do atendimento só ocorreu 6 dias após o ataque, que bloqueou 1 mil computadores da instituição. Em se tratando de um hospital especializado em uma doença que requer diagnóstico e tratamento precoce, um ataque dessa magnitude pode provocar muito mais que vazamento de informações.
“A saúde é o segundo lugar entre os setores que mais sofrem ataques no Brasil, só perde para o varejo. É muito grande o interesse dos criminosos nas instituições de saúde. Você parando um hospital, para um monte de coisa juntos: prontuário, medicação, farmácia, tudo. A gente está falando de um processo bastante grave”, explica o diretor da MV.
A pesquisa “The Insecurity of Connected Devices in Healthcare 2022”, realizada pela Cynerio e o Ponemon Institute com 517 líderes de empresas de saúde, mostra que 43% afirmam ter tido ao menos um ataque hacker nos 24 meses anteriores. Desses, 24% resultaram em um aumento da mortalidade, já que afetou o sistema da instituição e o atendimento.
Por isso, não são raros os casos em que hospitais pagam o resgate solicitado pelos invasores, seja para liberar o sistema ou recuperar dados roubados. Cerca de 42% dos entrevistados que relataram invasões afirmam que efetuaram pagamentos, sendo que em 32% dos casos um valor expressivo, que pode impactar o orçamento da unidade: entre 250 e 500 mil dólares.
O que fazer?
“Não é que você vai assegurar que os dados não vão vazar. Você tem que fazer todos os esforços possíveis para que o dado não vaze. É preciso saber o que existe e a dificuldade de entender a natureza dos dados, que não é óbvio. E também, se apoiar em alguns tipos de certificação. Se você contratar um sistema certificado pela Sociedade Brasileira de Informática em Saúde (SBIS), sabe que a entidade já fez testes e que ele preencheu os requisitos”, explica Guilherme Zwicker, presidente da HL7 Brasil.
Buscar por prestadores de serviços referenciados, com certificações de segurança da SBIS ou de outras instituições, como a HIMSS (Healthcare Information and Management Systems Society), assim como construir uma equipe sólida e com excelência, são alguns dos principais passos para aumentar a segurança.
Andrey Abreu, da MV, explica que a necessidade de segurança para cada hospital, clínica ou laboratório, vai estar atrelada ao tamanho e utilização de sistemas e dados. Um pequeno consultório tem menos ricos e informações do que uma grande rede ou ecossistema de saúde. Para ele, “estamos em um processo de consolidação de mercado, que vai trazer mais profissionalização, subir a régua. Com isso, você vai ter hospitais que não tem estrutura comprados por grandes redes, entrando em um pool de tecnologia muito mais avançado”.
Grande parte dos serviços e sistemas fornecidos pela MV são on-premise, isto é, onde a empresa que contrata tem responsabilidade de se adequar e controlar internamente o seu uso, assim como o banco de dados. A segurança do software é testada pela MV, mas ela não tem responsabilidade pela segurança na utilização do hospital ou operadora. A empresa conta com parceiros que trabalham especificamente com cibersegurança e que podem prestar serviços nesse sentido.
Contudo, Andrey explica que grande parte dos ataques estão ligados ao mau uso dos colaboradores com a internet, que acessam links suspeitos ou fazem download de arquivos ransomware, o tipo de vírus que sequestra dados e sistemas, principalmente por parte de gestores e administradores que possuem senhas com grandes acessos. Por isso, reforça que é preciso trabalhar a educação contínua dos funcionários, para reduzir as invasões, assim como adotar boas práticas, tais como:
- Reavaliar prioridades de investimento
- Planos de segurança começando pela TI
- Criar política de uso de redes
- Prevenção contra vazamentos
- Serviços de cloud profissional (mesmo que internos, da própria empresa, sigam padrões de mercado)
- Se preparar para sequestros de dados (backup, descentralização dos bancos, etc.)
- Capacitar equipes e profissionais
Soluções no mercado
Hospitais e outros prestadores ainda podem optar por contratar serviços on cloud (na nuvem) de forma a reduzir os riscos. Esses sistemas não necessitam de um servidor ou um datacenter localizado, já que as empresas de tecnologia fornecem o espaço de armazenamento mantido por elas.
A Pixeon, empresa de software e sistemas para medicina e saúde, é uma delas. De acordo com Iomani Engelmann, sócio-fundador, a ideia é que se reduza o investimento em infraestrutura interna das instituições, contratando serviços especializados, assim como gastos com manutenção, atualização e equipe de segurança de dados.
“As instituições de saúde têm um investimento apertado para tecnologia e não tem condições em investir em firewall, antivírus, e tudo que é mais moderno em relação à segurança de dados. Então, queremos tirar um pouco dessa necessidade de investimento, onde o cliente coloca a infraestrutura dele em nuvem e com isso acaba minimizando os gastos” , explica Iomani.
A empresa destina parte dos investimentos para realizar pentests (teste de penetração) em seus sistemas, para reduzir os riscos de invasão ou vazamento por falhas de seguranças internas. Contudo, o sócio-fundador aponta que também trabalha com a educação das empresas do setor, com foco na minimização dos riscos.
Por mais que seja uma solução mais segura, existem prós e contras de utilizá-la, assim como qualquer sistema. Por ser na nuvem, requer uma conexão com a internet estável e disponível o tempo todo, o que pode ser um desafio para algumas localidades. Oscilações podem resultar em perdas de tempo e qualidade dos serviços. Com a chegada do 5G em todo o país, esse cenário pode mudar.
Iomani ainda aponta que parte das instituições seguem utilizando plataformas obsoletas e que isso requer atenção e orçamento para realizar novos investimentos e atualização dos sistemas. Ainda, ele explica que aos poucos está mudando a forma de gestão das empresas, o que pode vir a aumentar o número de entidades que utilizam a tecnologia on cloud.
“A política das instituições de saúde era muitas vezes de investimentos em ativos físicos, era natural um hospital ter investimento em hardware, e agora está migrando para um modelo de monitoramento de prestadores de serviços. Essa transição ainda está ocorrendo na saúde, mas não há mais resistência”, explica o sócio-fundador da Pixeon.
Sobre a questão da segurança de dados em saúde, Iomani acredita que a aplicação da LGPD irá impulsionar a busca e o interesse das empresas de saúde, porque pode impactar não só a credibilidade, mas o orçamento das instituições. A lei prevê multa de até 2% do faturamento das empresas que descumprirem as normas.
Equipe de segurança de dados
Com a Lei Geral de Proteção de Dados Pessoais, toda empresa deve ter um Data Protection Officer (DPO), um profissional focado em “atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”, segundo a própria LGPD. A Afya, empresa de educação com foco em saúde, já conta com um colaborador atuando nesse sentido.
De acordo com Ricardo Matos, Chief Information Officer (CIO) e DPO da Afya, a empresa realiza campanhas assíduas com os colaboradores e testes phishing, que consistem em disparar links para verificar como os funcionários têm se comportado frente a possíveis invasões, atrelado a um treinamento de como reduzir os riscos: “A partir do momento que ela participa de uma campanha de conscientização ela para de aparecer nas próximas. A reincidência diminui muito. Temos conseguido bons resultados”.
Além disso, a Afya também conta com equipe dedicada para a segurança da informação, consultorias externas e monitoramento constante, para garantir a proteção dos dados dos usuários. Grande parte dos sistemas da empresa são utilizados em nuvem. Ao longo de 2021, a empresa registrou 552 riscos identificados no processo de adequação à LGPD e que foram tratados pelo plano de mitigação adotado por eles.
“Mapeamos todos os novos sistemas e alterações para poder identificar se temos ou não algum gap. Risco vai sempre existir, então você tem que classificar e mitigar aqueles que realmente precisam de foco. Fazemos a identificação, classificação e plano de ação, sempre atacando dos mais críticos para os menos críticos”, explica o CIO. Segundo ele, a operação é viva e requer atenção contínua.
Por ser uma empresa que já nasceu em um ambiente tecnológico, a Afya tem uma atenção redobrada para as questões de segurança e privacidade das informações. Para instituições que nasceram, ou que ainda estão atuando no papel, o processo pode ser mais complexo e demorado, mas ele ainda é necessário. Principalmente, se falamos da digitalização do setor da saúde.
“Quando a gente discute a privacidade, você tem que olhar embaixo os sistemas que estão suportando toda essa armazenagem de dados. Se você não garante a segurança dos sistemas, pode provocar um vazamento de dados, e basicamente você viola a LGPD”, reforça Matos.
Recebar nossa Newsletter

NATALIA CUMINALE
Sou apaixonada por saúde e por todo o universo que cerca esse tema -- as histórias de pacientes, as descobertas científicas, os desafios para que o acesso à saúde seja possível e sustentável. Ao longo da minha carreira, me especializei em transformar a informação científica em algo acessível para todos. Busco tendências todos os dias -- em cursos internacionais, conversas com especialistas e na vida cotidiana. No Futuro da Saúde, trazemos essas análises e informações aqui no site, na newsletter, com uma curadoria semanal, no podcast, nas nossas redes sociais e com conteúdos no YouTube.