A tecnologia tem sido um grande braço no avanço da medicina, mas especialistas alertam que o setor da saúde precisa se preparar para os ricos cibernéticos que surgem junto com ela. Esse tema será alvo das principais discussões da próxima conferência internacional Cyber Security Summit Brasil, que acontece entre os dias 25 e 26 de julho, em São Paulo.
Dale Nordenberg, co-fundador e Diretor Executivo do Consórcio de Inovação, Segurança e Segurança de Dispositivos Médicos (MDISS) e CEO da Novasano Health and Science nos Estados Unidos – convidado também para participar da conferência -, adianta um pouco o assunto e defende que o primeiro passo para melhorar a questão da cibersegurança na medicina é conscientizar as instituições sobre os reais riscos. Para ele, agências de saúde pública deveriam promover o risco cibernético como um “problema de saúde pública” e não como um problema técnico. De acordo com Dale, isso garantiria que as partes interessadas fossem mobilizadas, os dados fossem coletados e compartilhados de maneira segura, a educação e o treinamento da força de trabalho progredissem, as melhores práticas fossem desenvolvidas e verificadas como eficazes, a política pública fosse implementada e houvesse avaliação contínua do risco como um todo.
A Dra. Priscila Raupp da Rosa, Médica do Núcleo de Telemedicina do Hospital Sírio-Libanês e também convidada para falar no Cyber Security Summit Brasil, explica que o assunto vem sendo debatido nos hospitais brasileiros nos últimos 10 anos e se intensificou após os episódios do WannaCry e Petya (2017 e 2018, respectivamente). “O Brasil entendeu que essa é uma ameaça real e muitos hospitais, inclusive públicos, estruturaram comitês para gestão de riscos da informação. A informatização dos sistemas de prontuário eletrônico, embora em muito já tenha avançado na última década, ainda não atinge 100% dos hospitais, clínicas e consultórios e isso justifica porque a comunidade médica ainda não incluiu atitudes para segurança de dados nos preceitos de Boas Práticas Clínicas”.
A médica lembra que a Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020, é uma prova de que o Brasil está atento e preocupado com a ação de hackers, mas não é o bastante. “É uma preocupação dos hospitais, mas ainda não é uma cultura da comunidade médica, precisamos divulgar e implementar ações para conscientização dos profissionais de saúde”.
De acordo com a Dra. Priscila Raupp, o sequestro e divulgação do prontuário eletrônico do paciente é o risco cibernético mapeado pelos hospitais brasileiros. Mas existem ainda outras ameaças que colocam em risco a vida do paciente, como, por exemplo, a invasão de bombas de infusão de insulina, bombas de infusão de medicamentos endovenosos em unidades de terapia intensiva, podendo administrar doses letais ou até mesmo descarregar a bateria de uma marca-passo cardíaco levando à cessação de seu funcionamento.
Outros riscos em evidência seriam com os IoT’s (mais conhecido como Internet das Coisas), que vem ganhando cada vez mais espaço em equipamentos médicos, com o objetivo de trazer benefícios, como, por exemplo, a possibilidade de monitorar o paciente em tempo real, dispondo a informação de seus sinais vitais para seus médicos que está à quilômetros de distância e fornecendo alertas ao paciente em situação de piora do quadro clínicos. “No entanto, oferece risco ao transmitir dados e comandos, muitas vezes não criptografados, usando uma rede wireless”, acrescenta a médica.
Para Nordenberg, o grande perigo está em lidar com desconhecido. “Não se pode gerenciar o ‘desconhecido’, expressa o especialista. Dale ainda lista as principais brechas encontradas, que causam grandes estragos: Dispositivos médicos sem patches; Senhas fixas para dispositivos médicos que fornecem acesso ao dispositivo; Falta de vigilância cibernética em tempo real de dispositivos médicos; Incapacidade de executar vigilância cibernética em muitos hospitais e empresas de prestação de serviços de saúde; além da falta de tomada de decisão baseada em evidências. Esse último estaria relacionado à necessidade de desenvolver ou amadurecer os dados e a ciência da informática e os métodos epidemiológicos para melhor compreender e administrar esse risco para a saúde.
O especialista explica que, na saúde, o risco de segurança cibernética para os pacientes deve ser tratado como qualquer outro risco de segurança do paciente. Requer uma definição clara, uma base de evidências, criação de programas para detectar o risco, programas que forneçam intervenções para mitigar o risco e, finalmente, os programas de avaliação para apoiar a melhoria contínua desse processo geral.
Dale conclui: “Todo paciente tem o direito de ser exposto a dispositivos médicos que foram otimizados para confidencialidade, integridade e disponibilidade de dados e funcionalidade”.