Dia Nacional da Saúde: uma reflexão sobre a evolução tecnológica e os perigos que vêm com ela
A inovação na área da saúde está se expandindo cada vez mais e com possibilidades extremamente promissoras. Isso se deve principalmente às tecnologias atuais e futuras que estão sendo aplicadas no dia a dia de clínicas, consultórios e hospitais, ajudando a melhorar o atendimento e a assistência ao paciente. Dessa forma, a tecnologia permite a tomada de decisões de forma mais precisa.
A tecnologia é de extrema importância, pois gera muitos impactos na forma como as doenças são tratadas, e também na gestão da saúde e no acompanhamento dos pacientes. Com tais ferramentas, a área da saúde pode coletar informações sobre os pacientes, bem como conhecer as ações preventivas que precisam ser tomadas para reduzir o risco de doenças.
No mês em que se comemora o Dia Nacional da Saúde, é importante mostrar que tanta tecnologia também traz preocupações. Alguns desses dispositivos deixam informações médicas e dados de pacientes expostos online, permitindo que sejam usados por cibercriminosos. Diante desse cenário, é fundamental que as organizações aumentem os investimentos em cibersegurança e trabalhem nisso, para que os dados armazenados na nuvem estejam protegidos, e que todas as informações sejam seguras e privadas.
“À medida que os ambientes de saúde se tornam cada vez mais conectados, a segurança e a confiança são cada vez mais essenciais para garantir a integridade dos dados do paciente e a operação confiável dos aplicativos”, explica Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da DigiCert.
Entendendo os riscos
O cenário de ameaças está em constante evolução, e uma pesquisa recente observou que mais de 500 instalações de saúde foram afetadas por ataques de ransomware no ano passado. Para proteger comunicações e sistemas de saúde sensíveis, os provedores precisam de confiança, confidencialidade, integridade e disponibilidade. Pacientes e médicos precisam ter certeza de que podem confiar nos serviços online que acessam e usam, e que confiam na miríade de dispositivos que acessam seus próprios ambientes. Eles também precisam confiar nas interações diárias do computador em seus ambientes, como atualizações de software, mensagens e outras funções regulares.
Nesse caso, o tipo de ataque mais comum utilizado pelos cibercriminosos é o ransomware, um tipo de malware que criptografa os arquivos e restringe seu acesso a eles em troca de um resgate econômico. Embora a única ameaça não venha apenas de ataques de computador, também pode haver uma violação da privacidade dos dados devido ao abuso de um funcionário interno que pode acessar as informações do paciente e transmiti-las para o exterior com fins lucrativos ou por erros não intencionais. A confidencialidade é o princípio básico de uma política de segurança do ambiente sanitário, que obriga os profissionais de saúde ou qualquer outra pessoa a não divulgar as informações fornecidas pelo paciente.
O segundo problema é que, mesmo dentro de um único hospital, a segurança é uma responsabilidade compartilhada. Quando um recurso é comumente compartilhado, o incentivo de cada parte é obter o maior benefício possível e, ao mesmo tempo, incorrer no menor custo possível. Esse problema é conhecido como a “tragédia dos bens comuns”. “Tome o exemplo de um profissional de saúde que depende de uma bomba de infusão para tratar pacientes diabéticos. A responsabilidade de garantir esse dispositivo recai sobre os ombros do fabricante ou do profissional de saúde? Quem é o proprietário para garantir a transmissão de dados da bomba? A resposta a essas perguntas depende de quem você pergunta “, diz Dean Coclin.
Para aumentar ainda mais a complexidade, uma rede de saúde pode usar dispositivos de 50 fabricantes diferentes. Quem é o responsável neste caso? Infelizmente, as perguntas não param por aí. Os provedores de software EHR fornecem atualizações seguras? Você confia na integridade do código carregado nos dispositivos? Que medidas são implementadas para garantir que apenas as pessoas certas tenham acesso aos dados do paciente? Lamentavelmente, os humanos tendem a fazer mudanças apenas quando são apresentados incentivos atraentes ou quando o problema que enfrentam se torna doloroso o suficiente.
O caminho para a segurança
As conexões móveis podem ser inseguras, a autenticação do usuário pode ser insuficiente e a criptografia de transporte pode ser inexistente ou mal implementada. A infraestrutura de chave privada (PKI) provou ser uma solução de segurança confiável que pode fornecer segurança robusta para dispositivos conectados. Permite principalmente:
1. Integridade dos dados: os certificados de assinatura de código podem ser usados para assinar quaisquer dados que sejam transmitidos entre dispositivos, incluindo atualizações do firmware do dispositivo, para garantir a integridade total das informações confidenciais de saúde.
2. Autenticação de usuários, sistemas e dispositivos: a autenticação é mais sobre autenticação mútua de um dispositivo para um gateway ou outro dispositivo, um aplicativo móvel ou outro tipo de serviço. O que a PKI faz é autenticar as conexões de back-end para garantir que nada que conecte o dispositivo seja malicioso.
3. Criptografia de informações confidenciais: registros de pacientes e outros dados confidenciais precisam ser tratados de forma confidencial por meio do uso de criptografia para garantir que essas informações em repouso e em trânsito sejam mantidas fora do alcance de hackers e outros agentes mal-intencionados.
A PKI também é uma solução de segurança altamente escalável e flexível. Em organizações com milhares de conexões e dispositivos, uma plataforma de gerenciamento de certificados pode permitir que os administradores implantem ou modifiquem rapidamente grandes volumes de certificados. Ao usar certificados digitais, a PKI autentica usuários, sistemas e dispositivos sem a necessidade de tokens, políticas de senha ou outros fatores desconfortáveis iniciados pelo usuário.
Fique de olho no futuro
A autenticação de ponta a ponta não se materializa no setor de saúde até que fabricantes de dispositivos, hospitais, seguradoras, fornecedores de software e provedores de segurança reconheçam sua responsabilidade compartilhada e comecem a trabalhar de forma colaborativa. Devido ao crescente número de danos na assistência médica, a segurança cibernética está se tornando um ponto de dor para aqueles que trabalham no setor. Essa dor está fazendo com que alguns ajam e ponham mais segurança no lugar.
Portanto, mais do que nunca, o setor de saúde precisa se preparar para o futuro. Comece fazendo um inventário de todos os dispositivos usados em sua organização de saúde – incluindo locais de atendimento remoto. “Entenda seu risco e tome as medidas apropriadas para reduzir esse risco. A PKI é um bom ponto de partida para proteger conexões remotas. Ela aborda as armadilhas de segurança comuns da autenticação forte, criptografia de dados e garantia da integridade dos dados”, conclui Dean Coclin.