Poucos setores da economia brasileira se transformaram tanto nos últimos 15 meses como a área de serviços de saúde. Já no início de 2020 a telemedicina foi oficializada pela Resolução 2.227 do CFM (Conselho Federal de Medicina). Uma das principais startups desse segmento, a Conexa, chegou a realizar 15.000 consultas virtuais por dia em agosto de 2020. Um ano antes, aconteciam 50 consultas de telemedicina ao dia. Nos primeiros seis meses de 2020, a empresa realizou 3,5 milhões de consultas a distância. A Amil, por outro lado, realizou 380 mil atendimentos remotos somente em março, abril e maio do ano passado.

Outra prova da tremenda expansão dos ambientes digitais da área de saúde diz respeito à disseminação de dispositivos IoT. Segundo pesquisa global da ResearchAndMarkets realizada em 2020, estima-se que o uso dessa tecnologia na vertical saúde deva crescer 39% até 2025. Da monitoração de uma UTI a aparelhos de medir pressão usados na casa do paciente, passando por tags que controlam toda a cadeia de valor que suporta o transporte e o armazenamento de vacinas contra a Covid-19, infraestruturas IoT são cada vez mais críticas.

Todo esse quadro vai se acelerar ainda mais com a chegada da rede 5G ao Brasil. Do processamento e transmissão com baixa latência de pesadas imagens de exames ao monitoramento remoto de wearables de saúde que poderão, com a ajuda de IA, atuar sobre o corpo do paciente, novos horizontes se abrem. Pesquisa da Accenture de maio de 2020 indica que, para os hospitais, a expectativa é que a rede 5G contribua para reduzir os custos da instituição de saúde em 16% nos próximos 5 anos.

Juntamente com esses ganhos aumenta, também, a superfície de ataque em hospitais, clínicas e laboratórios.

O Relatório de Ameaças Cibernéticas da SonicWall – pesquisa divulgada em março de 2021 – indica que, em todo mundo, aumentou em 123% a incidência de ataques de ransomware nessa vertical. O objetivo dos criminosos digitais é sequestrar o acesso de médicos, enfermeiros e técnicos às aplicações essenciais para o atendimento dos pacientes. Foi o que aconteceu com o Hollywood Presbyterian Medical Center em Los Angeles, Califórnia, em 2019. Criminosos digitais bloquearam por duas semanas o acesso dos funcionários aos emails e outras formas de comunicação eletrônica. Sem saída, os administradores do hospital pagaram o resgate de US$ 17,000.00.

É importante refletir, também, sobre o uso de dispositivos IoT no ambiente de saúde. Os pesquisadores do SonicWall Capture Labs apontam o crescimento de 17% de ataques focados em IoT na América Latina. É comum o uso de bots para escravizar sensores com poucos recursos de segurança, que passam a ser controlados remotamente por criminosos digitais.

Uma das aplicações de IoT em saúde mais críticas é, justamente, a cadeia de logística – e de equipamentos refrigerados – que suporta o processo de vacinação contra a COVID-19. Em abril deste ano, a IBM divulgou um estudo sobre a crescente incidência de ataques contra essa cadeia de logística. Foi identificada uma campanha de phishing focada em 44 companhias globais responsáveis por equipamentos e softwares utilizados no transporte e preservação de doses das vacinas. O ataque foi replicado em 14 países, incluindo o Brasil.

O quadro ganha complexidade quando se compreende que outro alvo preferencial dos criminosos digitais são os sistemas que suportam os processos da vertical saúde. Trata-se de aplicações com ultra específicos formatos de dados, protocolos de comunicação e dispositivos médicos. Todas essas plataformas coexistem e trocam dados, o que aumenta o desafio do time de ICT Security.

Principais sistemas do setor de saúde:

  • HIS (Sistema de Informações Hospitalares) – dados essenciais para o funcionamento da organização
  • LIS (Sistema de Informações Laboratoriais) – dados laboratoriais
  • RIS (Sistema de Informações Radiológicas) – dados de radiologia
  • PACS (Sistema de Arquivamento e Comunicação de Imagens) – imagens geradas por dispositivos como equipamentos radiográficos, de ressonância magnética, de ultrassonografia ou de videoendoscopia

A indisponibilidade desses sistemas pode inviabilizar as operações de uma empresa da área de saúde. O vazamento de dados sobre os pacientes, por outro lado, pode levar a empresa a ser alvo de multas da LGPD (Lei Geral de Proteção de Dados). A partir de agosto deste ano a lei começará a ser fiscalizada, exigindo que empresas de saúde atuem preventivamente para evitar vazamentos de dados críticos.

Como, então, proteger as fronteiras digitais do setor de saúde brasileiro?

Continuar investindo na maturidade digital da empresa de saúde: a digitalização é um caminho sem volta. Para preservar a segurança das novas superfícies de ataque, é essencial trabalhar em duas frentes. De um lado, atualizar constantemente as soluções de cyber segurança, compreendendo que novas ameaças exigem tecnologias baseadas em Inteligência Artificial e Machine Learning. Tão importante quanto isso é seguir promovendo treinamentos e ações de conscientização de usuários. Grande parte dos ataques começam quando um profissional é atraído por um e-mail de phishing para clicar em um link espúrio. Quanto maior for a maturidade digital da organização, maior a proteção do ambiente contra as gangues digitais.

Proteger os dispositivos que estão conectados à Internet. Para isso, é essencial reduzir ao máximo as portas de comunicação que estão abertas ao tráfego externo. Pesquisadores da SonicWall descobriram que o uso de padrões de portas mais vulneráveis aumenta em 37% as chances de sucesso de uma invasão. Na Dark Web, informações sobre portas vulneráveis na vertical saúde são alguns dos ativos mais valorizados e comercializados.

Trabalhar proativamente para evitar o roubo de credenciais. Nada facilita mais o acesso de um criminoso digital do que estar de posse das credenciais de usuários com plenos poderes de acesso a dados críticos. É necessário implementar uma política de senhas robustas, para evitar situações em que o usuário repete a mesma senha em diferentes sistemas ou segue usando senhas antigas. A imensa quantidade de dados vazados no Brasil nos primeiros meses de 2020 aumenta o peso desse ponto. De posse de credenciais vazadas, os criminosos digitais utilizam algoritmos e alto poder de processamento para simular invasões até encontrar a senha correta.

Implementar recursos de segurança no endpoint. Os PCs, notebooks e smartphones de médicos, enfermeiros, técnicos e profissionais administrativos têm de ser protegidos por soluções específicas. São recursos de software que garantem que acessos a todo tipo de aplicação ou recursos da empresa de saúde obedeçam à política de segurança. Essas plataformas são atualizadas 24×7 de modo a oferecer proteção contra novos tipos de ataques, incluindo ameaças Zero Day. Trata-se de um recurso importante quer o profissional de saúde trabalhe no ambiente da empresa, quer atue em Home Office.

A revolução digital que foi acelerada pela pandemia seguirá modificando os processos do setor de serviços de saúde. Em 2021, é fundamental adicionar, à expansão da infraestrutura, políticas e soluções de segurança que efetivamente protejam a integridade de um setor crítico para o Brasil.