Ataques cibernéticos à saúde: a febre da pandemia

Mônica Tarantino

29 de setembro de 2021

O tema principal desta reportagem é o interesse crescente de cibercriminosos em dados de saúde e o que fazer para proteger essas informações de violações e vazamentos. O Medscape entrevistou especialistas em tecnologia da informação (TI), privacidade e vigilância digital para saber contra o quê, quando e como empresas, instituições e profissionais de saúde precisam defender as informações armazenadas.

Acredite: neste exato momento, enquanto você lê estas linhas, invasores de várias partes do mundo tentam insistentemente entrar em computadores, celulares ou servidores por meio de mensagens (phishing) ou softwares mal-intencionados (ransomware). Um deles pode ser o seu. O objetivo é roubar dados, a commodity mais valiosa deste mercado. O que vem depois depende das intenções do ladrão. Boa parte dos cibergatunos quer capitalizar em cima do risco potencial de exposição dos dados confiados a um profissional ou instituição, e pede resgate. Outros preferem vender as informações na dark web (também conhecida por dark net), onde estão abrigados e não são encontrados nas buscas feitas por mecanismos tradicionais, como o Google. A dark web é parte da deep web, uma vasta área de acesso mais difícil da internet, onde trafegam bancos de dados acadêmicos, prontuários médicos, informações confidenciais de segurança nacional, registros financeiros, artigos científicos, repositórios de algumas organizações não-governamentais (ONG) e dados cruciais para a manutenção da rede. Os endereços não aparecem nos buscadores tradicionais e é preciso ter qualificação para acessá-los.

O comércio de dados é tão amplo que dados vazados de empresas conhecidas podem ser obtidos até mesmo das mãos de intermediários nas ruas do centro do Rio de Janeiro ou nas imediações da Praça da Sé, em São Paulo. Há ainda os que assaltam as informações alheias para se regozijarem com o fato de derrubar um site ou com finalidades aparentemente mais altruístas, como o hacker que invadiu o site do Ministério da Saúde em fevereiro deste ano para deixar um alerta sobre a sua vulnerabilidade: “Este site está um lixo”, escreveu o desconhecido. A situação aconteceu algumas semanas depois de um vazamento na plataforma eletrônica do Sistema Único de Saúde, o e-SUS, que expôs os dados de mais de 200 milhões de pessoas.

O número de ataques cibernéticos mais que dobrou. Por quê?

As ameaças digitais cresceram durante a pandemia. O Relatório de Inteligência de Ameaças Globais publicado pela NTT, empresa global líder em serviços de tecnologia, revela um aumento de 200% na área da saúde em relação a 2019. A tendência se confirma no Brasil. Outro levantamento, feito pela MZ, empresa de relacionamento com investidores, apontou que a saúde foi o segundo setor que reportou oficialmente mais ataques. O primeiro segmento mais atingido foi o de energia elétrica.

Por que os ataques se intensificaram durante a pandemia? Uma soma de fatores circunstanciais e problemas já conhecidos no processo de transformação digital da saúde brasileira parece ter contribuído para isso. A adesão ao trabalho remoto e a mudança das rotinas operacionais para plataformas digitais facilitaram a atividade dos cibercriminosos, também chamados de crackers – pessoas que normalmente invadem sistemas em troca de benefícios financeiros. O termo hacker, segundo especialistas, refere-se a invasores que não visam lucro.

“O aumento do acesso remoto a servidores é uma porta que se abre para que os sistemas sejam invadidos se não forem tomadas as precauções adequadas para garantir a segurança dos dados”, disse ao Medscape o médico e professor, Dr. Antônio Carlos Onofre Lira, um dos pioneiros da informática médica no país, que também é especialista em gestão em saúde.

A urgência da transformação digital no setor por causa da pandemia colaborou para o aumento dos ataques. “Até recentemente, o mercado da saúde no Brasil ainda tinha suas operações muito analógicas. Agora, estamos migrando numa velocidade muito rápida para o digital, e de uma maneira que aumenta a vulnerabilidade e os riscos à privacidade dos dados”, analisou a cientista social Joyce Souza, mestre e doutoranda na Universidade Federal do ABC, com estudos voltados para o mercado de dados pessoais, análise dos algoritmos preditivos e reprodução do capital na área da saúde. Como exemplo, a pesquisadora cita o processo de incorporação da telemedicina.

“Neste caso, devido à necessidade de isolamento e distanciamento social e, ao mesmo tempo, de ampliação do atendimento médico, a medida foi aprovada em caráter emergencial e sem critérios específicos para a proteção dos dados que circulam pelas plataformas”, disse a especialista. No campo da segurança e privacidade digital, ficaram faltando discussões importantes em vários tópicos, entre elas, sobre o armazenamento dos dados.

“Não se discutiu se os dados podem ser armazenados em servidores localizados no exterior ou não, quais mecanismos de segurança uma empresa de tecnologia precisa ter para atuar nesse segmento, quem são as empresas que terão acesso a esses dados, entre outros pontos fundamentais”, disse a especialista.

Um dos efeitos indesejáveis dessa celeridade foi a amplificação de falhas estruturais, o que ganha relevância ainda maior, considerando que os sistemas de informação em saúde estão entre os mais intricados, comparáveis ao setor aeroespacial. “Há mais instituições usando sistemas eletrônicos e mais gente fazendo softwares de uma maneira mais rápida, e sem atender o rigor técnico necessário”, pontuou o Dr. Antônio Carlos. E isso não passou batido pelo radar dos crackers.

“A informatização feita sem as devidas preocupações resultou numa coleta excessiva de dados, levando muita informação de saúde para o ambiente digital. Os cibercriminosos perceberam esse movimento”, observou o engenheiro Luís Gustavo Kiatake, especialista em normatização técnica na área de tecnologia da informação e presidente da Sociedade Brasileira de Informática em Saúde (SBIS).

A invasão do Grupo Fleury

Quem confia suas informações pessoais a uma instituição ou profissional de saúde aposta que o controlador (quem guarda os dados) tem uma infraestrutura robusta para se proteger de ataques, certo? Por essa razão, o mais recente ataque contra o Grupo Fleury, líder do setor de medicina diagnóstica, no final de junho, surpreendeu o setor. Em 23 de junho de 2021, a empresa comunicou à Comissão de Valores Mobiliários (CVM) e ao mercado que estava atuando para mitigar os impactos de um ataque cibernético no seu ambiente de tecnologia da informação sofrido no dia anterior, e que avaliava a extensão do incidente.

Uma força-tarefa de empresas especializadas em tecnologia da informação foi acionada pelo próprio grupo para investigar o caso, além de uma companhia para certificar a qualidade do processo de retomada. As dimensões do estrago dificilmente serão conhecidas e nem o seu desfecho. Também não se sabe o tipo de dado que vazou, se foram informações anonimizadas ou sensíveis (p. ex., com nome e telefone). De acordo com o relatório da MZ, o Grupo Fleury registrou oficialmente cinco incidentes de tecnologia durante a pandemia.

No dia 30 de junho, a empresa divulgou um balanço informando que havia começado, enfim, a restabelecer os sistemas internos dos hospitais atendidos pelo grupo e garantiu que não havia “quaisquer evidências de vazamento de dados e informações sensíveis.” Procurado pelo Medscape, o grupo não quis dar entrevista a respeito da invasão. A atitude não surpreende, já que a maioria das instituições atingidas por ataques cibernéticos prefere não comentar o assunto, alegando questões de segurança, mas também costuma ser para evitar mais desgaste da imagem da empresa.

Por que os dados de saúde estão na mira dos invasores?

Os dados de saúde são classificados como informação sensível pela Lei Geral de Proteção de Dados (LGDP), em vigor desde setembro de 2020 e com sanções a partir de agosto de 2021. A lei consiste em um marco legal do setor no país. “Dado sensível é aquele que contém informações capazes de identificar uma pessoa e que, dependendo do uso, pode trazer maior risco à intimidade, honra ou imagem de seu titular”, define Lincoln Moura, Ph.D., diretor da área de saúde da Accenture, empresa global de consultoria de gestão, tecnologia da informação e outsourcing. Com larga experiência na área pública e privada, Lincoln é uma referência para os profissionais do setor no país.

Lincoln acompanha, há décadas, diversas estatísticas sobre o valor dos dados de saúde. “Uma delas indicava que os dados bancários valiam um dólar no mercado paralelo, enquanto o dado em saúde chegava a sete dólares”, contou o especialista. Mas o que justificaria a diferença entre dados igualmente sensíveis? A resposta pode estar na lógica empresarial do uso, visto que há uma aplicação muito diversificada para essas informações. Quando são usados para gerar conhecimento, os dados de saúde ajudam a prevenir doenças, a entender como funcionam os remédios e seus efeitos indesejáveis, estimar populações com maior risco de doenças. Da mesma forma, o uso de dados pessoais de forma ilícita serve a muitos interesses. Durante as entrevistas feitas para sua tese de mestrado, a pesquisadora Joyce, por exemplo, deparou-se com algumas trocas de dados entre empresas em detrimento dos titulares das informações. Neste caso, a mesma empresa que fornecia um vale-farmácia como benefício aos seus funcionários, recebia dados que serviam para monitorar, indevidamente, quais funcionárias deixavam de fazer uso de métodos contraceptivos e, portanto, poderiam engravidar. Fica claro que quem compra ou usa essa informação não deveria fazê-lo.

“Obviamente, esse conhecimento tem valor e pode ser vendido no mercado. Mas se você não tem direito ao acesso a uma informação, não deve usá-la”, reforçou Lincoln.

Há ainda uma dimensão mais complexa na aplicação dos dados de saúde, que transcende os pedidos de resgate e acena com ganhos em escala: o desenvolvimento de produtos e serviços, planejamento de ações de marketing, tomada de decisões estratégicas de mercado e análises preditivas, o que é vedado pela LGPD sem a concordância dos pacientes.

“Os dados de saúde são cada vez mais valorizados para o desenvolvimento das novas tecnologias digitais. As tecnologias que adentram o guarda-chuva da inteligência artificial na saúde só se desenvolvem e ampliam a eficiência a partir de uma coleta massiva de dados voltada ao treinamento dos algoritmos e dos robôs”, disse Joyce.

A especialista relata que grandes operadoras de saúde também têm feito uso não autorizado de dados de saúde a elas confiados em um determinado contrato para autorizar ou vetar a migração de usuários para outros planos. Denúncias dessa natureza têm sido registradas em organismos de defesa do consumidor ou na própria Agência Nacional de Saúde Suplementar (ANS).

“Seguradoras e operadoras de planos de saúde têm tido acesso a dados de doenças pré-existentes, por exemplo, que não estavam registrados em seus bancos de dados. Parece-me que têm ocorrido uma troca de informações entre essas empresas, pois os relatos revelam ser comum a situação em que um cliente preenche a declaração de saúde de um novo plano e não menciona uma cirurgia feita há anos. Em seguida, a nova operadora/seguradora alerta o cliente de que falta algo em sua declaração e solicita que faça um novo preenchimento. Como seria possível ela saber essa informação sem a troca de dados com as demais empresas do ramo?”, observou a pesquisadora.

Cuidar da segurança dos dados é como prevenir doenças

É consenso entre os especialistas que as organizações da área da saúde estão menos preparadas do que o setor financeiro para resistir às invasões cibernéticas. Além da necessidade de mais investimentos, o diagnóstico dos experts aponta a necessidade de ampliar a compreensão sobre o que é segurança da informação e o que é importante para construir um sistema menos vulnerável.

“As organizações precisam conhecer as suas fragilidades e definir o nível de segurança de dados que devem alcançar”, disse o Dr. Antônio Carlos, que tem em seu currículo a implementação e gestão de sistemas de instituições privadas e instâncias de governo. Infelizmente, essa consciência ainda é restrita. Assim como existem cidadãos que não acreditam que poderão ser alvo de um roubo de dados, muitas organizações padecem dessa confiança numa espécie de impenetrabilidade que, comprovadamente, é irreal.

“Cuidar da segurança da informação é como fazer a prevenção de doenças: precisa prevenir e monitorar o sistema continuamente”, descreveu Lincoln. Ele explicou que o processo envolve treinamento de pessoas em diversas áreas, mudanças de comportamento e criação de uma cultura organizacional. Vai desde uma rotina de testes de penetração, para avaliar o quanto um sistema está vulnerável, até a certeza de que nenhum funcionário irá conectar um dispositivo externo sem que seja previamente examinado. “Podemos comparar a segurança de dados com um processo de acreditação, que precisa do engajamento de todos. Nesse contexto, a tecnologia é um dos aspectos da segurança dos sistemas”, ensinou.

O investimento financeiro em tecnologia da informação e segurança de dados também precisa ser encarado como uma despesa fixa e imprescindível. Num futuro não tão distante, disse Joyce, esse gasto poderá chegar aos mesmos níveis do investimento feito no negócio principal.

“Não são todas as pequenas e médias empresas que têm condições de endereçar os recursos necessários para garantir a segurança da informação, mas essa questão tem que ser levada mais a sério. Precisamos entender que é um problema da organização, e não apenas do chefe de segurança”, afirmou Lincoln.

Mas o médico que não está ligado às grandes instituições, tão visadas, corre os mesmos riscos? De acordo com os especialistas, profissionais que atuam individualmente ou em clínicas podem estar mais vulneráveis a vazamentos e invasões em função de um conjunto de atitudes que facilitam o trabalho dos crackers. Uma delas é o costume de passar as informações anotadas à mão durante a consulta para serem digitadas por uma secretária ou funcionário para salvá-las em Word, PDF ou escanear. Um número menor de profissionais inclui os dados no Prontuário Eletrônico do Paciente (PEP).

“Nos meus 40 anos de carreira, cansei de ver consultórios médicos guardando dados no computador, com backup armazenado na mesma máquina. Obviamente, não pode dar certo, porque é uma estrutura insuficiente para o tamanho do problema que pode acontecer”, disse Lincoln. A possibilidade de o HD externo queimar ao ser desconectado está entre os riscos que a maioria dos profissionais de saúde ignora.

O hábito de compartilhar senhas e o uso misto do WhatsApp também arrepiam de pavor os especialistas em tecnologia. Seja no consultório ou em hospitais, muitos profissionais de saúde utilizam a mesma senha para acessar o prontuário do paciente. Não raro, a senha fica escrita em um papel colado no computador.

“Não pode! No Brasil, nós não temos ainda uma cultura de cuidado com os dados e nem nos acostumamos com a ideia de que a informação do paciente pertence a ele, e não ao hospital, ao consultório ou ao médico. Temos a guarda dessas informações, que devem ser protegidas e estar disponíveis para o seu proprietário”, pontuou o Dr. Antônio Carlos. Dependendo do sistema usado pelo PEP, o uso compartilhado da senha inviabiliza a rastreabilidade da informação (saber quem inseriu qual informação e quando), o que é essencial. Isso é garantido por mecanismos de acesso, que permitem saber quem inseriu ou mudou uma informação do prontuário médico e quando isso ocorreu. Dependendo do sistema escolhido, isso fica guardado numa trilha eletrônica auditável. Um outro tópico é a segurança do processo.

“Alguns sistemas até permitem dizer quem consultou, mas não mostram o que foi feito”, observou o Dr. Antônio Carlos.

Com relação ao WhatsApp, fotos de família se misturam a imagens de exames e laudos, circulando livremente pelo aplicativo. “Ainda que tudo esteja copiado e armazenado, o celular pode, porventura, estar configurado para salvar as imagens na galeria, que por sua vez pode estar compartilhada na nuvem (cloud). E assim seu filho poderá, sem querer, acessar a tomo e o laudo do seu paciente”, exemplificou o médico. “Uma boa dica para diminuir riscos é manter um celular específico e configurado para a atividade profissional”, orientou o especialista.

As consultas em telemedicina são mais um flanco a ser guarnecido. “Mais da metade das clínicas e hospitais ainda realizam teleconsultas por meio de plataformas de vídeo gratuitas, como Zoom, Skype, WhatsApp ou Google Meet. A rigor, essas informações só deveriam circular em plataformas mais protegidas”, recomendou Lincoln.

A lista de situações é vasta. A pergunta é onde os profissionais de saúde podem buscar informações corretas e acessíveis para proteger melhor os dados dos pacientes. Na visão do Dr. Antônio Carlos, médicos que gerenciam o próprio consultório devem pensar seriamente em incluir no orçamento fixo as despesas com segurança de dados, e ter a ajuda de profissionais dessa área para fazer escolhas melhores.

“Se for contratar um provedor de acesso à nuvem, é preciso ver detalhes do contrato e aprender a fazer esse compartilhando, para não disponibilizar os dados para todo mundo sem perceber”, complementou Luís Gustavo. Ele disse ainda que há muitas medidas simples, ao alcance dos profissionais de saúde, para melhorar a performance digital e reduzir riscos, como oferecer um treinamento inicial de boas práticas aos funcionários que lidam com computadores.

Mais uma boa fonte é a SBIS, que oferece orientações e certificações de softwares de prontuários eletrônicos a preços acessíveis. São recursos eficientes para diminuir os riscos em consultórios e em estruturas maiores.

“Esse processo permite incorporar um conjunto de requisitos específicos de segurança, desde login e perfis adequados a recursos para criptografia. Não impedem um ataque, mas ajudam a resguardar dados e ter backups mais seguros”, descreveu Luís Gustavo.

Lincoln disse ainda que os profissionais de saúde deveriam provocar mais o debate sobre a segurança de dados em suas entidades de classe.

“Essa não é uma questão trivial e estará cada vez mais presente nas nossas vidas”, disse o especialista. Ele destacou que o documento Estratégia de Saúde Digital para o Brasil 2020 – 2028, publicado pelo Ministério da Saúde, inclui explicitamente a necessidade de preparação dos sistemas e dos profissionais de saúde para lidar com a transformação digital.

O que muda com as sanções previstas pela LGPD?

No dia 1º de agosto, entrou em vigor a aplicação de multas e sanções previstas pela LGPD, aprovada em 2018. A partir de agora, a Autoridade Nacional de Proteção de Dados (ANPD) poderá, por meio de denúncias ou notificações, instaurar inquéritos para investigar vazamentos de dados e outros problemas envolvendo informações pessoais, bem como aplicar sanções administrativas. No Brasil, a agência de proteção de dados foi atrelada ao governo federal, com diretoria e conselheiros nomeados pelo presidente da República. Em países europeus, agências desse tipo são independentes.

Dependendo da conclusão do inquérito, a ANPD poderá notificar, pedir correção, punir responsáveis, investir em políticas públicas de segurança e privacidade ou aprimorar a legislação. “Pelo menos, é o que se espera”, disse Luís Gustavo. As penas variam entre advertência, multa diária ou de até 2% do faturamento (limitada a 50 milhões de reais por infração), publicização da infração, bloqueio ou eliminação dos dados pessoais e até suspensão parcial ou total do tratamento de dados.

“A colaboração do infrator é um fator decisivo no dimensionamento da multa, o que inclui a comunicação à Autoridade Nacional dos incidentes de segurança que possam ocasionar risco para os direitos e liberdades do titular”, disse Luís Gustavo. No âmbito da saúde, isso quer dizer que hospitais, laboratórios, operadoras, indústrias e o profissional que atua em consultório devem ir ao site da ANPD e responder perguntas como a quantidade de pacientes afetados; quais medidas de segurança (técnicas e administrativas) foram tomadas para prevenir, remediar e reverter os danos; e se os pacientes foram informados sobre o incidente.

Ainda há muitas questões em aberto a serem discutidas e regulamentadas, segundo Luís Gustavo, entre elas, se um vazamento de 10 prontuários pode ser considerado como 10 eventos distintos, de acordo com a formalização das denúncias, ou apenas um único evento, o que também interfere no cálculo de multas. Outra é se compartilhar dados na nuvem de uma empresa contratada com sede nos Estados Unidos, por exemplo, configura transferência de dados para outro país. Luís Gustavo lembra ainda que está em elaboração a norma que vai estabelecer como será feita a fiscalização por parte da ANPD.

A LGPD também está levando as empresas a fazerem uma grande adequação nos seus formulários para rever o consentimento ao uso de dados pessoais. Se a empresa que tem a guarda dos dados divulgar ou comercializar informações pessoais sem o consentimento do titular e isso for devidamente comprovado, poderá ser notificada e estará sujeita a penalidades.

Por tudo isso, explicou o engenheiro, as empresas precisam redobrar os cuidados com a proteção e integridade das informações pessoais dos seus pacientes.

“Em breve, a população estará mais consciente dos seus direitos sobre os dados, e haverá muito mais denúncias sobre o compartilhamento e uso ilegal à ANPD”, previu.

Instruções sobre a comunicação de infrações relacionadas ao descumprimento da LGPD podem ser consultadas aqui.

Para saber mais, acesse:

Sociedade Brasileira de Informática em Saúde (SBIS)  

Autoridade Nacional de Proteção de Dados

Prontuário Eletrônico do Paciente – capítulos sobre padrões de registro e transmissão de dados, interação com o prontuário eletrônico, arquitetura para a troca de imagens e acesso à distância de registros de saúde.

Siga o Medscape em português no Facebook, no Twitter e no YouTube

Comente

3090D553-9492-4563-8681-AD288FA52ACE
Comentários são moderados. Veja os nossos Termos de Uso

processing....