Já imaginou como seria se, durante as atividades de um hospital, o corpo clínico perdesse totalmente o acesso a sistemas - registros médicos, prontuários eletrônicos e programas responsáveis pelos exames computadorizados - interrompendo por horas, ou até dias, os atendimentos e consultas? Situações como essa ganharam ainda mais destaque em maio deste ano, com a notícia de que hackers derrubaram sistema de hospitais, companhias e órgãos públicos de todo o mundo. Pelo menos 74 países foram afetados, entre eles Brasil, Inglaterra, Espanha e França.
O ciberataques sofridos por essas organizações - denominado ransomware - ocorre a partir da utilização de um malware para infectar organizações e servidores vulneráveis. Após entrar no sistema e identificar dados valiosos, os criminosos criptografam as informações e exigem um resgate milionário em troca da restauração.
A principal questão, aqui, é que ainda falta muita proteção nas instituições de Saúde, como mostra pesquisa da consultoria KPMG. Segundo o estudo, 81% dos gestores da área tiveram suas instituições atacadas por cibercriminosos nos últimos anos e 39% afirmaram não possuir mecanismos confiáveis de proteção para se prevenir de futuras invasões. De acordo com o FBI (unidade de polícia do Departamento de Justiça dos Estados Unidos), os dados médicos valem até 10 vezes mais no mercado negro do que os de cartões de crédito. Isso porque, sem o acesso às informações, a vida de pacientes são colocadas em risco.
“Quando se fala em segurança da informação na Saúde, fala-se da disponibilidade e integridade de dados, não apenas do sigilo. E ainda há pouco investimento e estrutura nos hospitais para proteger as informações”, afirma Heitor Gottberg, sócio da Folks, consultoria de TI em Saúde.
Veja, a seguir, algumas práticas para mudar esse cenário:
- Faça uma avaliação tecnológica
O primeiro passo é analisar a maturidade da segurança da informação no hospital. Para saber em qual situação ele se encontra, é preciso passar por todas as áreas, analisando o gerenciamento dos dispositivos móveis, backups, antivírus, e-mails, como é feito o descarte de equipamentos que contêm dados dos pacientes e como a instituição testa suas vulnerabilidades. “Só depois de saber se essas ações são ou não aplicadas, é possível fazer um plano para preencher as lacunas”, explica Gottberg.
- Estruture uma política de segurança
Depois disso, é hora de reestruturar a instituição e construir uma política de segurança da informação que resolva os problemas identificados. Para isso, é preciso levar em consideração a ISO 27799:2016, uma norma de códigos específica para a área da Saúde que contém as melhores práticas para iniciar, implementar e manter uma boa gestão. Segundo Gottberg, essa política de segurança permite que o hospital crie uma barreira de proteção entre a instituição e o mundo externo.
- Treine a equipe
Orientar os funcionários do hospital - incluindo o corpo clínico e principalmente a equipe de TI - a não compartilhar senhas ou acessar links suspeitos é fundamental para a preservação dos dados. Além disso, é importante investir em treinamentos que aprimorem o conhecimento de todos sobre a segurança no sistema e ensinem como se preparar para enfrentar cenários de crise.
Criar uma estratégia de segurança eficaz é fundamental para manter a integridade da instituição. Mas, lembre-se: para que a companhia fique, realmente, blindada é preciso um preparo contínuo. O investimento em segurança não deve ser feito apenas quando se identifica um ataque, mas, sim, antes dele acontecer.
