Saúde e segurança cibernética: cuidados com os dados em um setor crítico

Por Francisco Larez, vice-presidente da Progress para América Latina e Caribe

Salvador, 24/10/2022 – Desde 2020, a saúde digital passou a ocupar um lugar de ainda mais importância no Brasil (e em todo o mundo) na busca por soluções ágeis para o enfrentamento da pandemia de Covid-19. Um estudo recente do Cetic.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação) revela que ao menos 50% da população brasileira realizou serviços de saúde online nos últimos 12 meses. Assim, o uso da tecnologia para o atendimento à distância é e se consolida cada vez mais como fundamental para a democratização do acesso à saúde.

Contudo, em relação ao tratamento de dados dos consumidores, os cuidados devem ser redobrados no setor de saúde. Arquivos e documentos são uma mina de ouro para os cibercriminosos, que utilizam essas informações para golpes. Por isso, a segurança da informação é uma tarefa essencial para evitar vazamentos e exposição de dados confidenciais – o que acarreta multas, além de problemas jurídicos e de reputação.

O que deve ser protegido?

Todas essas implicações fazem com que os desafios de segurança tecnológica para a saúde sejam tão altos que diferentes estratégias são necessárias para superá-los. Na rotina de clínicas, hospitais e laboratórios, o ponto mais crítico ainda é a proteção de dados do paciente incluídos em arquivos que circulam constantemente entre diferentes profissionais.

Outro ponto de atenção é que os e-mails podem ser brechas para vazamentos. Embora muitas empresas ainda confiem nessa ferramenta para o compartilhamento de informação, uma vez que anexar um arquivo é algo que todos podem fazer, essa praticidade pode ser arriscada quando se trata do envio de documentos confidenciais.

Além do risco de segurança envolvido (interceptar arquivos, enviar para o destinatário errado ou até mesmo um grupo de distribuição inteiro), o e-mail não foi feito para a transferência de arquivos grandes (muitos serviços limitam o tamanho dos anexos a 10 MB ou menos). A capacidade disponível é insuficiente para acomodar formatos de mídia não estruturados como vídeo, áudio e imagens.

Não obstante, a transferência de arquivos grandes por meio de servidores de e-mail causa problemas de desempenho que afetam a confiabilidade e a entrega de arquivos. Ter muitas cópias de anexos grandes consome espaço e cria problemas de gestão de armazenamento. Com isso, o departamento de TI perde a visibilidade dos locais dos arquivos – o que pode ser um problema durante auditorias.

Como alternativa, as soluções de transferências de arquivo (FTP) são melhores do que e-mail, mas têm limites que também comprometem as operações. Com elas, o principal desafio é a falta de um método automático de criptografia durante o transporte de arquivos e seu armazenamento. Somado a isso, o fato de que as soluções de FTP, baseadas em processos manuais sem meios nativos de automação e integração com processos de negócios, não são escaláveis. Por fim, arquivos armazenados em um servidor FTP permanecem lá para sempre ou até que alguém os remova.

Leis de privacidade e sequestro de dados

Nesse contexto, é importante ressaltar que as violações no setor de saúde em diferentes países podem custar mais de US$9 milhões por incidente (dado da IBM/Ponemon, publicado no Beckers Hospital Review) – maior cifra em comparação com qualquer setor. Ainda de acordo com a IBM, quase metade (44%) das violações analisadas no relatório expuseram dados pessoais de clientes, incluindo informações de saúde, nomes, e-mails e senhas. Entre os dados confidenciais que devem ser protegidos, estão: lembretes de consultas, big data (imagens médicas, por exemplo), informações de cobrança e pagamento, relatórios de conformidade regulatória, entre outros.

Além das violações, as leis de privacidade de dados são também um desafio enfrentado pelos profissionais de TI e segurança. No Brasil, com a Lei Geral de Proteção de Dados (LGPD), as regras para segurança de informações de pacientes preveem penalidades severas para instituições que não cumprem as normas, com multas que podem chegar a R$50 milhões.

Independentemente disso, proteger a privacidade do paciente é a coisa certa a fazer em relação à ética empresarial e à resiliência dos negócios. Para isso, as empresas precisam estar atentas às principais questões para o cumprimento de muitas leis, que incluem:

•  Autenticação: verificar se os usuários são quem dizem ser.
•  Controle de acesso: garantir que o acesso aos dados não seja permitido sem a devida autorização.
•  Segurança de transmissão e armazenamento: incluir criptografia nas transmissões de dados e em repouso.
•  Integridade: certificar-se que as informações de saúde protegidas não sejam alteradas sem permissão ou detecção.
•  Controle de auditoria: conceder total visibilidade das transferências de arquivos.

Zero Trust

Todas essas questões podem ser controladas garantindo que os dados sejam criptografados durante a transmissão e armazenamento, que as alterações no arquivo sejam detectadas e que a trilha de auditoria mostre tudo o que aconteceu com um arquivo durante o processo de movimentação.

Nas estratégias mais eficazes de proteção de dados, muitos profissionais de TI adotam o conceito de Zero Trust (confiança zero, em tradução livre), que significa que a melhor maneira de proteger todos os dados e ativos é não confiar em nada até que áreas da rede sejam comprovadamente confiáveis.

Dessa forma, os documentos precisam de um alto nível de proteção e ninguém deve ser confiável para acessá-los sem permissão explícita e autenticação validada. Para a Microsoft, esse modelo assume os riscos de violação e verifica cada solicitação como se fosse originada a partir de uma rede aberta. Independentemente de onde o pedido se origina ou qual recurso ele acessa, o Zero Trust “nunca confia, sempre verifica”.

Uma chave para aplicar a política Zero Trust é garantir gerenciamento e proteção de identidade fortes, principalmente por meio de autenticação, que deve ser aplicada em todo o ambiente, limitando os direitos dos usuários apenas ao que é absolutamente necessário. Ou seja, somente aqueles que precisam abrir, transferir ou receber um arquivo podem fazê-lo.

Hoje, no setor de saúde, a tecnologia é responsável por conectar todos os atores. Por isso, medidas de segurança eficientes são indispensáveis para garantir a integridade dos processos. Adotar políticas de controle de acesso às informações ajuda a manter a segurança e a privacidade de dados críticos, alavancando a saúde digital, e contribuindo para expandir o alcance do atendimento assistencial. Nesse contexto, o maior beneficiário deve ser sempre o paciente, e o objetivo é manter sempre a segurança de seus dados.

Últimas notícias

Educação
Abertas as inscrições para o Edital Ciência na Mesa 3

Formulário online está disponível no portal da Fapesb e prazo para submissão de propostas vai até 07 de junho de 2024 Salvador, 26/04/2024 – Pesquisadores ou pesquisadoras, com titulação de doutor ou mestre, interessados em submeter projetos de pesquisas inovadores para aplicação de novas tecnologias sociais de acesso à água ou de tecnologias já existentes, […]
Gov e Org
Instituições de fomento anunciam investimentos bilionários em inovação tecnológica

Salvador, 25/04/2024 – O ano de 2024 começou com promessas para empresas e instituições interessadas em impulsionar a inovação tecnológica. Governos federais e estaduais, juntamente com estatais, anunciaram investimentos bilionários em editais de subvenção econômica, com o objetivo de fomentar projetos inovadores. Neste cenário, o Instituto Nacional de Telecomunicações (Inatel), centro referência em ensino, pesquisa […]
Negócios
Ferrari e HP anunciam parceria de Naming Rights

Salvador, 25/04/2024 – A Ferrari e a HP anunciaram hoje uma parceria de naming rights histórica e plurianual. A colaboração representa o compromisso compartilhado de promover a inovação sustentável e acelerar tecnologias com propósito no time Scuderia Ferrari Formula 1, no time Scuderia Ferrari Esports e na Scuderia Ferrari Driver Academy. O logo HP vai […]
Negócios
Simpress fatura R$1.5 bilhão e se consolida como principal player de outsourcing de TI

Empresa tem o maior parque de dispositivos instalados em todo o país, com 600 mil equipamentos Salvador, 25/04/2024 – O faturamento da Simpress, empresa especializada em outsourcing de equipamentos de TI, registrou no ano passado um crescimento de 23% em relação a 2022, com R$1.550 bilhão. As áreas que mais se destacaram foram as de […]
Artigos
O que as empresas podem fazer para proteger os dados de seus clientes?

Prof. Dr. Marcelo Teixeira de Azevedo, docente e pesquisador na área de Redes e Segurança para os cursos de Ciência da Computação e Sistemas de Informação da Universidade Presbiteriana Mackenzie (Campus Alphaville) Salvador, 25/04/2024 – Ultimamente, tem sido cada vez mais comum o vazamento de dados, existindo diversos eventos do tipo no Brasil e no […]

Menu