Setor de saúde demanda por maior atenção na proteção de dados

Opinião 2106 - (crédito: Caio Gomez)

GUILHERME NUNES, coordenador de Proteção de Dados, da Fundação Instituto de Pesquisa e Estudo de Diagnóstico por Imagem (FIDI)

O mundo digital avança e a segurança da informação é fundamental, especialmente em setores sensíveis, como a área da saúde, em que os dados dos pacientes são confidenciais e requerem proteção robusta. De acordo com a pesquisa The state of ransomware in healthcare 2023, entre janeiro e março de 2023, a taxa de ataques de ransomware (software malicioso usado para sequestro de dados digitais e extorsão) diminuiu de 66% para 60%. Apesar da tendência de queda, é quase o dobro de 2021, quando 34% das organizações declararam ter sido invadidas.

Esses ataques provocaram impactos imensuráveis no sistema de saúde global na pandemia. No primeiro ano (2020), no Brasil, foram expostos cerca de 243 milhões de registros de pacientes, como número do CPF, nome, endereço e telefone. O total é maior que o número de habitantes do país (210 milhões), pois considera pessoas que já morreram. No fim do segundo ano da crise sanitária, um apagão foi detectado pelo Ministério da Saúde. Responsável por registrar e monitorar a vacinação no país, o órgão teve serviços fora do ar e impacto na emissão de documentos, como o Certificado Nacional de Vacinação Covid-19, que foi suspensa. No ano seguinte, um novo ataque, sem sucesso.

Infelizmente, um laudo que deveria ser importante somente ao profissional de saúde e paciente tem sido acessado sem autorização, o que torna a proteção da privacidade uma preocupação. O fato é que o setor de saúde lida com informações sensíveis de completamente todos os brasileiros, tanto na rede privada quanto na pública. Por exemplo, em 2022, foram realizados 2,1 bilhões de exames no Brasil, de acordo com a Associação Brasileira de Medicina Diagnóstica. É muita informação a ser resguardada!

A preocupação é constante, por exemplo, desde o agendamento de um serviço; passando pela execução, que envolve os profissionais de saúde e equipamentos especializados; chegando ao lançamento do resultado e os meios de acesso do paciente. Garantir que esses dados estejam protegidos é o mínimo a se fazer. E os meios para ataque são diversificados: ainda segundo a pesquisa, o comprometimento de logins e senhas (32%) e as vulnerabilidades exploradas (29%) foram as consequências mais comuns dos ataques. Já o correio eletrônico (e-mails maliciosos ou phishing) foi o ponto de partida de mais de um terço dos ataques (36%) em organizações de saúde.

Então, quais são os preceitos que o ecossistema de segurança da informação na área da saúde deve assumir? O Brasil tem legislação diferenciada pela promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), que assegura, de forma clara, as regras para todas as empresas. E, aqui, destaco a importância de garantirmos o cumprimento de suas exigências, incluindo a implementação de medidas de segurança da informação. Porém, de acordo com a pesquisa TIC Saúde, menos da metade dos estabelecimentos de saúde adotou alguma das medidas investigadas pela pesquisa: 39% tinham política de segurança da informação e, desses, 76% ofereceram curso sobre o tema para seus funcionários.

Investimentos são essenciais para proteção contra ameaças cada vez mais sofisticadas. Em 2023, 83% das empresas de saúde declararam que devem aumentar os investimentos. Na Fundação Instituto de Pesquisa e Estudo de Diagnóstico por Imagem (FIDI), o valor destinado para segurança representa em média 10% do orçamento de tecnologia da informação, mostrando o quanto esse item é essencial na gestão da entidade.

Além disso, empresas de saúde devem usar ferramenta fundamental: atendimento humano. O principal caminho é ter profissionais qualificados em segurança da informação, com contínua capacitação, para, ao mínimo sinal de ataque, estarem prontos à otimização de seus sistemas. Em outra frente, são importantes parcerias entre laboratórios e escritórios de advocacia especializados em direitos digitais e privacidade para que ajudem no cumprimento da legislação e representação nos casos de violação de dados.