A segurança dos serviços de saúde está em estado crítico?

Ransomware que desativa sistemas hospitalares, desativa scanners de tomografia computadorizada e outros dispositivos médicos e não permite que pacientes sejam tratados. Registros médicos roubados e vendidos para quem der o maior lance. Hackers tomando o controle de marca-passos e bombas de insulina. Governos atacando a infraestrutura médica de todo um país.

Estes são apenas alguns dos possíveis perigos de segurança enfrentados pelo sistema de saúde dos Estados Unidos, de acordo com os especialistas em segurança. Os perigos são conhecidos há anos, e tentativas foram feitas para protegê-lo. Mas o sistema e seus pacientes estão mais seguros hoje do que no passado? Veja a análise de especialistas a respeito.

O que dizem os relatórios de segurança

Talvez a análise mais aprofundada da segurança cibernética na área da saúde tenha sido realizada pela Força-Tarefa de Segurança Cibernética do Setor de Saúde (Healthcare Industry Cybersecurity Taskforce), financiada e supervisionada pelo Departamento Federal de Saúde e Serviços Humanos. Quando o grupo divulgou seu relatório final em 2017, revelou suas conclusões sucintamente: “A segurança dos serviços de saúde está em estado crítico.”

Além disso, apontou uma “grave falta de profissionais em segurança”, equipamentos médicos obsoletos vulneráveis e as dificuldades de proteger um sistema médico incrivelmente complexo composto de “sistemas de saúde muito grandes, práticas médicas únicas, contribuintes públicos e privados, instituições de pesquisa, desenvolvedores de dispositivos médicos e empresas de software, bem como uma população de pacientes diversificada e disseminada”.

Um relatório da Symantec de 2018, “Cyber Security and Healthcare: an Evolving Understanding of Risk” (Segurança cibernética e os serviços de saúde: uma compreensão evolutiva do risco), logo seguido por outros, avisou que os riscos cibernéticos na área da saúde estavam aumentando, em parte porque os dados de saúde se tornaram um alvo de alto valor para os criminosos cibernéticos. Talvez ainda mais assustador, acrescentou, as organizações do setor da saúde se tornaram “alvos de alto nível para hacktivistas e governos”.

O que dizem os especialistas

As coisas melhoraram desde então? O Dr. Christian Dameff, médico de emergência da Universidade de San Diego e pesquisador sobre segurança cibernética com foco em saúde, diz que os resultados são mistos.

“Houve avanços”, diz ele, “mas ainda estamos muito distantes de onde precisamos estar. Ainda sofremos violações diárias. Não estamos fazendo um bom trabalho em relação à segurança dos dados, contudo, pelo menos estamos começando a reconhecer os problemas e a inverter a situação”.

Grandes hospitais e sistemas de saúde nas áreas metropolitanas são os mais protegidos, diz ele, porque têm recursos e eficiência para resolver os problemas. Mas as instalações em áreas mais remotas e rurais carecem de fundos e know-how e, portanto, correm maior risco.

Porém, mesmo os sistemas hospitalares mais sofisticados, “não têm uma estratégia coerente de segurança cibernética. Não é porque eles não querem, mas porque ninguém conseguiu estabelecer uma estratégia ainda. Você não pode simplesmente pegar emprestado um manual de segurança dos setor financeiro ou de outros setores. O setor de saúde é muito mais complexo do que outros setores quando se trata de segurança cibernética”.

Entre as dificuldades estão os hospitais que “são como Frankenstein, montados com diferentes partes: eles contam com mais de cem sistemas de fornecedores com pouca interoperabilidade entre equipamentos”. Dispositivos médicos, como máquinas de tomografia computadorizada, são frequentemente executados em sistemas operacionais desatualizados, como o Windows XP, que não podem ser protegidos adequadamente. Além disso, sistemas grandes podem ter centenas desses dispositivos, cada um com seus próprios e exclusivos desafios de segurança.

Ele acrescenta que, em outros setores como o financeiro, é fácil saber quando você foi atacado porque o dinheiro desaparece. Mas na área da saúde, as pessoas adoecem e morrem todos os dias, e pode ser difícil saber as razões disso. Então, não há indicadores que sinalizem que um hacker tenha invadido um sistema.

Além disso, ele afirma que “muitas vulnerabilidades não têm nada a ver com sistemas médicos, já que elas vêm com o software padrão, como bancos de dados que não estão sendo protegidos adequadamente”. De acordo com Christian, o impacto dos sistemas médicos hackeados é mais sério do que se acontecesse em outro setor. Se um hacker derruba todo um sistema hospitalar, isso significa que testes vitais não podem ser feitos, tratamentos não podem ser dados porque os profissionais médicos não têm acesso aos dados do paciente e os dispositivos médicos não funcionam quando a infraestrutura do hospital vem abaixo.

Urgência, sem pânico

O arquiteto técnico da Symantec, Axel Wirth, diz que, apesar dos inúmeros perigos cibernéticos para o sistema de saúde, “eu não acho que seja um tipo de situação caótica, então não devemos entrar em pânico. Porém, devemos seguir com o senso de urgência”.

Ele diz que não há nenhuma incidência documentada de um dispositivo médico, como um marca-passo, que tenha sido invadido por hackers e usado para prejudicar um paciente. Axel também se preocupa com a possibilidade de que “haja reações excessivas, e os pacientes possam rejeitar tratamento médico perfeitamente conveniente por medo de ataques pela Internet” caso os perigos potenciais de equipamentos médicos hackeados sejam exagerados.

No entanto, ele diz que os hospitais ainda correm o risco de serem vítimas de ransomware, malware e outros ataques e concorda com o Christian que a complexidade do sistema de saúde dificulta a sua proteção. Ele sugere uma série de soluções, incluindo que os fabricantes de dispositivos médicos alertem hospitais e médicos sobre as vulnerabilidades dos dispositivos, que os hospitais incluam requisitos de segurança nos contratos de compra com fabricantes e que os governos tomem medidas para garantir que novos dispositivos atendam aos requisitos de segurança cibernética.

Também enfatiza que a educação pública de pacientes e médicos sobre os perigos cibernéticos de dispositivos médicos é vital, por exemplo, sobre a importância de ter um firmware de dispositivo médico atualizado quando os fabricantes de dispositivos o recomendarem.

O médico acrescenta que houve progresso nas proteções cibernéticas, especialmente pela FDA nas regulamentações de segurança para novos dispositivos médicos. Porém, em última análise, ele acredita que a solução para a segurança cibernética médica requer muito mais do que ações isoladas do governo, do setor e dos fabricantes. A única maneira de proteger o setor de saúde e os pacientes é que o governo e o setor “tratem nosso sistema médico como infraestrutura crítica, da mesma forma que tratam nossa rede elétrica. Só então poderemos fazer um progresso real para protegê-lo”.