Ao olhar com mais atenção para o setor de Saúde, vejo que as preocupações com segurança de dados e proteção ao ambiente não são tão diferentes dos demais segmentos da economia: bancário, e-commerce e outros. Desde 2018, quando a Lei no. 13.787 (a qual exige a digitalização dos prontuários dos pacientes) foi promulgada, a preocupação com a segurança cibernética cresceu sensivelmente.
Em um ambiente onde a conectividade é fundamental para as operações de saúde, a segurança cibernética não pode ser ignorada. Trata-se de uma responsabilidade compartilhada que requer colaboração entre diferentes setores. Ainda, o treinamento dos profissionais de saúde é um dos pilares dessa defesa, pois muitos ataques começam com erros humanos.
A telemedicina é outro ponto que impacta nos riscos à segurança. Com vantagens claras em relação à facilidade de acesso aos médicos e às consultas, além da redução de custos para as instituições de saúde - entretanto, o atendimento à distância depende do uso intensivo de dados e da transmissão de informações sensíveis, o que levanta preocupações legais e éticas significativas com a LGPD3 (lei 13.709/18).
Esta Lei, por sua vez, regulamenta o tratamento de dados pessoais no Brasil e traz o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Nos últimos anos, o setor de saúde tem sido um dos principais alvos de cibercriminosos. Ataques de ransomware, phishing e exploração de vulnerabilidades de software têm causado interrupções operacionais em hospitais e clínicas, colocando vidas em risco.
O sequestro de dados, em particular, tem se mostrado uma ameaça crítica. Em muitos casos, as instituições de saúde pressionadas pela urgência em retomar os serviços, acabam cedendo ao pagamento.
Em 2022, um estudo da Tenable apontou que, no ano anterior, mais de 40 bilhões de registros foram expostos mundialmente. Apenas no Brasil, o volume ultrapassou 815 milhões. Em nível global, as indústrias mais afetadas por violações de segurança foram saúde (24,7%), educação (12,9%) e governo (10,8%). No Brasil, o quadro era um pouco diferente, os mais afetados foram governo (29,8%) e o setor financeiro (27%).
Passados dois anos, esse segmento continua entre os mais atacados pelo cibercrime e no Brasil, ainda subiu nas posições, passando a ocupar o terceiro lugar, atrás apenas dos setores de Serviço e Governo. Esses dados integram um levantamento da Kaspersky, que aponta ainda, que até maio deste ano, foram bloqueadas mais de 106 mil tentativas de ataques ransomware no país, com o setor de saúde contabilizando 6,5 mil dessas tentativas.
O impacto de um ataque cibernético no setor de saúde é duplo. Primeiro, compromete a segurança do paciente, já que diagnósticos, tratamentos e procedimentos médicos podem ser adiados. Segundo, afeta a reputação e a viabilidade financeira da instituição, que pode enfrentar multas regulatórias e ações judiciais devido à violação de dados pessoais.
Compliance e regulamentação
A conformidade regulatória (compliance) é uma responsabilidade fundamental às instituições de saúde, pois a Lei Geral de Proteção de Dados exige que as organizações adotem medidas técnicas e administrativas para proteger os dados pessoais. Isso inclui a implementação de políticas de segurança, controle de acesso, anonimização de dados e resposta a incidentes de segurança.
Além disso, os órgãos reguladores exigem que as instituições demonstrem uma "postura ativa de compliance", ou seja, que estejam continuamente avaliando e mitigando riscos de segurança cibernética. Isso exige a adoção de práticas como auditorias periódicas, treinamento de funcionários, monitoramento de ameaças e parcerias com empresas de cibersegurança.
Para enfrentar esses desafios, as instituições de saúde precisam adotar uma abordagem proativa e contínua em segurança cibernética. Abaixo listo algumas práticas que podem auxiliar no processo.
- Avaliação de riscos cibernéticos: Identificar ativos críticos e avaliar as vulnerabilidades associadas. Isso permite priorizar as áreas que exigem maior proteção.
- Implementação de controles de segurança: Adotar soluções de segurança de ponta, como sistemas de detecção de intrusão, criptografia de dados e autenticação multifator.
- Treinamento e conscientização: Capacitar os colaboradores para que reconheçam tentativas de phishing, compreendam a importância do compliance e saibam como reagir a um incidente de segurança.
- Monitoramento e resposta a incidentes: Estabelecer equipes de resposta a incidentes e sistemas de monitoramento contínuo para detectar atividades suspeitas e responder rapidamente.
- Parcerias estratégicas: Trabalhar com empresas especializadas em cibersegurança e com autoridades reguladoras para manter as práticas atualizadas em relação às novas ameaças e requisitos legais.
Proteger as informações críticas de pacientes e garantir a conformidade regulatória é fundamental para preservar a confiança e a integridade operacional das instituições. Empresas que investem em segurança cibernética, além de evitar prejuízos financeiros e operacionais, também promovem um ambiente mais confiável para pacientes e colaboradores.
Um exemplo de redução efetiva de risco cibernético pode ser visto com a Drogaria Araujo, a maior rede de farmácias de Minas Gerais e a quinta maior do Brasil. Ao adotar uma abordagem estratégica e integrada de segurança cibernética, a empresa conseguiu identificar e priorizar vulnerabilidades críticas, garantindo a continuidade operacional e obtendo uma redução de custos de 25%.
Esse modelo destaca como uma visão proativa da segurança pode não apenas proteger dados sensíveis, mas também otimizar recursos e fortalecer a resiliência organizacional frente aos desafios do setor de saúde.
****
Diretor Geral da Tenable no Brasil desde junho de 2019. Capella conta com mais de 20 anos de experiência na indústria de segurança cibernética, esteve à frente da abertura e gestão da Palo Alto Networks no Brasil e, anteriormente, da operação da IronPort no país. Também ocupou funções de gestão e desenvolvimento de negócios na IBM, Xerox e Embratel. O executivo é graduado em Administração de Empresas pela UFRJ e possui MBA em Marketing e Estratégias pela mesma instituição.
Categorias
