A Segurança da Informação é tema fundamental em todos os setores, inclusive na gestão hospitalar. Dentro da área da saúde, a tecnologia desempenha um papel cada vez mais importante rumo à digitalização, já que a enorme quantidade de dados, gerados por meio de registros eletrônicos, dispositivos médicos conectados à rede, sistemas de gestão e acompanhamento de pacientes podem ser utilizados com sucesso pela diretoria da clínica ou hospital.
O uso dos dados no século XXI
Muito se ouve falar em transformação digital, IoT, big data e machine learning. O caminho em busca de novas ferramentas que gerem inovação para o negócio cresceu de forma exponencial nos últimos anos.
Não é difícil perceber que, o núcleo de todas essas tecnologias envolve um ponto em comum: os dados, a unidade básica que torna possível extrair informações e aplicar mecanismos de análise. É evidente que ele pode ser considerado o bem mais precioso de um negócio, já que os processos de inovação dependem da sua análise.
Neste contexto, quando falamos de dados de uma empresa, o conceito de segurança da informação deve ser um dos alicerces da estratégia de negócio.
Segurança da informação na área da saúde
Diversos ataques a organizações de saúde, desde hospitais à fornecedores de planos de saúde, foram registrados e divulgados na mídia nos últimos anos. E, infelizmente, o setor tem destinado pouco esforço para tomar medidas eficientes em relação à segurança da informação, mesmo diante desses casos públicos. Isso o deixa vulnerável se comparado a outros setores do mercado, como Finanças, em que a segurança é uma das grandes prioridades do negócio e é regulamentada há anos.
No mercado paralelo de venda de informações, os dados médicos são mais valorizados que dados de cartão de crédito. Isso não é de se espantar, já que eles são ricos e fornecem registros médicos do paciente, dados pessoais, como CPF, RG e endereço, e outros, que podem ser usados para roubo e fraude. O lucro para hackers que conseguem violar bancos de dados da área de saúde é muito alto.
Com tantas ameaças, os riscos para empresas do setor são elevados, e variam de penalizações por violações de regulamentação e perdas financeiras imediatas a danos devastadores para marca diante dos seus clientes e pacientes. A empresa é responsável pelo roubo de dados, uma vez que a mesma deve adotar mecanismos contra o vazamento de informações, segundo a Federação Brasileira de Hospitais e o Instituto de Defesa do Consumidor.
Os tipos de ataque mais comuns para o setor, segundo o HIMSS CYBERSECURITY SURVEY, são ataques de Negação de Serviço (DoS), ransomware, malware e phishing.
Neste ponto, entra o questionamento:
Como devemos lidar com a segurança da informação em hospitais e clínicas – espaços em que a tecnologia lida com dados extremamente sensíveis, que envolvem a vida humana?
As vulnerabilidades de segurança no setor de saúde
Com diversos dispositivos médicos conectados, surgem novos vetores de ataques, antes inexistentes. E a tendência é que um número crescente de novos dispositivos sejam conectados à rede de hospitais, centros de saúde e clínicas.
Infelizmente, esses dispositivos geralmente não são projetados para segurança. Diversos testes já demonstraram como eles podem ser explorados para obter acesso a sistemas da informação ou até mesmo provocar riscos à integridade dos pacientes que os utilizam.
O alvo ideal: sistemas médicos
Na prática, a tecnologia está tornando os serviços médicos cada dia mais eficientes, agregando valor ao serviço prestado aos pacientes. Porém, essas novas tecnologias representam um alvo perfeito para ataques, já que fornecem uma quantidade enorme de informações de alto valor, por meio de aplicativos, sistemas e dispositivos vulneráveis.
Além disso, os gestores de TI da área médica possuem pouca visibilidade de segurança, o que expõe partes fundamentais do negócio a ataques. Assim, caso ocorra algum ataque ou incidente de segurança, não existe como responder de forma apropriada.
Como se proteger contra os ataques
A segurança deve ser vista de forma holística, ou seja, em sua totalidade. Um erro comum é acreditar que uma única ação possa proteger a empresa contra todos os ataques e falhas de segurança.
A segurança da informação não deve ser vista como um produto. Ela não é somente um Firewall UTM, uma solução de IPS ou um gateway antivírus. Ela envolve uma cultura, que é o conjunto de tecnologias, processos e pessoas.
As empresas do setor da saúde, antes de tudo, devem pensar na segurança da informação com um investimento, não como custo. E isso envolve o grau de maturidade da empresa em relação ao tema, com uma TI alinhada à visão do negócio, e o envolvimento dos executivos e membros do conselho administrativo com visão de como a segurança pode impactar nos resultados da empresa e na sua competitividade.
Por isso, o planejamento é o primeiro passo a ser dado. Por meio dele, a empresa consegue determinar quais são os recursos necessários para proteger os ativos de TI e as informações confidenciais de acordo com seu nível de criticidade para o negócio.
As instituições hospitalares de hoje devem continuar buscando novas maneiras de melhorar o atendimento ao paciente e salvar vidas, sem ter que se preocupar com ataques e vulnerabilidades de segurança. Isso significa que a segurança nunca deve ser negligenciada ou esquecida quando novos dispositivos são ativados. Os cibercriminosos são cada dia mais inteligentes e determinados, e o setor de saúde precisa estar ciente das tendências, capacidades e possíveis caminhos de ataque que eles procuram explorar.
A Any Consulting possui soluções de segurança da informação desenhadas exclusivamente para a gestão hospitalar. Se você atua em hospitais, clínicas, centros de saúde e indústrias médicas, clique aqui e saiba mais.