Mais de 60% dos casos de invasão são provocados por pessoas de dentro da instituição ou por prestador de serviços
Mais de 60% dos casos de invasão são provocados por pessoas de dentro da instituição ou por prestador de serviços | Foto: Shutterstock



No dia 27 de junho, um ataque hacker comprometeu o atendimento no Hospital de Câncer de Barretos. Dados dos pacientes não foram afetados, e serviços de urgência e emergência continuaram funcionando, informou à época o Hospital. Mas, no setor de radioterapia de Barretos e Jales (SP), 350 pacientes não puderam fazer seus exames, pois equipamentos do setor dependiam dos computadores para funcionar. Serviços de imagem tiveram de ser restringidos apenas aos casos de emergência.
O ataque realizado na época afetou empresas e instituições de todos os setores, em todo o mundo. O setor de saúde, porém, é detentor de dados sensíveis, e vidas dependem do serviço. Nas últimas terça e quarta-feira, o advogado Leandro Bissoli, especializado em direito digital e sócio do escritório PPP Advogados, de São Paulo, veio a Londrina alertar funcionários, prestadores de serviço e médicos cooperados da Unimed Londrina sobre a urgência e a necessidade de que instituições de saúde tomem providências para evitar incidentes de segurança digital.
"A saúde é uma das áreas que nos afeta muito rápido. Porque você muitas vezes para a operação, que é um atendimento hospitalar, ou algum tipo de tratamento com equipamentos específicos. Há risco de morte", ressalta o advogado.
Além da paralisação dos serviços, a invasão da rede de instituições de saúde para manipulação de equipamentos ou para roubo de dados e exames de pacientes são riscos reais. Segundo Bissoli, já houve o caso de uma invasão a equipamentos da área de UTI de um hospital. "Alguém mal intencionado poderia manipular as instruções desses equipamentos e até ocasionar a morte de uma pessoa", alerta.
O advogado diz que há também um grande mercado negro de dados e exames de saúde para fins de extorsão, por exemplo. "O criminoso pode até começar a fazer uma extorsão em cima de você para não divulgar o seu estado clínico na sua rede. Há também mercados negros de chapa de raio-x, porque há países que não concedem vistos de acordo com o seu estado de saúde."
As brechas podem estar até mesmo na cafeteira da empresa de saúde, que pode estar conectada à rede. "Quem está prestando atenção na segurança dela?", questiona o advogado. "Recentemente teve um caso de uma cafeteira que comprometeu uma empresa. Estava conectada na rede interna e o seu software estava comprometido."
Em ambientes médicos, há uma imensa quantidade de equipamentos conectados à rede, até mesmo uma máquina de tomografia, reitera Bissoli.

PREVENÇÃO
Evitar ataques demanda esforços e gastos. Mas, como diz Bissoli, trata-se de um custo associado à atividade. "Faz parte do seu negócio. É um custo operacional, porque é obrigação sua garantir a segurança desse dado." Por isso, a alocação de recursos para a segurança da informação já preocupa até mesmo a alta direção das empresas. "De hoje para amanhã, de repente você pode perder um valor muito grande da sua empresa por um comprometimento da informação. Num ambiente hospitalar, ainda, imagine a quantidade de demandas judiciais que podem decorrer de um acesso não autorizado a prontuários, exposição indevida de pacientes. É um complicador, um grande ponto de atenção para quem detém ou quem custodia dados sensíveis", comenta o advogado.
Manter softwares e profissionais atualizados e determinar um responsável pela segurança da informação são as medidas mais rápidas que podem ser tomadas para prevenir incidentes. "Hoje, torna-se prioridade estabelecer alguém responsável pela segurança da informação, que acompanhe isso constantemente. Porque todo dia tem alguma novidade, uma vulnerabilidade nova, e você tem que ter alguém focado nisso, pesquisando isso", orienta Bissoli. Quem não pode deixar um colaborador em função desta atividade, deve contratar terceiros.
Medida de médio e longo prazo, mas não menos importante, é trabalhar a cultura dos colaboradores e outros envolvidos na atividade e orientá-los a fazerem uso correto dos recursos tecnológicos. "Segurança da informação é muito mais que tecnologia, é um comportamento. E trabalhar o comportamento seguro das pessoas é só com muita informação, práticas constantes, treinamento, e isso não é do dia para a noite."
Segundo Bissoli, o maior desafio da segurança da informação hoje reside nas pessoas. "É a pessoa que clica, que acessa, que compartilha. Pesquisas apontam que mais de 60% dos incidentes de segurança ocorrem pelo colaborador interno ou prestador de serviço."