Os hackers são uma constante ameaça na internet. Por esse motivo, muitas empresas investem pesado para garantir a confidencialidade dos dados de seus clientes. Contudo, nem sempre esse objetivo é alcançado, pois, mesmo com a proteção, algumas instituições têm seus sistemas invadidos, provocando vazamento de informações na rede virtual.
Na área da Saúde não é diferente. Os hospitais, as clínicas e os consultórios devem estar sempre atentos para manter um sistema seguro que garanta a confidencialidade das informações de seus pacientes.
Márcia Ito, membro do Conselho da Comissão Especial de Computação Aplicada à Saúde da Sociedade Brasileira de Computação (SBC), explica que para investir na confidencialidade das informações dos clientes é preciso adotar uma política de segurança a fim de ter regras bem estabelecidas na organização para trabalhar os níveis de segurança física e lógica.
“Na segurança física, devem ser adotadas políticas para proteger os equipamentos contra o acesso de pessoas não autorizadas ou contra danos que podem ocorrer por conta do ambiente, como terremotos e picos de energias. Já na segurança lógica, a proteção é relacionada ao acesso não autorizado no software e informações das empresas. Esse acesso por ser feito por uma pessoa ou por meio de um programa computacional”, define.
A especialista argumenta que, além das preocupações que devem existir em qualquer ramo, na Saúde é necessário verificar se existem regras específicas, como exemplo o Health Insurance Portability and Accountability Act (HIPAA), dos Estados Unidos, que envolve regras de privacidade dos dados de saúde de um indivíduo. Nesse contexto, a representante da SBC reforça que é preciso analisar quais são os dados críticos e que podem ocasionar algum tipo de prejuízo para a empresa e/ou pacientes.
Para Ubirajara Maia, diretor corporativo de Sistemas da MV, líder de mercado em sistemas de gestão de saúde, as instituições precisam ter uma governança da área de segurança, bem como diretrizes que garantam a confidencialidade das informações dos clientes e evitem os ciberataques.
Além de planejar melhorias para o sistema de informática, Antonio Eduardo D’aguiar, presidente da Associação Brasileira de Medicina Preventiva e Administração em Saúde, filiada à Associação Médica Brasileira (AMB), defende que as instituições de saúde devem investir em programas de defesa dos bancos de dados.
Além disso, o especialista chama atenção para o uso de backup. “O cenário atual mostra que se investimentos não forem feitos em relação à proteção de dados, a vulnerabilidade dos sistemas só irá aumentar. Os bancos de dados hospitalares necessitam de um cuidado maior na sua manipulação, não apenas pela questão de garantir a confidencialidade dos dados, mas para evitar que os mesmos sejam roubados ou sequestrados”, alerta.
Será que o sistema é seguro?
Os motivos que fazem com que os ataques virtuais continuem acontecendo, mesmo quando existe a proteção de dados, são vários. Do ponto de vista de D’aguiar, uma das razões é a proteção insuficiente. “O sistema de Saúde brasileiro ainda está tentando passar da cultura do papel para a fase eletrônica.
Porém, de nada adianta gastar energia para realizar essa mudança se a defesa do sistema de informática não é feita de maneira eficiente. Para isso, barreiras devem ser criadas de acordo com os possíveis níveis de ataque”, reforça.
Outro ponto fraco da segurança pode ser a falha humana, que pode ocorrer por distração ou falta de cuidado por parte dos indivíduos responsáveis pela proteção dos dados. Nesses casos, a representante da SBC afirma que falhas relacionadas às senhas são as mais comuns, como senhas fracas, utilizar a mesma senha para sites diferentes, anotá-las em um papel ou compartilhá-las com outras pessoas.
Segundo Maia, os ciberataques, em geral, podem acontecer por motivos de terrorismo ou sequestro virtual – quando um hacker toma conta de um sistema para vender as informações por algum motivo – ou, em outros casos, por uma questão de vandalismo.
“Por mais seguros que os sistemas sejam, existem várias maneiras de acessar um sistema de segurança. Umas das formas mais simples é a chamada engenharia social, quando um hacker tem acesso a alguém dentro da organização que facilita esse tipo de acesso”, avalia.
Dados sigilosos e estratégias de proteção
O representante da MV Informática considera que o prontuário eletrônico do paciente seja um dos dados de maior importância para uma instituição de Saúde, pois é nesse documento que as informações pessoais, prescrições, diagnósticos e tratamentos do paciente se encontram. Esses dados podem ser protegidos, de acordo com o especialista, por meio de técnicas como criptografia e certificação digital. Para Maia, ainda que uma boa proteção seja cara, o importante é o retorno financeiro que ela levará para a empresa, pois as informações que serão protegidas são valiosas.
Antonio D’aguiar indica que no momento de adquirir um sistema de informática é importante verificar se o mesmo fornece mecanismos de defesa que se atualizem constantemente. “Os hackers se atualizam diariamente, por isso é importante que o software também esteja preparado. Uma boa proteção pode ser cara, porém existem muitas opções que cabem no orçamento da clínica, consultório ou hospital. Não basta apenas ter um sistema de informática, é preciso compreender que a proteção é um investimento essencial”, destaca.
Para Márcia Ito, uma análise das formas como o ataque pode acontecer e quais informações devem ser protegidas são fatores essenciais para construir um estudo de que tipo de segurança é preciso ter. Além disso, é fundamental verificar se o sistema utilizado possui a segurança necessária. Segundo a especialista, todos esses pontos fazem parte da política de segurança que a empresa deve ter.
Principais medidas para manter a segurança dos dados:
- Utilizar um bom antivírus;
- Criar senhas fortes;
- Fazer o backup de dados;
- Utilizar um sistema de autenticação dupla;
- Criptografia de dados;
- Cuidados no acesso ao Wi-Fi;
- Treinamento dos funcionários;
- Evitar links e sites desconhecidos;
- Manter o sistema operacional atualizado.
Implicações legais, éticas e sociais
Maia relata que as implicações pelo vazamento de informações estão relacionadas ao Código Civil e Conselhos Regionais de Medicina. “As sanções e punições são claras e bastante contundentes, trazendo não só risco para médicos ou enfermeiros, mas uma corresponsabilidade da instituição em que a situação ocorreu”, complementa.
Do ponto de vista médico, Antonio D’aguiar explica que o próprio Conselho Regional de Medicina de São Paulo estabelece que uma investigação interna seja aberta, para apurar os responsáveis pelo vazamento de informações, as condições do ato e as penalidades previstas.
“Em termos legais, podemos ter desde um processo de dano moral até a falta de privacidade dos dados. Porém, mesmo não tendo qualquer tipo de processo por parte do paciente, a imagem do médico e da instituição ficam prejudicadas, pois, a partir desse vazamento, crescerá a falta de confiança por parte do cliente”, estabelece Márcia Ito.
Treinamento dos funcionários e recuperação dos dados
Para garantir a segurança digital em uma instituição de Saúde, não basta apenas contar com um bom sistema de informática. Além disso, os profissionais que lidam com os dados confidenciais precisam ser bem treinados, para evitar os erros e vazamento de informações.
Para Márcia Ito, o treinamento é crucial, pois a especialista considera que grande parte da falta de proteção dos dados se dá por falhas humanas. Uma delas é o funcionário achar que o acesso que ele tem às informações da empresa não é importante, porque não faz parte da alta gestão ou da gerência.
“Existem várias maneiras de realizar esse treinamento, desde o uso de EAD (educação a distância) até folhetos e aulas presenciais. Na verdade, o formato não importa, desde que as informações sobre as políticas de segurança da empresa sejam esclarecidas e cumpridas”, determina a especialista.
O treinamento dos funcionários pode ser feito no dia a dia, dentro da própria instituição, de acordo com o representante da MV. Nessas circunstâncias, o especialista reforça que é preciso deixar claro aos colaboradores a importância da segurança dos dados e como eles podem ser protegidos.“O compartilhamento de senhas com outros funcionários é um ponto importante a ser abordado no treinamento. Além disso, o contrato de trabalho desses profissionais deve ter um indicativo sobre a importância da segurança de informações confidenciais da instituição”, define.
A política de compliance bem estabelecida na instituição de Saúde é, de acordo com Antonio D’aguiar, essencial para que exista um sigilo absoluto das informações confidenciais. “Estamos falando do comportamento humano.
Nesse caso, teoricamente, não existe um sistema de informática que impeça o colaborador de causar algum prejuízo em relação às informações, mas sim uma clara conscientização desses funcionários em relação ao manuseio de dados. Além disso, é necessário esclarecer quais são as penalidades previstas caso as informações vazem”, define o especialista.
Segundo a representante da SBC, um grupo de profissionais responsáveis pelas políticas de segurança da empresa e que deverá ser acionado quando esse tipo de problema ocorrer é essencial para resolver situações de crise. “Quando se perceber que houve um ciberataque é preciso analisar por onde ocorreu esse problema e, imediatamente, saná-lo.
Também é necessário identificar o tipo de problema, que pode ser, por exemplo, roubo de dados ou alterações em dados existentes. A equipe deve verificar se existem chances de consertar o que foi alterado, mas, se possível, usar o backup”, explica.
Maia destaca que nessas situações é preciso ter um plano de disaster recovery, ou seja, um plano de continuidade dos negócios. Segundo o especialista, dentro da política de tecnologia da informação é preciso detalhar a maneira como os dados foram afetados e que procedimentos são necessários para garantir o restabelecimento do sistema rapidamente.