O paciente deitado na mesa da sala de emergência na frente de Edson Silva estava com um derrame. O tempo estava se esgotando. Edson, um residente de medicina de emergência em um grande hospital, sabia que precisava enviar o paciente para uma tomografia computadorizada.
Mas, quando Edson olhou para a tela do computador ao lado da sala, viu uma mensagem em pop-up exigindo um pagamento em bitcoin. Poucos minutos depois, disseram-lhe que a mesma mensagem havia desativado o scanner. Ele teria que ajudar o paciente sem saber se o derrame foi causado por um sangramento ou um coágulo, informações que geralmente são vitais para o curso do tratamento.
Depois de alguns minutos de soluções frenéticas, o paciente – na verdade, um manequim de teste médico – foi levado para fora do quarto. Prognóstico: sobrevivência, mas com danos sérios no cérebro. A nota de resgate do ransomware foi parte de uma simulação destinada a expor médicos como Edson à ameaça real de ataques cibernéticos em seus hospitais.
Vários relatórios mostram que os ransomware e outros ataques cibernéticos estão em alta e a área da saúde é um dos maiores alvos. Há pouco tempo, pesquisadores em Israel anunciaram que criaram um vírus de computador capaz de adicionar tumores em tomografia computadorizada e ressonância magnética, um malware projetado para enganar os médicos a diagnosticar erroneamente pacientes de alto perfil. Apesar da crescente ameaça, a grande maioria dos hospitais e médicos não está preparada para lidar com ameaças de segurança cibernética, apesar de representarem um grande problema de saúde pública.
Uma dependência necessária
A indústria de assistência médica depende cada vez mais da tecnologia que está conectada à Internet: de registros de pacientes e resultados de laboratório a equipamentos de radiologia e elevadores de hospitais. Isso é bom para o atendimento ao paciente, porque facilita a integração de dados, o envolvimento do paciente e o suporte clínico. Por outro lado, essas tecnologias são frequentemente vulneráveis a ataques cibernéticos, que podem desviar dados de pacientes e sequestrar dispositivos de diagnóstico e infusão de drogas, com o objetivo de obter criptomoedas ou fechar um hospital inteiro até que um resgate seja pago.
O caso que Edson enfrentou na simulação imitou o ciberataque WannaCry de 2017, que infectou milhares de computadores em todo o mundo e jogou o Serviço Nacional de Saúde do Reino Unido no caos. Em 2017, a Força-Tarefa de Segurança Cibernética do Setor de Saúde, formada pelo Departamento de Saúde e Serviços Humanos dos EUA, concluiu que a segurança cibernética dos serviços de saúde estava em “condições críticas”.
Especialistas dizem que a saúde está muito atrás de outras indústrias, como o setor de serviços bancários e financeiros na proteção de sua infraestrutura de tecnologia da informação. Ao contrário das finanças, uma falha na assistência médica pode resultar em ferimentos ou até mesmo a morte.
Não há informação de que algum paciente tenha morrido como resultado direto do WannaCry, mas o ataque sequestrou milhares de computadores de hospitais e equipamentos de diagnóstico, forçando os médicos a transportar os resultados dos laboratórios pelos hospitais e cancelar quase 20 mil consultas de pacientes. O ataque visou vulnerabilidades no sistema operacional Microsoft Windows, criptografando dados e mantendo inoperantes sistemas de computador para resgate de bitcoins. O WannaCry foi controlado, mas as instituições de saúde continuam vulneráveis a ataques dessa magnitude.
O valor dos dados da saúde
Parte do problema de segurança cibernética tem menos a ver com as falhas de segurança presentes nos sistemas de saúde e mais com o enorme valor dos dados da saúde. Hospitais e organizações de saúde precisam coletar muitos detalhes pessoais de seus pacientes, incluindo nome completo, endereço, números de documentos pessoais como CPF e de assistência médica, medicamentos que os pacientes estão tomando e informações de cartão de crédito. O registro de um único paciente pode valer até US$ 1.000,00 no mercado negro e um ataque de grande escala pode render centenas ou até milhares de registros. Naturalmente, isso faz das organizações de saúde um alvo.
A vulnerabilidade dos pacientes
Não se trata apenas do valor monetário dos registros ou os aborrecimentos logísticos de se recuperar de uma violação com a qual precisamos nos preocupar. Nos campos da medicina e da saúde, a vida das pessoas pode estar em risco.
Por exemplo, o vírus desenvolvido em Israel demonstra como é fácil falsificar a presença de um tumor em um exame médico volumétrico. Alguém com poder suficiente para executar esse tipo de ataque poderia manipular o tratamento de um paciente, resultando em complicações terríveis.
Mesmo que a qualidade dos cuidados que os pacientes recebem não seja diretamente afetada, há evidências que sugerem que as taxas de mortalidade em 30 dias aumentam significativamente após uma violação de dados hospitalares. Como os hospitais estão sobrecarregados com recursos e os funcionários estão mais estressados do que o habitual, a qualidade do atendimento naturalmente diminui. Isso torna um ataque cibernético em um hospital muito mais perigoso do que, digamos, em uma instituição financeira.
A crescente complexidade dos sistemas de saúde
Os hospitais também são especialmente vulneráveis porque seus sistemas tecnológicos estão se tornando cada vez mais complicados, em mais de uma maneira.
Para começar, a tecnologia médica depende cada vez mais de uma rede interconectada de dispositivos. Nos hospitais, isso significa que enfermeiros e médicos confiam em tablets e dispositivos móveis, além de computadores e equipamentos de monitoramento. Em pacientes, isso significa sensores, equipamentos de monitoramento e, às vezes, até mesmo próteses que coletam informações ou fornecem tratamentos. Só é preciso uma vulnerabilidade em um dispositivo para comprometer a integridade de toda a rede. Um ataque exploit de 2017 mostrou que dispositivos implantados, como os marcapassos, podem ser hackeados.
Essa complexidade não se limita à segurança ou integridade de dispositivos. Como os nossos sistemas de saúde dependem cada vez mais de interfaces digitais para pacientes e dispositivos médicos pessoais, grande parte da carga de segurança está sendo colocada nos pacientes. Os pacientes são os responsáveis pela criação, manutenção e proteção de suas senhas e credenciais de login e podem usar seus dispositivos médicos em redes domésticas desprotegidas. Mais uma vez, basta um lapso na segurança de um paciente, um médico, uma enfermeira ou outro membro da equipe para causar sérios danos.
Atenção mal direcionada para as atualizações tecnológicas
Os hospitais estão sempre ansiosos para colocar as mãos na mais recente tecnologia médica, por boas razões. O custo de uma máquina de ressonância magnética de última geração é algo próximo a US$ 3 milhões e os hospitais estão dispostos a pagar, se isso significar melhores resultados de saúde para seus pacientes e um melhor ROI. Por outro lado, podemos imaginar quantos hospitais no Brasil e no resto do mundo ainda operam com versões ultrapassadas e desatualizadas de seus sistemas operacionais, que às vezes são verdadeiras antiguidades.
A equipe de tecnologia da área de saúde se concentra desproporcionalmente em atualizações maiores, melhores e mais funcionais, mas ignora as atualizações dos dispositivos e programas existentes. Aí reside um grande problema de segurança: os novos dispositivos funcionam bem e oferecem grande valor, mas não compensam os pontos fracos estruturais de uma tecnologia antiga na mesma rede.
A falta de informação sobre segurança cibernética
Muita culpa pode ser atribuída à falta de informação dos hospitais e outras organizações de saúde. Muitos hospitais não têm um departamento de TI ou uma divisão de segurança cibernética e seus principais tomadores de decisões concentram-se mais em melhorar os resultados específicos de saúde do que em pensar em segurança. Mesmo se houver uma iniciativa de alto nível para revisar e melhorar uma rede, os funcionários da operação, como enfermeiros e médicos, podem não ter o treinamento necessário para conduzir as melhores práticas de segurança cibernética.
Parte disso é simplesmente uma questão de orientação superior: as autoridades e os administradores da área da saúde não se prepararam adequadamente para as crescentes complexidades da tecnologia médica. Outro ponto refere-se a uma questão de interesse pessoal: especialistas em saúde entraram na área de saúde porque se preocupam em tratar e melhorar a vida das pessoas, não porque gostam de trabalhar com computadores. Poucos programas de formação dedicam um tempo significativo à educação de futuras lideranças da área médica sobre princípios de segurança tecnológica.
A falta de recursos
Alguns líderes relutam em investir em segurança cibernética, acreditando ser caro e não se tratar de uma prioridade. Além disso, a adoção de padrões de segurança de alta tecnologia se traduziria em preços mais altos para os pacientes (que já são elevados) e possivelmente mais restrições internas para a aquisição de novas tecnologias.
No entanto, a alternativa pode ser muito mais cara para a organização. Será que vale a pena correr o risco? Não querer investir no reforço da segurança e estabelecer alguns padrões não é desculpa para não tomar essa iniciativa.
Precisamos começar a agir
O problema da segurança cibernética na saúde é enorme e complexo e está piorando a cada dia. Muitos hospitais e organizações de segurança estão intensificando seus esforços para melhorar a segurança, mas eles simplesmente não estão fazendo o suficiente. Além disso, precisam se adequar à nova Legislação Brasileira de Privacidade de Dados (LGPD). Não há uma solução rápida, mas é óbvio que precisamos começar a agir em várias áreas, incluindo uma melhor educação em segurança cibernética para profissionais de saúde, padrões mais estratégicos de substituição e adesão de tecnologia, melhor orientação das agências reguladoras e, claro, mais recursos para a manutenção da infraestrutura de TI.