Quase dois terços das organizações de saúde em todo o mundo já sofreram um ataque cibernético durante sua existência, enquanto 53% foram atacados nos últimos 12 meses, de acordo com um estudo desenvolvido pelo Ponemon Institute em 2019.
Vários outros estudos realizados nos últimos anos, que pesquisaram a respeito da demografia dos ataques cibernéticos, constataram que a área da saúde é a indústria que mais sofre ataques cibernéticos, seguida do setor público, varejo e finanças.
Os pacientes dependem das organizações de saúde para proteger suas informações confidenciais. Mais importante do que as sanções administrativas e multas que as instituições podem sofrer em função da legislação em vigor sobre de proteção de dados pessoais, as vidas dos pacientes podem depender dessas informações e da disponibilidade dos dispositivos médicos interconectados. Portanto, é fundamental que a segurança cibernética se torne uma prioridade na saúde.
A tecnologia certamente traz maior eficiência, mas também aumenta os riscos à segurança dos dados. Por isso, à medida que os prestadores de serviços de saúde e outras entidades envolvidas nos processos migram para opções digitais, como o PEP (Prontuário Eletrônico do Paciente) e RES (Registro Eletrônico de Saúde), a necessidade de meios que assegurem a proteção de dados dos pacientes aumenta.
Não há dúvida que os profissionais de saúde precisam ter acesso rápido aos dados pessoais, clínicos, laboratoriais e de planos de saúde dos pacientes, para permitir que a equipe médica tome decisões no local de atendimento e que a tecnologia é uma aliada importante nessa transformação, mas como as organizações podem facilitar o trabalho de suas equipes para salvar vidas e, ao mesmo tempo, manter os dados pessoais dos pacientes protegidos?
Atores das ameaças e suas motivações
Inicialmente, é importante saber quais são os agentes envolvidos em uma violação de dados na área da saúde e quais são suas motivações.
Segundo o relatório “Protected Health Information Data Breach Report” desenvolvido pela Verizon em 2018, o setor de saúde é o único segmento no qual os funcionários e fornecedores internos representam a maior ameaça de segurança cibernética para toda a organização. Entre outras informações, o relatório constatou que 58% dos incidentes cibernéticos em saúde envolvem colaboradores, enquanto a média geral de todos os outros setores é 27% (o que já é muito elevado).
Em defesa dos colaboradores, temos que ressaltar que nem todas as violações originadas internamente foram de natureza maliciosa. O erro humano é um fator causal em pouco mais da metade das violações que envolveram um ator interno.
Os motivos que levaram cada tipo de agente a executar uma violação de dados intencional variaram pouco:
Quando há um motivo observável em uma violação de dados, independentemente do tipo de agente, na maioria das vezes a intenção é obter dinheiro. Do ponto de vista dos atores internos, o acesso dos profissionais de saúde às informações pessoais dos pacientes é um meio conveniente para cometer crimes de vários tipos (por exemplo: fraudes financeiras, usos indevidos de identidade e chantagens).
Os agentes internos também estão frequentemente sujeitos à curiosidade, que pode motivar o acesso a dados de um paciente fora de suas responsabilidades de trabalho. Por exemplo, a admissão de um membro da família, conhecido ou personalidade em um hospital pode representar uma tentação para os funcionários que têm acesso técnico ao prontuário do paciente, mas nenhum papel direto na prestação de cuidados ou serviços a esse paciente. Qualquer acesso injustificado ao prontuário desse paciente simplesmente para atender à sua curiosidade é considerado uma violação.
Por último, a conveniência como motivo entra em cena quando os agentes internos fazem algo que tornará mais fácil para eles realizarem seu trabalho, mas, como consequência, também coloca os dados em risco. Um exemplo seria violar as políticas de tratamento de dados ao armazenar dados confidenciais em aplicativos não aprovados. É comum o compartilhamento de dados de pacientes em aplicativos como WhatAspp, Dropbox, Google Drive, etc.
LGPD (Lei Geral de Proteção de Dados Pessoais)
No Brasil, a Lei nº 13.709/2018 ou Lei Geral de Proteção de Dados Pessoais (LGPD), modelada com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), entrou em vigor em agosto de 2020 e se aplica a todas as organizações que lidam com informações pessoais de residentes no Brasil, estejam esses dados fisicamente localizados no país ou não.
A LGPD obriga as empresas a adotarem medidas de segurança, técnicas e administrativas capazes de proteger dados pessoais contra acesso não autorizado, levando em consideração o estado atual da tecnologia, ou enfrentar multas por infração que podem chegar, dependendo da violação, a 2% do faturamento da empresa em seu último exercício fiscal, limitadas a R$ 50 milhões. Somem-se a isso os danos colaterais que uma violação de dados pode causar à reputação de uma organização, em especial na área da saúde.
HIPAA (Health Insurance Portability and Accountability Act)
O setor de saúde dos Estados Unidos é um dos que mais investem em tecnologia e apresentam inovações. Esse ambiente levou à criação da “Health Insurance Portability and Accountability Act” (HIPAA) ou “Lei de Portabilidade e Responsabilidade da Segurança na Saúde”.
A lei foi aprovada em 1996 nos Estados Unidos e estabelece um conjunto de regras que as organizações de saúde devem adotar com o objetivo de proteger suas informações digitais. Essa legislação tem como objetivo garantir a proteção e armazenamento seguro dos dados dos pacientes dentro de um sistema eletrônico de saúde.
A HIPAA exige a implementação de salvaguardas para garantir confidencialidade, integridade e disponibilidade das informações. As salvaguardas que devem ser protegidas podem ser físicas ou virtuais, como software de criptografia ou firewalls e administrativas como controle de acesso de usuários.
As normas estabelecidas pela HIPAA abrangem diversos tipos de entidades, organizações e pessoas que prestam ou contratam serviços de saúde. Entre elas podemos citar os centros clínicos, planos de saúde e qualquer outro tipo de provedor de serviços de saúde, incluindo as Healthtechs.
Os procedimentos e recomendações constantes na HIPAA oferecem orientações importantes para as organizações protegerem seus dados e os dados de seus pacientes. Estar em conformidade com a HIPAA é implementar todas as sugestões descritas por essa regulamentação, com o objetivo de obter uma plataforma de segurança cibernética que seja a mais segura possível.