A segurança cibernética tem preocupado cada vez mais os estabelecimentos de saúde, de operadoras de planos a laboratórios, consultórios, clínicas e hospitais

Proteger os dados de sistemas e pacientes é um dos desafios de quem gerencia um negócio na área da saúde. A fragilidade do ambiente on-line, que pode abrir caminhos para ataques de hackers, é um fenômeno global, que exige monitoramento constante e mapeamento das vulnerabilidades nos processos adotados pelas empresas.¹

Uma pesquisa da empresa de cibersegurança Fortinet ² revelou que o Brasil sofreu mais de 16 bilhões de tentativas de ataques cibernéticos só na primeira metade de 2021, o dobro do ano anterior. Nesse cenário, a área da saúde é um dos principais alvos. E, com a pandemia, aumentou ainda mais a necessidade de cuidar dos pacientes à distância, com dependência cada vez maior da infraestrutura digital. 

Os perigos de um ataque hacker podem incluir:1 e 8 roubos de bases de dados em massa (inclusive de pacientes, que costumam ter informações pessoais mais completas); interferência na conexão em rede e no funcionamento dos aparelhos hospitalares; e até paralisação das operações, com pedido de dinheiro para liberá-las.

Para assegurar base jurídica a essas necessidades, é que foi criada a LGPD – Lei Geral de Proteção de Dados³, sancionada em agosto de 2018. A legislação estabelece as regras para o armazenamento e a utilização dos dados de terceiros. No caso de setor da saúde, ela regula as atividades relacionadas às informações pessoais dos pacientes, especificamente os bancos de dados com RG, CPF, endereço, nome completo, plano e histórico de saúde, dentre outras.⁴

Já falamos por que sua empresa ou consultório precisa investir em cibersegurança. Para lembrar, basta baixar o infográfico. 

A boa notícia é que existem diversos procedimentos que podem ser adotados, para proteger os sistemas e evitar as ameaças cibernéticas.^{4 e 5} Confira! 

Hora de “blindar” os dados: condutas essenciais

Antes de tudo, é imprescindível que o gestor inclua a segurança digital no planejamento estratégico da empresa de saúde, clínica ou hospital. O primeiro passo é revisar a política de privacidade e o tratamento de dados dentro do estabelecimento.

Para isso, uma boa tática é definir um colaborador interno ou contratar uma consultoria especializada na área, que tenha responsabilidade de zelar pela proteção, sigilo e segurança das informações. Esse profissional ou empresa fica encarregada de monitorar todas as operações de informação, sejam elas eletrônicas ou em papel, com base na LGPD. ⁴

Com essa estrutura formatada dentro da clínica ou hospital, alguns procedimentos devem ser adotados. O primeiro deles é garantir a segurança dos dados por meio da tecnologia da informação, com sistema de criptografia de ponta a ponta, para o acesso a prontuários eletrônicos, exames laboratoriais, diagnósticos de imagem e outros dados pessoais confidenciais. ⁴

Os dados de pacientes devem ser coletados e armazenados necessariamente com autorização formal deles, sempre informando previamente para qual finalidade estão sendo utilizados. Devem ser protegidas, inclusive, as mensagens trocadas via Whatsapp, seja entre médicos ou clientes, por meio da criptografia do aplicativo. É importante, ainda, estabelecer critérios para eliminar os dados pessoais dos pacientes, assim que os objetivos forem cumpridos. ⁴

O responsável pela cibersegurança deve providenciar também um backup diário de todas as informações relevantes para a clínica, tanto dos prontuários médicos como do setor administrativo, sempre com uma cópia de segurança (seja em pen drive, HD externo ou sistema de nuvem). ⁵

Para ter acesso ao banco de dados da clínica, é essencial utilizar senhas fortes e seguras. É possível contar com a ajuda dos geradores de senhas on-line, para criar senhas grandes, fortes e aleatórias. ⁵ Um nobreak potente no servidor deve garantir o funcionamento dos dispositivos eletrônicos em casos de queda da rede elétrica. Além disso, é um sistema capaz de assegurar a integridade de todos os dados da clínica. ⁵

Por fim, os procedimentos devem ser compartilhados de forma transparente com toda a equipe de colaboradores, a fim de estabelecer uma cultura geral de boas práticas no ambiente digital e adotar critérios para o compartilhamento das informações da clínica ou estabelecimento de saúde. ⁴

O grande desafio dos gestores da área é assegurar que o conteúdo acessado pelos colaboradores seja restrito à sua área de atuação, para reduzir o risco de vazamento de dados sigilosos.⁴ Isso significa expandir os mecanismos de segurança sem limitar os usuários, por meio de um ambiente digital mais fortalecido e seguro. Para as organizações de saúde, as interrupções não são uma opção.^{6 e 7}

Fontes: 1. I. Makhdoom, M. Abolhasan, J. Lipman, RP Liu e W. Ni, "Anatomy of Threats to the Internet of Things". Disponível em:  IEEE Communications Surveys & Tutorials, vol. 21, não. 2, pp. 1636-1675, segundo trimestre de 2019, doi: 10.1109/COMST.2018.2874978 2. Fortinet Security Fabric. Brasil sofre mais de 16,2 bilhões de tentativas de ataques cibernéticos na primeira metade de 2021.  3. Lei nº 13.709, de 14 de agosto de 2018.  4. Blog Valor em Saúde. O que é LGPD: como essa lei impacta o setor de saúde e a entrega de valor.  5. ProDoctor. Como devo proteger os dados da clínica?  6. Schneider Electric. Os desafios do setor de saúde: continuidade do serviço e a cibersegurança.