Graduação em Defesa Cibernética para a Saúde
A tecnologia da informação em saúde trouxe inúmeras oportunidades para melhorar e transformar o atendimento ao paciente, que incluem a coordenação de cuidados, rastreamento de dados ao longo do tempo e redução de erro humano. Portanto, os sistemas digitais tornaram mais fácil e eficiente o atendimento ao paciente, e proporcionam diagnósticos mais precisos e melhores resultados.
Estima-se que hoje 88% das instituições de saúde no Brasil utilizam essas ferramentas em suas rotinas. Por exemplo, é comum que as organizações utilizem sistemas de prontuários eletrônicos, de prescrição, de entrada de pedidos médicos e, mais recentemente, a telemedicina.
Porém, ao mesmo tempo que aumentou a qualidade da prestação de cuidados, a introdução do meio digital e da interconectividade entre os sistemas de saúde trouxe ameaças de cibersegurança que colocam em risco a privacidade do paciente. Enquanto as instituições de saúde e seus profissionais se adaptam a essas novas tecnologias, os cibercriminosos se aproveitam da sua vulnerabilidade.
Apesar de grande parte das organizações de saúde utilizarem o meio digital, apenas cerca de 30% apresentam políticas de segurança da informação (SI). Grandes centros, tais como hospitais e clínicas, são alvos constantes de ataques por armazenarem extensos volumes de dados de pacientes, informações essas que têm um alto valor comercial.
A SI em saúde se mostrou ainda mais importante nos últimos anos, com a pandemia do coronavírus. As instituições brasileiras estão entre as mais visadas por cibercriminosos, com um aumento de 60% no número de ataques desde o início da pandemia. Isso se deve principalmente ao aumento do número de atendimentos e internações e à sobrecarga dos serviços de saúde.
Além disso, outra característica que os torna objetos de interesse é o fato do atendimento ao paciente ser uma atividade colaborativa e multiprofissional, ou seja, requer uma equipe com profissionais de diferentes áreas da saúde de modo a garantir o melhor cuidado para cada paciente. Assim, a equipe precisa compartilhar informações a todo momento e, portanto, os prontuários e requisições devem estar sempre acessíveis, tanto de forma presencial quanto remotamente.
Nesse sentido, as organizações de saúde devem se manter progressivamente atualizadas e investir em sistemas de monitoramento e métodos físicos e digitais para impedir esses ataques. Contudo, deve haver também um investimento constante na capacitação de suas equipes, uma vez que uma grande estratégia de SI é baseada no comportamento do usuário, isto é, o profissional de saúde.
A confidencialidade é um dos pilares da conduta dos profissionais da saúde. Este profissional, seja ele médico, enfermeiro, biomédico, fonoaudiólogo ou outro, é responsável pela segurança e privacidade das informações do paciente fornecidas no momento do atendimento. Sendo assim, o princípio da confidencialidade norteia tanto a formação quanto a prática desses profissionais e, portanto, deve ser mantido também no ambiente digital.
A segurança da informação baseada no usuário, por sua vez, permite ao profissional evitar práticas que tragam riscos aos dados de seus pacientes, e também o conhecimento de SI possibilita identificar tendências e estratégias utilizadas por cibercriminosos. De fato, estudos mostram que profissionais bem informados e menos inclinados a usar a internet para uso pessoal durante o trabalho demonstraram maior aptidão para a cibersegurança.
Dessa maneira, o profissional, conhecendo condutas de SI e táticas comuns utilizadas durante os ataques, pode garantir o melhor atendimento ao seu paciente e o funcionamento da instituição de saúde. Dentre as técnicas usadas, o phishing é a ameaça de segurança cibernética mais prevalente na área da saúde.
Essa tática consiste na tentativa de roubo de credenciais e prontuários por meio de comunicações eletrônicas, sendo o e-mail a forma mais utilizada atualmente. Os e-mails de phishing procuram imitar profissionais e instituições de renome e, assim, podem parecer muito convincentes, de modo a incentivar o usuário a clicar no link contido na mensagem. Quando atingem esse objetivo, o usuário é então direcionado a uma página virtual falsa, geralmente espelhando uma tela de login para software interno familiar. No entanto, após essas credenciais serem enviadas, os cibercriminosos as usam quase instantaneamente para obter acesso aos sistemas de saúde.
A efetividade dessa técnica se baseia no envio das mensagens contendo links maliciosos a uma grande quantidade de destinatários, com o objetivo de que uma minoria se torne vítima. Dessa forma, o phishing está amplamente presente em grandes instituições de saúde, uma vez que essas possuem um intenso fluxo de comunicações eletrônicas em sua rotina. Estima-se que essas mensagens representem, aproximadamente, 5% dos e-mails recebidos pelos sistemas de saúde.
Outra tática muito frequente é a utilização de softwares maliciosos que bloqueiam o acesso do usuário a arquivos e ao sistema, chamados de ransomwares. Tais software infectam o sistema através do acesso a sites maliciosos, instalação de apps vulneráveis ou links de phishing, e, uma vez instituído, o cibercriminoso então exige um pagamento como resgate para que o sistema seja liberado.
Nos últimos anos, devido a alta demanda de trabalho remoto, novos sistemas para apoiá-lo, desafios de pessoal e requisitos elevados de atendimento ao paciente por conta da pandemia, o número de ataques de ransomwares dobrou. Essa ameaça, no entanto, não apenas causa prejuízo financeiro e expõe a privacidade, mas também pode colocar a vida do paciente em risco.
Ao impedir o acesso aos prontuários e ao sistema e dispositivos eletrônicos, o ransomware afeta a operação das instituições de saúde e pode resultar em atrasos nos cuidados ao paciente, levando a desfechos clínicos negativos e, em casos mais graves, à morte. Cerca de 25%, ou seja, 1 em cada 4 profissionais de saúde relatam aumento das taxas de mortalidade após ataques de ransomware. Portanto, boas práticas de SI são essenciais para preservar o bom funcionamento de saúde e, assim, preservar a saúde do paciente.
Entre as principais causas dessas brechas de segurança atualmente, no entanto, configuraram a má conduta dos usuários e falta de treinamento de equipe em segurança cibernética. Sendo assim, observa-se que ainda há uma carência de instrução dos profissionais e isso está diretamente ligado ao aumento dos crimes cibernéticos contra os serviços de saúde.
Esta falta de conhecimento quanto aos riscos relacionados às tecnologias de informação em saúde acompanha o profissional desde a sua graduação. Os cursos de graduação, em sua maioria, não possuem matérias de SI em sua grade curricular. Assim, os profissionais se formam sem esta captação e identificam essa necessidade apenas mais adiante, muitas vezes quando eles e suas instituições são vítimas de ataques.
Nesse sentido, a graduação em tecnologia em defesa cibernética prepara o profissional para essa nova realidade de tecnologias e ataques virtuais. O curso tem como objetivo qualificar o indivíduo para compreender e desenvolver ferramentas e estratégias para impedir ameaças cibernéticas, acompanhar as inovações e se manter atualizado.
Essa habilidade, no entanto, mostra-se imprescindível para a área da saúde, uma vez que o profissional deve zelar pela privacidade e bem-estar de seu paciente. Assim, uma segunda graduação a distância em tecnologia em defesa cibernética permite a compreensão e implementação de ações necessárias para garantir o sigilo e a integridade dos dados, além de possibilitar que o indivíduo aprimore os seus conhecimentos em horários otimizados e flexíveis, algo essencial para a rotina agitada.
Portanto, essa capacitação se faz necessária para que o profissional de saúde esteja preparado para reconhecer e evitar ameaças que possam comprometer a qualidade do atendimento.
Stephany Beyerstedt – Biomédica e mestranda em Ciências da Saúde
Artigo: Graduação em Defesa Cibernética para a Saúde
REFERÊNCIAS
BERRY, Melissa D. Ransomware attacks against healthcare organizations nearly doubled in 2021, report says. [S. l.], 5 jul. 2022. Disponível em: https://www.thomsonreuters.com/en-us/posts/investigation-fraud-and-risk/ransomware-attacks-against-healthcare/. Acesso em: 31 ago. 2022.
STATISTA RESEARCH DEPARTMENT. Leading cause of ransomware infection 2020. [S. l.], 7 jul. 2022. Disponível em: https://www.statista.com/statistics/700965/leading-cause-of-ransomware-infection/. Acesso em: 31 ago. 2022.
PORTAL HOSPITAIS BRASIL. Uso de tecnologias digitais avança nos estabelecimentos de saúde brasileiros, mas segurança da informação segue sendo desafio. [S. l.], 1 dez. 2021. Disponível em: https://portalhospitaisbrasil.com.br/uso-de-tecnologias-digitais-avanca-nos-estabelecimentos-de-saude-brasileiros-mas-seguranca-da-informacao-segue-sendo-desafio/#:~:text=Houve%20um%20avan%C3%A7o%20no%20uso,os%20estratos%20investigados%20pela%20pesquisa. Acesso em: 30 ago. 2022.
PORTAL HOSPITAIS BRASIL. Instituições brasileiras do setor de saúde sofrem mais de 60% de ataques cibernéticos. [S. l.], 6 jan. 2021. Disponível em: https://portalhospitaisbrasil.com.br/uso-de-tecnologias-digitais-avanca-nos-estabelecimentos-de-saude-brasileiros-mas-seguranca-da-informacao-segue-sendo-desafio/#:~:text=Houve%20um%20avan%C3%A7o%20no%20uso,os%20estratos%20investigados%20pela%20pesquisa. Acesso em: 30 ago. 2022.
KRUSE, Clemens Scott et al. Cybersecurity in healthcare: A systematic review of modern threats and trends. Technology and health care: official journal of the European Society for Engineering and Medicine, [s. l.], 2017. Disponível em: https://pubmed.ncbi.nlm.nih.gov/27689562/. Acesso em: 30 ago. 2022.
ALHUWAI, Dari et al. Information Security Awareness and Behaviors of Health Care Professionals at Public Health Care Facilities. Applied clinical informatics, [s. l.], 12 ago. 2021. Disponível em: https://pubmed.ncbi.nlm.nih.gov/34587638/. Acesso em: 30 ago. 2022.
ALOTAIBI, Yasser K; FEDERICO, Frank. The impact of health information technology on patient safety. Saudi medical journal, [s. l.], 2017. Disponível em: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5787626/. Acesso em: 30 ago. 2022.
PRIESTMAN, Ward et al. Phishing in healthcare organisations: threats, mitigation and approaches. BMJ Health & Care Informatics, [s. l.], 2019. Disponível em: https://informatics.bmj.com/content/26/1/e100031. Acesso em: 31 ago. 2022.
KOST, Edward. Biggest Cyber Threats in Healthcare (Updated for 2022). [S. l.], 8 ago. 2022. Disponível em: https://www.upguard.com/blog/biggest-cyber-threats-in-healthcare. Acesso em: 31 ago. 2022.
As opiniões emitidas pelos autores, comentaristas e jornalistas não refletem necessariamente a opinião da Faculdade Ibptech