Os desafios da cibersegurança na área da Saúde
Por Ubirajara Maia
Ataques cibernéticos têm sido cada vez mais frequentes no universo corporativo e causam um alto impacto na nossa sociedade, tanto pelos efeitos causados em virtude do “sequestro” de dados – o chamado ransomware – quanto pelos danos na imagem das companhias. Episódios recentes ocorridos no Brasil em um importante varejista e uma grande rede de laboratórios são apenas alguns exemplos desse universo que vem crescendo no mundo inteiro. Uma pesquisa da empresa de cibersegurança Fortinet revelou que o Brasil sofreu, no primeiro semestre deste ano, nada menos do que 16,2 bilhões de tentativas de ciberataques – praticamente o dobro das 8,4 milhões investidas em 2020.
Essa tendência é observada também a nível global. A mesma pesquisa apontou que, nesse período, na América Latina os ataques cresceram de 41 bilhões no ano passado para 91 bilhões nos primeiros seis meses de 2021. Nesse cenário, a área da Saúde é um dos principais alvos. Um estudo da consultoria alemã Statista apontou que o setor liderou o número de vazamentos globais em 2020, superando segmentos como Informação, Finanças e Seguros e Administração Pública. Durante a pandemia do novo coronavírus, o cenário ficou ainda pior com o aumento do trabalho remoto, reforçando um crescimento já observado no setor nos últimos anos.
Entretanto, a cibersegurança ainda não é vista como prioridade nessa área, por mais paradoxal que possa soar. Segundo a pesquisa Perspectives in Healthcare Security, que ouviu 130 colaboradores nas áreas de Tecnologia da Informação (TI) e Segurança da Informação (SI), além de biomédicos, em hospitais de médio e grande porte, em 60% das unidades hospitalares analisadas o tema é tratado como segundo plano, o que por consequência reflete na falta de investimento em equipe e tecnologia.
O cenário se revela preocupante, sobretudo, pois estamos abordando a área da saúde, a qual envolve o acesso a prontuários eletrônicos, exames laboratoriais, diagnósticos de imagem e outros dados pessoais confidenciais dos pacientes. Neste ponto, faz-se necessário que o tema da cibersegurança seja gradualmente introduzido na pauta de deliberações dos conselhos de administração das companhias.
Assim, como os demais KPIs (Key Performance Indicator, ou indicadores-chaves de desempenho) relativos aos negócios da empresa, o tema da segurança cibernética deve entrar na rotina de discussões do board corporativo a partir de métricas e parâmetros previamente definidos, de modo que possam ser realizados diagnósticos, traçados objetivos e mensurados resultados.
Nesse sentido, o tema da cibersegurança pode ser abordado a partir de quatro prismas.
O primeiro diz respeito à esfera legal, que ganhou novos contornos com a Lei Geral de Proteção de Dados (LGPD), legislação que regulamenta o tratamento, armazenamento e fluxo de dados pessoais nos meios digitais. A nova lei entrou em vigor oficialmente há um ano, em setembro de 2020, mas só a partir do mês passado as sanções começaram a ser aplicadas às empresas que não se adequem às suas normas. Caso não haja um tratamento adequado das informações, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar advertências e multas iguais a até 2% do faturamento, limitadas a R$ 50 milhões.
O segundo se refere ao aspecto técnico e às ferramentas necessárias para fortalecer e ampliar a proteção digital da companhia. A healthtech Bionexo, que abriu 100 vagas na área de TI no início do ano em diversas regiões do país, passará a contar com a figura do Data Protection Officer, que integra os departamentos jurídicos e de tecnologia nas questões referentes à proteção de dados da organização e dos clientes. Vale destacar que o tema de proteção digital ficou mais evidente ao longo da pandemia e trabalho remoto – que deve evoluir para o modelo híbrido a partir do ano que vem.
Se antes os colaboradores estavam concentrados em um espaço físico único e compartilhando a mesma rede de dados, atualmente a realidade é outra. O desafio será expandir os mecanismos de segurança de modo a não limitar os usuários, mas assegurar que o conteúdo na nuvem acessado pelos colaboradores esteja restrito à sua área de atuação, de modo a reduzir o risco de vazamento de dados sigilosos.
No terceiro prisma, é essencial que seja desenvolvida pelo setor de Gente e Gestão uma cultura de boas práticas no ambiente digital, de modo a criar diretrizes que norteiem a conduta dos colaboradores e estabeleça critérios de uso e compartilhamento das informações, além de eventuais sanções em caso de violações. O resultado da adoção dessas medidas é que seja estabelecido um ambiente digital mais fortalecido e seguro, de modo a reduzir os ciberataques e garantir a continuidade do negócio (quarto prisma).
Infelizmente, os ciberataques são uma realidade indigesta no mundo corporativo e, sobretudo no setor de saúde, um dos mais atingidos em nível global. O episódio recente em uma rede de laboratórios revelou o potencial lesivo dos ransomware ao estremecer todo o ecossistema de um dos maiores players de saúde do país. Por outro lado, deixou como legado a urgência de olharmos com maior atenção para o tema, engajando os conselhos de administração, integrando os diferentes departamentos e criando uma infraestrutura eficiente nas companhias para combater o avanço dos ciberataques.
*Ubirajara Maia é Vice-presidente na Bionexo.