Se a saúde é um dos principais alvos de ataques cibernéticos, por que o setor não dá tanta importância ao assunto?

Ataques cibernéticos têm sido cada vez mais frequentes no universo corporativo e causam um alto impacto na nossa sociedade, tanto pelos efeitos causados em virtude do “sequestro” de dados – o chamado ransomware – quanto pelos danos na imagem das companhias. 

Episódios recentes ocorridos no Brasil em um importante varejista e em uma grande rede de laboratórios são apenas alguns exemplos desse problema que vem crescendo no mundo inteiro. 

Uma pesquisa da empresa de cibersegurança Fortinet revelou que o Brasil sofreu, no primeiro semestre deste ano, nada menos do que 16,2 bilhões de tentativas de ciberataques – praticamente o dobro das 8,4 milhões investidas em 2020.

Essa tendência é observada também a nível global. A mesma pesquisa apontou que, nesse período, na América Latina os ataques cresceram de 41 bilhões no ano passado para 91 bilhões nos primeiros seis meses de 2021. 

Neste cenário, a área da Saúde é um dos principais alvos. Um estudo da consultoria alemã Statista apontou que o setor liderou o número de vazamentos globais em 2020, superando segmentos como Informação, Finanças e Seguros e Administração Pública. 

Durante a pandemia do novo coronavírus, o cenário ficou ainda pior com o aumento do trabalho remoto, reforçando um crescimento já observado no setor nos últimos anos.

Entretanto, a cibersegurança ainda não é vista como prioridade nessa área, por mais paradoxal que possa soar. 

SEIS EM CADA DEZ HOSPITAIS MENOSPREZAM CIBERSEGURANÇA

Sessenta por cento dos hospitais de médio e grande porte tratam a cibersegurança como tema de segundo plano, o que por consequência reflete na falta de investimento em equipe e tecnologia.

Isso é o que aponta a pesquisa “Perspectives in Healthcare Security”, feita pelo Departamento de Saúde dos Estados Unidos, que ouviu 130 colaboradores nas áreas de Tecnologia da Informação (TI) e Segurança da Informação (SI), além de biomédicos, em unidades hospitalares americanas.

O cenário se revela preocupante, sobretudo porque estamos abordando a área da saúde, a qual envolve o acesso a prontuários eletrônicos, exames laboratoriais, diagnósticos de imagem e outros dados pessoais confidenciais dos pacientes. 

Neste ponto, faz-se necessário que o tema da cibersegurança seja gradualmente introduzido na pauta de deliberações dos conselhos de administração das companhias. 

Assim, como os demais KPIs (Key Performance Indicator, ou indicadores-chaves de desempenho) relativos aos negócios da empresa, o tema da segurança cibernética deve entrar na rotina de discussões do board corporativo.

Para isso, é preciso adotar métricas e parâmetros previamente definidos, de modo que possam ser realizados diagnósticos, traçados objetivos e mensurados resultados. 

OS QUATRO PILARES DA SEGURANÇA CIBERNÉTICA

Nesse sentido, o tema da cibersegurança pode ser abordado a partir de quatro prismas. 

O primeiro diz respeito à esfera legal, que ganhou novos contornos com a Lei Geral de Proteção de Dados (LGPD), legislação que regulamenta o tratamento, armazenamento e fluxo de dados pessoais nos meios digitais. 

A nova lei entrou em vigor oficialmente há um ano, em setembro de 2020, mas só a partir do mês passado as sanções começaram a ser aplicadas às empresas que não se adequem às suas normas. 

Caso não haja um tratamento adequado das informações, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar advertências e multas iguais a até 2% do faturamento, limitadas a R$ 50 milhões.  

O segundo se refere ao aspecto técnico e às ferramentas necessárias para fortalecer e ampliar a proteção digital da companhia. 

A healthtech Bionexo, que abriu 100 vagas na área de TI no início do ano em diversas regiões do país, passará a contar com a figura do Data Protection Officer (DPO), que integra os departamentos jurídicos e de tecnologia nas questões referentes à proteção de dados da organização e dos clientes.  

Vale destacar que o tema da proteção digital ficou mais evidente ao longo da pandemia e trabalho remoto – que deve evoluir para o modelo híbrido a partir do ano que vem.

Se antes os colaboradores estavam concentrados em um espaço físico único e compartilhando a mesma rede de dados, atualmente a realidade é outra. 

O desafio será expandir os mecanismos de segurança de modo a não limitar os usuários, mas assegurar que o conteúdo na nuvem acessado pelos colaboradores esteja restrito à sua área de atuação, de modo a reduzir o risco de vazamento de dados sigilosos. 

No terceiro prisma, é essencial que seja desenvolvida pelo setor de Gente e Gestão uma cultura de boas práticas no ambiente digital, de modo a criar diretrizes que norteiem a conduta dos colaboradores e estabeleça critérios de uso e compartilhamento das informações, além de eventuais sanções em caso de violações. 

O resultado da adoção dessas medidas é que seja estabelecido um ambiente digital mais fortalecido e seguro, de modo a reduzir os ciberataques e garantir a continuidade do negócio (quarto prisma). 

Infelizmente, os ciberataques são uma realidade indigesta no mundo corporativo – e sobretudo no setor de saúde, um dos mais atingidos em nível global. 

O episódio recente em uma rede de laboratórios revelou o potencial lesivo dos ransomware ao estremecer todo o ecossistema de um dos maiores players de saúde do país. 

Por outro lado, deixou como legado a urgência de olharmos com maior atenção para o tema, engajando os conselhos de administração, integrando os diferentes departamentos e criando uma infraestrutura eficiente nas companhias para combater o avanço dos ciberataques.  

**

Ubirajara Maia é vice-presidente na Bionexo, healthtech líder em soluções digitais para gestão em saúde e proprietária de um marketplace que conecta mais de 2 mil hospitais a mais de 20 mil fornecedores no Brasil, Argentina, Colômbia e México.