Em um cenário de avanço acelerado da digitalização na área da saúde, a segurança cibernética emerge como uma prioridade incontestável. A interconexão de sistemas, o armazenamento massivo de dados médicos e a crescente adoção de tecnologias inovadoras elevaram os riscos de possíveis ataques. Diante deste contexto, a Organização Mundial da Saúde (OMS) fixou o período de cinco anos para estados membros estabelecerem uma abordagem segura em meio à saúde digital. Este prazo expira em 2025, ou seja, diversas nações, inclusive o Brasil, precisam criar legislações mais robustas para resguardar dados sensíveis de seus cidadãos em pouco tempo.
Veja os desafios que o setor enfrenta, desde a proteção de registros médicos sensíveis até as implicações da transformação digital. Conversamos com especialistas do setor para entender as iniciativas inovadoras que estão moldando a cibersegurança no universo da saúde, que buscam garantir a integridade dos dados e a confiança de pacientes, além de saber o que falta para o setor evoluir.
Em dezembro de 2023, foi instituída a Política Nacional de Cibersegurança (PNCiber) por meio do Decreto nº 11.856. Esta não é iniciativa direcionada exclusivamente ao setor da saúde. Mas com certeza trará desdobramentos. A PNCiber visa orientar a segurança cibernética, com princípios como soberania, priorização de interesses nacionais, garantia de direitos fundamentais, prevenção de incidentes e cooperação nacional e internacional.
Os objetivos incluem promover o desenvolvimento de tecnologias nacionais de segurança cibernética, estimular medidas de proteção, contribuir para combater crimes cibernéticos e fortalecer a cooperação entre entidades públicas e privadas. O decreto também cria o Comitê Nacional de Cibersegurança (CNCiber) para acompanhar a implementação da política, composto por representantes de diversos setores, mas sem a participação da Autoridade Nacional de Proteção de Dados. Dentre as responsabilidades, está propor atualizações, formular propostas de aprimoramento e promover a cooperação internacional em segurança cibernética.
O Marco Civil da Internet (Lei nº 12.965/2014) e a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) também influenciam a cibersegurança no setor da saúde, pois estabelecem diretrizes sobre a proteção de dados pessoais e incentivam práticas seguras no tratamento de informações médicas. O cumprimento dessas leis é essencial para garantir a segurança e a privacidade dos dados no ambiente digital da saúde, assim como está descrito na Rede Nacional de Dados em Saúde (RNDS). Mas será que isso é suficiente para dar conta de tudo que a saúde precisa para avançar neste aspecto?
Sobre as demandas da OMS, Francisco Blanes, diretor de cibersegurança na Deloitte, consultoria estratégica de empresas de saúde de grande porte, afirma que as empresas brasileiras não estão tão focadas em cibersegurança.
“A postura das empresas brasileiras, em especial no que tange as referências do Global Initiative on Digital Health (GIDH), ainda se concentra nos temas de transformação digital e não tem sido amplamente reconhecida como plataforma para permitir um amplo ecossistema global. Tampouco que tal ecossistema trabalhe coletivamente para promover a capacidade dos países em fortalecer a cooperação internacional em saúde digital”, esclarece.
Entretanto, Blanes percebe que gradualmente a demanda passa a ser percebida, minimamente, como meio de estimular as conexões para tendências. “No cenário brasileiro, o foco permanece na ideação de soluções digitais e há discreta evolução para aspectos de segurança cibernética e privacidade”, detalha.
Já para Bruno Porto, sócio da PwC, também atuante como consultoria estratégica de grandes hospitais, laboratórios e operadoras de saúde, cibersegurança é um dos três temas que atraem mais atenção. Para ele, o grande desafio é crescer, inovar, ser mais digital na saúde, garantindo a segurança de novos sistemas e o cumprimento de LGPD para o futuro. “Porque, a cada nova tecnologia, nasce uma vulnerabilidade também”, explica.
Agente fomentador da transformação digital na melhoria do setor da saúde no país, a Associação Brasileira CIO Saúde (Abcis) define estratégias para auxiliar o setor a se tornar mais maduro do ponto de vista tecnológico. No entanto, Vitor Ferreira, presidente da entidade, destaca que somente um número pequeno de hospitais brasileiros têm maturidade para tratar o tema. São pouco mais de 600 executivos, de 500 hospitais em média, de um cenário com mais de 7.200 hospitais.
Blanes também ressalta que o tema de segurança nas organizações de saúde no Brasil tem maturidade ainda em desenvolvimento, salvo raras exceções que aceleraram há alguns anos a estruturação de segurança das informações, a qual ainda se confunde com a departamentalização de segurança, privacidade e que ainda se encontram vinculados a áreas de tecnologia na organização.
“Tais aspectos muitas vezes representam vieses de desaceleração do avanço das proteções necessárias para mitigar riscos e que possam comprometer negativamente a performance dos negócios”, analisa. Para ele, é fundamental que haja maior empoderamento das áreas de segurança para que a evolução passe a um ritmo mais adequado face aos desafios.
Vitor afirma que, apesar de ser um número pequeno, é importante reconhecer as instituições, pois são as mais maduras e com condições para implementar programas efetivos de cibersegurança. Considerando este público, a Abcis está com as seguintes ações em andamento.
Apesar de todas as dificuldades, o objetivo das organizações deve ser sempre agir preventivamente para evitar ataques cibernéticos, garantindo a proteção de dados, a privacidade do paciente e a integridade dos sistemas de saúde.
No que diz respeito a tecnologias emergentes, como a inteligência artificial (IA) e o uso da telemedicina, Porto pontua que, conforme novos sistemas deixam de ser ferramentas internas e passam a ter mais interatividade com o mundo exterior – devido à necessidade do paciente de acessar dados remotamente –, mais vulnerabilidades aparecem do ponto de vista da segurança.
Ele também chama atenção para a proteção interna de processos e pessoas. “Garantir o perfil de acesso para determinadas atividades/ informações de forma que as análises de risco e de alçada sejam feitas adequadamente é essencial”, evidencia.
A PwC tem um centro especializado em cibersegurança no Brasil, que está antenado com as vulnerabilidades do setor de saúde em outras regiões, como países da América e da Europa. Porto conta que buscam replicar rapidamente, com as devidas proporções, os aprendizados com o exterior nos processos e no desenho de segurança de defesa brasileiros.
Nesta mesma linha, a Deloitte traz a abordagem de imunidade digital com a repercussão de estudar continuamente a dinâmica dos negócios de saúde. “Conectando-se aos riscos de cada negócio no seu cenário e promovendo associações com planos de proteção de ciber bem medidos e com parâmetros equilibrados, é possível ter um orçamento saudável associado ao patamar de proteção correspondente ao apetite de riscos da alta administração”, ressalta Blanes.
Enquanto figura propulsora, a Abcis divulga orientações e melhores práticas para ajudar os CIOs do setor da saúde a enfrentar os desafios específicos de segurança digital, como:
O presidente da entidade pontua que essas ações são o mínimo a ser feito e não eliminam todos os riscos. “Essas são orientações básicas para criar um ambiente de segurança digital, indispensáveis para proteger informações sensíveis de saúde e garantir a continuidade da operação de serviços de saúde. Contudo, não esgotam completamente os riscos, pois são ambientes críticos, que demandam atualização e gestão contínua”, enfatiza. Para ele, o assunto deve ser prioritário nas discussões orçamentárias das instituições de saúde.
Diante da interoperabilidade entre sistemas de saúde, há a necessidade inerente de estabelecer os protocolos e práticas de segurança para proteger não apenas os dados internos, mas também para garantir a segurança nas colaborações e trocas de informações com outras instituições de saúde e parceiros externos. Como informações podem ser compartilhadas de forma adequada com outra instituição, já que o dado pertence ao paciente e com o cumprimento da LGPD?
Porto explica que o compartilhamento pode ser feito com a anonimização de dados para que o paciente não seja identificado, esse tipo de informação pode ser usado em pesquisas, por exemplo. No entanto, quando a identificação do paciente é necessária, o sócio da PwC afirma que ainda não se sabe muito bem como fazer sem infringir a lei.
“Esse é um caminho que ainda precisa ser trilhado no Brasil. É necessária uma regulamentação mais clara sobre como garantir que todos os atores de saúde consigam, de fato, acessar o dado, quando a pessoa sai de uma Atenção Primária para uma Atenção Secundária, por exemplo”. Com isso, será possível ter uma visão de prontuário único eletrônico, que mostre a jornada de vida do usuário do serviço.