O setor de saúde vem enfrentando o impacto de ataques cibernéticos em um ecossistema de ameaças cada vez mais interconectado. Um exemplo disso é o custo do impacto destas operações no setor. Só em 2023, o custo médio de ciberataques no setor da Saúde chegou a US$ 5,3 milhões, o maior entre os segmentos pesquisados Digital Trust Insights, da PwC, estudo que ouviu mais de 3,8 mil líderes de sete setores.
A indústria da saúde não está imune ao multiverso de riscos que enfrentamos na era da disrupção tecnológica. O ritmo da transformação digital torna desafiador o entendimento do que é mais crítico na hora de gerenciar riscos cibernéticos. À medida que o setor se digitaliza, a tendência é de que as ameaças sejam mais agressivas. Essa nova jornada será cheia de desafios, e as lideranças precisarão de resiliência para superar os obstáculos.
Neste contexto de ameaças, as empresas que se preparam respondem com eficiência e emergem mais fortes de uma crise cibernética. Dentre o conjunto de ações que podem ser consideradas essenciais para estas ações, seis se destacam: o estabelecimento de uma estrutura de gestão multifuncional de crise; a avaliação dos potenciais impactos para as operações e os clientes; o desenvolvimento de soluções táticas e abordagens alternativas para manter os processos operacionais críticos no curto e médio prazo; a consideração cuidadosa dos passos necessários para retomar as operações normais; o desenvolvimento de protocolos claros de comunicação interna e externa; o aperfeiçoamento de medidas internas de cibersegurança e a avaliação de riscos cibernéticos adicionais de terceiros.
A execução de respostas a crises deve começar com a ativação de uma equipe multifuncional de respostas. A definição de um PMO (gerente de projetos) e fluxos de trabalho nas atividades de respostas com responsáveis claros e periodicidade de ações de divulgação é o segundo passo desta ação. Uma equipe de comunicação de crises para desenvolver uma mensagem central consistente é essencial, assim como uma unidade específica para triagem de clientes e stakeholders voltada a rastrear, gerenciar e responder rapidamente as consultas recebidas, de forma personalizada.
A avaliação da resiliência e do risco cibernético passa pelas atividades de busca por ameaças e avaliações de violação e comprometimento para assegurar que o ambiente permaneça seguro. Também são consideradas tanto as conexões com o ecossistema de saúde mais amplo, quanto às vulnerabilidades chamadas “zero-day”, aquelas que ocorrem quando hackers exploram a falha antes que os desenvolvedores tenham a chance de lidar com ela e das quais estados-nações e agentes criminosos procuram se aproveitar. As companhias devem questionar se existe um plano definido para testar sua conexão com a entidade ou entidades impactadas quando estiverem operacionais novamente e ativar um programa de gestão de riscos de terceiros para entender o impacto potencial das vulnerabilidades identificadas e quaisquer outros impactos potenciais de terceiros em seu ecossistema.
A empresa está preparada para fazer uma análise posterior à ação tomada e se preparar melhor para eventos similares no futuro? As considerações sobre resiliência são as avaliações de impacto nos negócios que identificam processos críticos que exigem capacidade de resiliência de alta disponibilidade. São identificados processos críticos para os quais as dependências de fornecedores criam um risco de concentração, quais são os processos de contingência e consideradas as estratégias de diversificação de fornecedores. Nesta etapa também são testados os processos de continuidade dos negócios e as capacidades de recuperação de desastres para saber o quanto a empresa conseguiria entregar serviços críticos durante outros tipos de eventos.
Uma comunicação eficaz com todos os stakeholders também é um ponto bastante importante. Existe uma estratégia de gestão de comunicação e canais? O que será comunicado e para quem? Qual será o formato e quais canais serão utilizados? Foi planejado o impacto na percepção/satisfação dos beneficiários? Seus provedores de logística estão preparados para dar suporte à empresa? Existem previsões, contratações, treinamentos e FAQs atualizados para os centros de contato e fornecedores de Business Process Outsourcing (BPO)?
Além de toda a gestão da crise, as considerações operacionais precisam ser consideradas para prestadores. Sabemos que toda empresa tem processos vigentes caso não consiga completar as funções de acesso prévio, como verificação de seguro ou autorizações, como fazer em caso de ataque cibernético? Entre as implicações, encontramos: atrasos que podem afetar as consultas, os procedimentos e a entrega de receitas e medicamentos aos pacientes, interrupção de atendimento, aumento de pedidos de reembolso negados devido à insuficiência de aprovações de seguros e autorizações necessárias. São impactos que podem afetar o fluxo de caixa do prestador, além de um aumentar os custos administrativos.
Por último, devem ser considerados os programas de benefícios em medicamentos (PBM) e planos de saúde. Existem processos provisórios para funções impactadas ou para rastrear pré-autorizações que não foram processadas? Nestes processos provisórios é preciso considerar: pagamentos antecipados a serem reconciliados após a resolução dos eventos disruptivos, gerenciar solicitações duplicadas, pedidos enviados por diferentes fornecedores, pedidos em papel, etc.
Ainda dentro dos programas de benefícios, devem ser planejados como será a reconciliação de prescrições realizadas de boa-fé e o gerenciamento dos impactos sobre o Medicare Advantage Stars ou a performance do Medicaid Quality (por exemplo, a adesão à medicação). Os processos provisórios devem contemplar ainda a distribuição de medicamentos críticos e a adesão de pacientes que não podem pagar o custo na ponta na farmácia.
Por fim, se esta disrupção operacional persistir, a empresa estará preparada para lidar com o enorme acumulado de transações após o fim das interrupções? Foram considerados a criação de “ambientes de teste” para processar em lotes o grande volume de transações futuras? À medida que as operações comerciais voltam ao normal, é essencial considerar a resiliência tecnológica e operacional, além da concentração de fornecedores e dos processos de contingência. Construir uma organização verdadeiramente resiliente não acontece da noite para o dia. É um esforço de vários anos que precisa começar agora.
*Bruno Porto é sócio e líder para a indústria de saúde na PwC Brasil.