Por Ana Luiza Mahlmeister | Para o Valor, de São Paulo
O ataque de um vírus que se propagou na sextafeira dia 12 de maio e afetou centenas de milhares de computadores em mais de 150 países acendeu um alerta entre as instituições de saúde. O ciberataque, que derrubou o sistema de saúde público do Reino Unido deixando milhares de pessoas sem atendimento, mostrou que esse mercado é particularmente sensível ao risco cibernético, gerando alertas sobre a vulnerabilidade dos sistemas e a falta de políticas de segurança. “Hoje os ataques não envolvem mais hackers se divertindo, mas países que querem ter acesso a dados sigilosos da medicina ocidental para queimar etapas e acelerar o desenvolvimento de novas drogas”, afirma Enrico De Vettori, sócio da área de saúde da Deloitte.
Segundo pesquisa do Ponemon Institute, que entrevistou mais de 300 empresas, incluindo brasileiras, o custo de um incidente de segurança por receita de segurado é maior na saúde do que em qualquer outro segmento: ele alcança US$ 355 per capita, seguido por educação (US$ 246) e finanças (US$ 221). A pesquisa aponta que a maior preocupação das organizações está relacionada à negligência dos colaboradores com 69% das respostas, os ataques cibernéticos, com 45%, aparecem na segunda posição.
Apenas 11% das organizações ouvidas pela consultoria não registraram ataques nos últimos 24 meses. Dos ataques sofridos, 50% foram cibernéticos, 41% provocados por empresas externas, 39% por roubo de computadores, 36% em consequência de ação de empregados, 29% decorrentes de falha de sistemas técnicos, 13% por sistemas maliciosos introduzidos pela própria organização, e 8% não maliciosos. O cuidado com a segurança da informação não é mais uma preocupação apenas da área de tecnologia, mas diz respeito ao negócio, pois uma empresa pode perder o seu valor e até ser obrigada a encerrar suas atividades se houver vazamentos.
E não se trata apenas de se proteger de ataques de vírus, mas também nas quebras de segurança que podem ocorrer no dia a dia. É muito comum um médico mandar para seu email particular um resultado de exame e comentar informações sigilosas por whatsapp. Um eventual ataque à uma instituição de saúde pode gerar danos à sua reputação por um período de muitos anos. O visível, no primeiro momento, é a insuficiência técnica para barrar o ataque. Depois se avalia as melhorias na segurança, questão regulatória, multas e seguro. De acordo com Vettori, o impacto econômico, nessa fase, será apenas 5% dos custos totais 95% são os outros custos como a perda de propriedade intelectual, perda de clientes, de receita e queda no valor percebido pelos usuários.
Por causa de um laptop roubado, uma seguradora de saúde dos Estados Unidos com faturamento de US$ 60 bilhões por ano teve os dados de 2,8 milhões de segurados invadidos. A empresa só se deu conta uma semana depois do ataque, quando teve que suspender os sistemas, o que implicou em prejuízo de US$ 830 milhões, sem contabilizar as perdas com a imagem nos próximos cinco anos. “Não é apenas o prontuário do paciente que deve ser protegido de ataques externos, o risco interno também deve ser priorizado”, afirma Luiz Milagres, gerente de cibersegurança da consultoria EY, que ao lado de Vettori, participou de um debate sobre privacidade e segurança no setor de saúde durante a Hospitalar 2017, realizada na semana passada em São Paulo.
Nos Estados Unidos, empresas de saúde com mais de 500 funcionários são obrigadas a informar publicamente se sofreram algum ataque. O Brasil está elaborando uma lei de proteção de dados que deve sair até o final do ano. Hoje, o Marco Civil da Internet é aplicado em determinados casos. Uma empresa de saúde tem o dever de diligência, ou seja, não pode ser negligente com a atualização dos sistemas ou terá que responder perante a lei, afirma Renato Ópice Blum, coordenador de direito digital do Insper. Se a instituição de saúde tem problemas de orçamento, o responsável pela tecnologia deve garantir que fez o pedido de verbas e alertou para o problema, dividindo responsabilidades como o gestor.
O cuidado, de acordo com Blum, começa na coleta do dado. O Artigo 7 do Marco Civil da Internet diz respeito ao processamento, armazenamento e coleta desses dados. Em primeiro lugar é necessário ter o consentimento expresso, claro e informado da pessoa que fornece as informações, e a empresa tem que guardar o registro desse consentimento em ambiente seguro, pois pode ser multada se essa coleta for feita sem um propósito bem definido, ressalta Blum. A Lei de Proteção de Dados inclui em um de seus artigos a necessidade da criação de um novo cargo nas empresas com mais de 200 funcionários: o de Chief Privacy Officer (Chefe de Segurança e Privacidade).
Segurança é estratégica na pauta de executivos
Alguns hospitais brasileiros foram ágeis em deflagrar medidas de segurança para barrar o ataque do vírus que afetou computadores em todo o mundo neste mês. Tanto o Hospital SírioLibanês quanto o Hospital Alemão Oswaldo Cruz, de São Paulo, não interromperam atendimentos ou sofreram com a queda dos sistemas. Ambos destacam que ficou uma lição: a segurança passou a ser a pauta mais estratégica dos executivos de saúde. “Além de servir como teste, o ataque mostrou que temos sistemas adequados aos problemas que conhecemos, mas a maior preocupação agora é com os futuros ciberataques”, afirma Fernando Torelly, diretor executivo do Hospital SírioLibanês.
Assim que a área de tecnologia soube da ameaça, foram feitas análises dos sistemas críticos e colocados em campo planos de contingência, como bloqueio do acesso à internet para que o vírus não se propagasse. Com isso foi evitado qualquer prejuízo aos pacientes ou às informações armazenadas. “Muitas empresas dispensaram os funcionários, mas no setor de saúde não é possível interromper um atendimento”, destaca Torelly. O Sírio mobilizou um comitê estratégico de segurança para avaliar o que é possível fazer de agora em diante, investindo mais em monitoramento e testes de invasão. Os dados dos pacientes são protegidos por camadas de sistemas de segurança atualizados constantemente.
No Hospital Oswaldo Cruz o alerta sobre os desafios da segurança entrou em pauta na segunda metade de 2015, quando diversas instituições de saúde dos Estados Unidos foram invadidas. O hospital contratou uma consultoria externa para um diagnóstico inicial do ambiente de tecnologia da informação e para traçar um plano de ação de segurança, diz Fabio Katayama, superintendente operacional da instituição. Nesse período houve uma transformação na governança a partir da alta administração. Uma equipe de conselheiros especialistas definiu uma política formal de proteção. “Hoje temos uma área específica que cuida só da segurança da informação, além de auditores externos para testes”, afirma Katayama. A infraestrutura de redes e o datacenter foram atualizados e os dados dos pacientes são criptografados. Existe também uma separação física da rede administrativa da operacional. O Oswaldo Cruz também promove palestras que alertam dos perigos de segurança e de tempos em tempos manda emails de “phishing” para testar os funcionários, com ações educativas para aqueles que erraram.