O início de 2024 foi marcado por uma sucessão de ciberataques, tendo o mês de janeiro assumindo um preocupante pico de incidentes. Os números publicados pela IT Governance UK só incluem os incidentes assumidos, os que são relatados pelas instituições. Sabemos, por experiência, que nem todas as instituições têm o hábito de comunicar de forma pública e transparente os ataques e consequentes vazamentos de informações.
Um dos braços da Optum, a Change Healthcare, sofreu um ciberataque em fevereiro de 2024, e o impacto ainda se faz sentir. A organização BlackCat, associada à Rússia e especializada em ransomware, conseguiu acesso a um dos servidores da empresa do universo United Health, impedindo, por exemplo, que as farmácias associadas pudessem gerir prescrições. Como todo o ransomware, é necessário pagar um resgate para que seja retomado o acesso aos dados.
Financeiramente, foi relatado o pagamento da quantia de 22 milhões de dólares de resgate, mas estima-se que algumas instituições tenham sofrido perdas de 100 milhões de dólares por dia. A 22 de abril, o grupo United Health divulgou perdas de 872 milhões, só no primeiro trimestre do ano, estimando que o impacto do ciberataque possa chegar a 1.6 Bi.
Nos EUA, a Change Healthcare é responsável pelo maior processamento de prescrições, tendo acesso a aos processos de 1 em cada 3 pacientes no país.
Mas este nem foi o maior ciberataque de que há memória no setor de saúde. Em 2015, um vazamento de dados da Anthem Inc. atingiu 78.8 milhões de pessoas. No final, a empresa chegou a acordo com o Department of Health and Human Services (HHS), pagando 16milhoes de dólares, realizando outro acordo para resolver 100 ações judiciais coletivas, no total de 115 milhões, aos quais somaram 31 milhões em honorários advocatícios. O HHS ainda determinou que fossem analisadas e corrigidas as deficiências de cibersegurança da empresa.
No ano passado, os vazamentos de dados de pacientes atingiram mais de 133 milhões de pessoas (ou 124 milhões, de acordo com a mesma fonte), o que representa um aumento superior a 150% em relação a 2022.
É amplamente reconhecido que, por exemplo, alguns dos melhores hackers do mundo foram contratados por organizações de segurança, umas nacionais, outras privadas, no pressuposto que de quem cria o vírus sabe os caminhos para criar a cura, à semelhança do que ocorre com os vírus não-informáticos. A estratégia de defesa e antecipação de ataques como parte da segurança ou cibersegurança existe e não é por falta de investimento que ocorrem vazamentos ou que as empresas são vítimas de ciberataques.
No entanto, quando falamos do setor de saúde, e de dados privados de saúde, é necessário considerar a sua durabilidade. Os antecedentes clínicos não podem ser mudados com se muda uma senha ou o pin de acesso. Os dados médicos não podem ser escolhidos ou mudados, como acontece com dados de segurança de email ou de internet banking.
Não é à toa que a cibersegurança está nas prioridades das maiores organizações mundiais e é olhada como uma das mais importantes áreas de investimento da era em que vivemos e que se avizinha.
Com a adoção de ferramentas digitais e informáticas, com a passagem do papel para o os dados virtuais, com as plataformas de partilha de prontuários, prescrições, exames, em suma, todo o histórico de saúde dos indivíduos, a dependência de ferramentas que garantam a segurança, inviolabilidade e privacidade dos dados é fundamental.
E, também por isso, os dados são um alvo tão apetecível.
Não se trata apenas do valor dos dados para crimes como roubo de identidade ou uso de dados privados para cometer diversos tipos de fraudes. Como já vimos, o sequestro de dados pode gerar um congelamento das operações de diversas instituições, indo muito além do valor exigido como resgate. As perdas não se limitam ao momento e não são resolvidas de forma instantânea.
Se considerarmos a origem do hackathon, podemos perceber dois detalhes. Em primeiro, a formação da palavra: hack e marathon. Em segundo, a cronologia, que nos leva a 1999, quando a OpenBSD realizou o primeiro hackathon no dia 4 de junho, na cidade de Alberta. Nesse primeiro hackathon, 10 desenvolvedores trabalharam para evitar problemas legais que eventualmente surgissem devido à regulação da exportação de software criptográfico dos EUA.
E não se duvide que as organizações e as empresas contratadas pelas organizações trabalham de forma a prever ataques e vazamentos, imaginando e criando cenários, promovendo ataques em “ambiente controlado”, ou seja, autorizados e incentivados, no sentido de desenhar sistemas de defesa. Mas, nem todas as empresas de saúde têm dimensão ou orçamento para investir em desenvolvimento de soluções ou contratação de empresas de cibersegurança.
O investimento alocado à área de TI e, especificamente, cibersegurança, tem vindo a aumentar, ou não tivesse aumentado também o número de ciberataques.
Mas o setor de saúde é profícuo em fusões, aquisições, terceirizações e outras ações que implicam a entrada em cena de terceiros. A dependência de corpos estranhos, cujas políticas de segurança cibernética se desconhecem, estão na origem de vulnerabilidades. A contratação de fornecedores ou prestadores, ou a fusão ou aquisição de instituições que não estão capacitadas para vedar de forma eficiente cada porta e janela de acesso digital.
Torna-se essencial que o setor se abra para se fechar.
Só através de uma estratégia em que se trabalhe de forma colaborativa e unificada é que se pode chegar ao ponto em que instituições de maior ou menor dimensão, com maior ou menor orçamento, conseguem garantir o máximo de segurança dos seus dados e dos dados dos seus pacientes ou dos próprios recursos humanos. É essa abertura para a troca de informações e conhecimento que vai permitir criar estratégias e ferramentas mais completas e com mais previsões de mais cenários. E, consequentemente, a muralha digital irá proteger todo o setor dos ataques cibercriminosos.
A partilha deve chamar instituições públicas e privadas para partilha de inteligência, de conhecimento, de recursos e troca de experiências e visões.
O mundo está conectado e está mais vulnerável aos ataques dos criminosos de teclado. Mas também está conectado para solucionar problemas, para criar plataformas que atendam melhor os pacientes e que assegurem a privacidade dos seus dados.
O mundo digital, cada vez mais, exige a interoperabilidade. Não é uma questão meramente operacional, deve fazer parte da cultura das instituições.
E, no centro de tudo, estão os pacientes. É preciso ser transparente na hora de assumir que ocorreram crimes, não tentar evitar que se saiba para não prejudicar a reputação. É preciso comunicar. De forma preventiva e de forma educativa.
Se os pacientes souberem como proteger os seus dados, como proceder de forma a não dar acesso aos aparelhos que usam, sejam computadores, smartphones ou tablets, poderão evitar ser a porta de acesso para o cibercrime. Mas também devem ser informados quando algo como o que aconteceu com a Change Healthcare acontece. E não foi isso que aconteceu. O medo de repercussões financeiras é maior do que o dever da transparência.
Devemos sempre ter presente que, ainda em 2019/2020 tivemos um problema que, talvez, pudesse ter sido atacado de forma mais eficaz se tivesse existido essa transparência e essa comunicação atempada. Quando Wuhan não quis dizer ao governo chinês que estava com um problema, na esperança de resolver antes que alastrasse, podendo conter e ocultar, chegou ao ponto em que se tornou um problema nacional. E a China seguiu o mesmo procedimento. Na tentativa de conter dentro da própria fronteira, não comunicou, não foi transparente. E o que aconteceu foi o que todos sabemos, com as consequências que ainda hoje se fazem sentir.
Quando falamos em cibercrime, as semalhanças com os laboratórios que tentam antecipar epidemias ou pandemias são óbvias. Trabalham-se curas em ambiente controlado para evitar que as consequências globais sejam catastróficas.
Mas, além desse trabalho de pesquisa e desenvolvimento e de todos os esforços desenvolvidos para criar soluções de cibersegurança, é preciso que esse trabalho seja realizado de forma aberta e global e que as ações sejam transparentes. Só assim todos poderão sair beneficiados.
Existem algumas definições do conceito de inovação e de inovar. Criar algo novo ou renovar, acrescenter novidades, por exemplo. Concordamos que essa criação será mais eficaz, quando falamos de cibersegurança, se for possível recolher contribuições diversas e construir sistemas inovadores que beneficiem todo o setor? E, seguindo a definição de Joseph Schumpeter, inovamos quando criamos algo novo que alter de forma considerável as relações entre produtos e consumidores, gerando desenvolvimento econômico. E aqui estão duas bases essenciais quando falamos em segurança. Os consumidores, os pacientes, são parte fundamental desta equação. E não existe inovação se não existir desenvolvimento econômico.
Sem inovação com a participação de cada agente do setor, sem antecipação de hipóteses e criação de contramedidas preventivas, não será possível ter um setor de saúde moderno, usando o universo digital de forma construtiva e eficaz, com resultados positivos para instituições, profissionais e pacientes.