Ciberataques aos cuidados de saúde – uma ameaça
crescente
Tradução do editorial do Lancet
Cyberattacks
on health care—a growing threat
“O ciberataque da Change Healthcare é o incidente mais significativo e consequente do seu género contra o sistema de saúde dos EUA em toda a história”, afirma Rick Pollack, presidente e diretor executivo da American Hospital Association (AHA). O ciberataque de fevereiro deste ano ao maior sistema de faturação e pagamentos dos EUA levou a interrupções no processamento de receitas e nos serviços a milhões de doentes, atrasando o acesso a medicamentos e cuidados. Mesmo dois meses após o ataque, um inquérito da AHA revelou que muitas clínicas enfrentavam a possibilidade de encerramento devido à perda de receitas decorrentes de pedidos de indemnização não pagos, pondo em risco o acesso dos doentes aos serviços. Este ciberataque de grande envergadura veio mais uma vez realçar a ameaça crescente dos ciberataques à saúde. Sempre que os sistemas de saúde são atacados, a prestação de cuidados sofre atrasos e, inevitavelmente, põe em risco a segurança dos doentes. Em maio de 2017, o ataque global do software malicioso WannaCry perturbou mais de um terço dos hospitais do SNS inglês e quase 7 000 consultas foram canceladas. O pessoal médico não conseguiu aceder a quaisquer dados, não pôde prestar cuidados médicos e os serviços ambulatórios tiveram de ser cancelados. Para um doente individual, uma perturbação tão súbita pode ser angustiante e ter consequências graves, especialmente se os doentes estiverem, por exemplo, em unidades de cuidados intensivos ou precisarem de cuidados de imediatos. Os sistemas de saúde têm sob sua proteção uma enorme quantidade de informações sensíveis sobre os doentes. Mas quando estes sistemas são violados, os dados dos doentes podem ser roubados ou perdidos. Em maio de 2021, um ciberataque ao Ministério da Saúde e ao Health Service Executive (HSE) da Irlanda afetou mais de 80% da infraestrutura de informática e levou ao cancelamento de milhares de serviços, tendo sido roubados os dados pessoais de quase 100 000 pessoas. As perdas financeiras após um ciberataque podem ser consideráveis. Prevê-se que a pirataria informática contra a Change Healthcare nos EUA tenha custado entre 1 e 6 mil milhões de dólares. Estes ataques fazem parte de uma tendência crescente e alarmante de ciberataques contra os cuidados de saúde. O European Repository of Cyber Incidents registou um aumento global de 32 eventos em 2022 para 121 em 2023.
Os números estão a aumentar devido às crescentes
vulnerabilidades dos sistemas de cuidados de saúde. Os registos de saúde eletrónicos,
os dispositivos médicos, os serviços laboratoriais, as farmácias, os sistemas
de apoio à decisão clínica e muitas outras aplicações e serviços estão
interligados digitalmente e são utilizados por muitos utentes diferentes. A
utilização de novas tecnologias digitais, como a mHealth, a telessaúde e
as ferramentas de diagnóstico apoiadas por IA, acelerou durante a pandemia de
COVID-19 e foi introduzida com pouca consideração pelas questões de segurança.
Ao mesmo tempo, muitos prestadores e serviços de saúde ainda utilizam
tecnologias e software desatualizados. Esta interligação torna os
sistemas de cuidados de saúde um alvo fácil - os cibercriminosos só precisam de
encontrar um ponto de entrada fraco para paralisar todo o sistema. À medida que
aumentam as dependências das soluções digitais interligadas, aumenta também a
necessidade de compreender os riscos. Mas há uma escassez de dados
sistematicamente analisados para medir os riscos e vulnerabilidades específicos
a nível local, o que torna muito mais difícil quantificar os danos diretos nos
doentes e os dados perdidos. O setor da saúde está muito atrasado em relação à
maioria dos setores de infraestruturas essenciais, como a energia, os
transportes, a energia nuclear ou a água, no que respeita à investigação para
compreender os riscos e desenvolver planos específicos para proteger, responder
e recuperar de ciberataques. No caso da HSE Ireland, a incapacidade de
compreender suficientemente os riscos da dependência tecnológica e a falta de
planeamento prévio para tais eventos significou que se perdeu tempo e os
cuidados de saúde foram desnecessariamente atrasados, prejudicando muitos
doentes.
As vulnerabilidades mais graves nos cuidados de saúde dizem
respeito aos recursos. O último inquérito da Healthcare Information and
Management Systems Society mostra que as organizações de cuidados de saúde
dos EUA afetam uma média de 7% das despesas com cibersegurança, enquanto o
montante médio gasto em todos os setores é de cerca de 11-12%. Ao contrário do
setor dos serviços financeiros, os cuidados de saúde não dispõem dos mesmos
recursos para pagar igualmente bem aos peritos em cibersegurança, que são uma
mão de obra difícil de encontrar. Os riscos são particularmente graves nos
países de baixo e médio rendimento, onde as infraestruturas, os recursos e os
quadros regulamentares necessários para a proteção contra os ciberataques são
muito menos suficientes, como salientado num comentário recente da revista The
Lancet Global Health. Então, o que é que os sistemas de saúde e os
indivíduos podem fazer? Os investimentos em investigação e recursos no domínio
da cibersegurança têm de estar ao nível de outros setores. Os cibercriminosos
utilizam tecnologia sofisticada, mas a sua primeira entrada num sistema faz-se
frequentemente através de simples esquemas de phishing ou da falta de
mecanismos de segurança simples, como a autenticação de dois fatores.
Compreender estes riscos e tomar as medidas adequadas é importante para as
pessoas. As incidências de cibersegurança nos cuidados de saúde estão a
aumentar e não se trata de uma questão de “se”, mas de “quando”. A
cibersegurança não é apenas uma questão de tecnologias da informação. É uma
questão de saúde.
The Lancet
Sem comentários:
Enviar um comentário