O nosso sistema de saúde é (ciber)seguro?
Aumenta a esperança de vida na Europa e a população envelhece. A proporção de pessoas idosas nos nossos países está a aumentar, assim como o número de cidadãos com doenças crónicas (perto de 40 % da população com mais de 15 anos).
Estes fatores fazem crescer os custos em matéria de saúde na Europa. A saúde é, na maioria dos países europeus, um componente em aumento do PIB, nalguns casos ainda uma parte crescente da despesa pública, representando entre 4 % e 12 % do PIB dos Estados membros da UE.
É crucial a procura de formas mais eficientes de prestar uma boa assistência médica a um menor custo e, para isso, podem servir de grande ajuda a aplicação de tecnologias de informação e comunicação e uma exploração ética dos dados. Noutras palavras, a saúde em linha (eHealth) seria, sem dúvida, uma das melhores iniciativas para manter hoje serviços sanitários de qualidade de uma forma economicamente sustentável. Em consequência, espera-se que aumente de maneira significativa nos próximos anos a adoção de soluções e tecnologias digitais no campo da saúde.
No entanto, também crescem as ciberameaças. Os ataques em meios digitais têm como objetivo principal o roubo de informação financeira e de informação relacionada com meios de pagamento e contas bancárias, utilizando dispositivos roubados com dados não cifrados, assim como o acesso fraudulento a dados mediante a suplantação de identidades, ou phishing e o envio de spam por e-mail. Os avanços tecnológicos supuseram também a sofisticação das técnicas usadas pelos ciberdelinquentes, com infiltrações por meio de injeções SQL, ameaças avançadas persistentes (APT), ataques de dia zero e malware avançado. O setor da saúde em linha não é nenhuma exceção nesta tendência crescente de ciberdelinquência e já sofreu as consequências de alguns ataques de grande impacto mediático.
Outro aspeto crucial que se deve ter em conta é o dos riscos para a segurança da vida dos pacientes associados à manipulação de equipamentos de saúde físicos ou digitais. Cada vez é mais frequente que produtos de saúde cuja segurança é vital para os pacientes funcionem com sistemas operativos padrão, nos quais só se corrigem as vulnerabilidades e com frequência interconectados às redes do hospital. Também, quando esses produtos são dispositivos pessoais, são atualizáveis com frequência mediante o sistema OTA (Over the Air), o que os torna suscetíveis a manipulação e pirataria, com o conseguinte risco para a saúde, e mesmo vida, do paciente. É, portanto, de suma importância a aplicação de medidas de cibersegurança não só durante a conceção e desenvolvimento destes dispositivos, mas também durante a sua utilização.
O cenário que acabámos de descrever coloca em evidência a necessidade de conceber e implementar soluções de cibersegurança específicas para o setor da saúde que respondam às suas necessidades presentes e futuras.
Tendo em conta o exposto até aqui, estas são, em resumo, as principais necessidades do setor dos serviços de saúde digitais:
- Resiliência dos serviços de saúde digitais relativamente aos ciberataques. Garantir a disponibilidade do sistema e a continuidade da atividade em caso de desastre é fundamental para uma prestação ininterrupta e segura de serviços de saúde eletrónicos. O acesso a informação clínica crítica por parte de profissionais autorizados, assim como um controlo seguro do acesso por parte dos utilizadores finais devem estar garantidos para a manutenção dos melhores serviços de saúde.
- Supervisão em tempo real da segurança e fiabilidade.
- Devido que o fator humano é uma das principais ameaças à segurança no âmbito da saúde em linha, é primordial que o pessoal tenha conhecimento das ameaças básicas à cibersegurança a que está exposto.
- A investigação médica pode beneficiar-se de significativamente do acesso a um grande número de dados provenientes não só de ensaios clínicos mas, também, do seguimento dos parâmetros reais de saúde de pacientes e da sua correlação com características ambientais, dados de população, localização, etc. A digitalização dos serviços de saúde pode proporcionar estes dados em volume e qualidade sem precedentes, apesar de que também existe a imperiosa necessidade de proteger a segurança desses dados e a sua integridade, para além de garantir que os interessados possam controlar a utilização dos seus dados. Uma condição prévia essencial é a transparência no uso de dados.
- Corrigir a falta de harmonização nos serviços e Registos Eletrónicos de Saúde (EHR) na Europa.
- Incluir segurança e privacidade através da conceção no desenvolvimento e na melhoria dos serviços hospitalares e, ainda mais importante, dos produtos de saúde.
- No lançamento de novos dispositivos ou sistemas, devem planificar-se e implantar-se os aspetos de cibersegurança desde o princípio, ou seja, devem ser definidos com antecedência os processos de contratação, subcontratação e manutenção de novos sistemas.
A GMV preside ao Subgrupo de Trabalho 3.6 no âmbito da saúde em ECSO (European CyberSecurity Organization), em busca de soluções público-privadas para estes desafios.
Autor: Julio Vivero Millor