O segmento de saúde é um dos mais visados hoje pelos cibercriminosos em todo o mundo. Uma pesquisa da consultoria Frost&Sullivan revelou que o volume global de tentativas de ataques identificados e barrados a sites e serviços de saúde saltou 715% em junho de 2020 em comparação com o mesmo mês do ano anterior.
Esse interesse crescente ocorre devido à alta movimentação de informações extremamente sensíveis por essas empresas. É o caso de dados pessoais de pacientes para procedimentos médicos e transações de valores bilionários.
Sabemos que os dados fluem como água pela rede e isso significa que, em algum momento, pode haver brechas e vazamentos. Mesmo que um sistema de TI faça um controle de dados para minimizar esses riscos, esse não é o objetivo central nem o mais importante dentro de uma empresa de saúde.
As organizações de saúde geralmente acreditam que bloquear todo acesso ao armazenamento e a ferramentas de colaboração em nuvem não autorizadas significa erguer uma barreira antivazamento de informações sensíveis. Mas, quando o bloqueio impede um médico de fazer seu trabalho da melhor maneira possível, temos um conflito crítico de segurança.
Uma pesquisa realizada pelo Datafolha no início de 2021 mostra que o setor de saúde é o que menos investe em tecnologia. Somente 23% das companhias do segmento possuem departamento de cibersegurança, embora 58% delas admitam que já foram alvo de fraude e ataques digitais com alta e média frequência.
Leia também: Open health: novas tecnologias, velhas ideias e muito risco
O levantamento aponta, ainda, que 44% dessas empresas não estão preparadas para lidar com um ataque cibernético e, mesmo assim, em 49% a segurança digital não tem prioridade no orçamento. Há um desafio aí.
Seguindo o conceito de Saúde 5.0, em que o paciente é o protagonista e está no centro do sistema, já vemos algumas instituições se esforçando para aprimorar a integração dos profissionais, a qualidade do atendimento e os resultados para os pacientes. Esses são alguns dos principais benefícios que as ferramentas digitais trouxeram à medicina nos últimos anos.
Mas toda a ideia de bloquear o compartilhamento de dados como uma política-padrão limita a capacidade de operar como uma unidade ágil e coordenada. Para que haja colaboração, os dados sensíveis dos pacientes precisam ser compartilhados entre departamentos e, muitas vezes, fora da instituição.
Quando os médicos deparam com essas políticas de dados excessivamente rígidas, podem buscar alternativas em soluções não homologadas na Shadow IT, onde os dados podem se deslocar da instituição de qualquer forma. Essa abordagem precisa mudar e a única maneira de fazer isso é permitir que os provedores desempenhem seu trabalho de forma adequada e com segurança.
Essas ações geralmente são apenas comunicações de rotina entre as instituições e precisam ser automaticamente autorizadas a funcionar por meio de várias plataformas na nuvem. Isso é algo positivo. Caso contrário, os dois lados perdem tempo solicitando e aguardando a aprovação de uma exceção pela equipe de segurança de TI.
As organizações modernas de saúde podem começar a facilitar o atendimento cooperativo, primeiro tomando conhecimento sobre os dados e os usuários que buscam acesso à nuvem e às ferramentas de colaboração. A partir disso, é possível aplicar controles graduais em torno do que os usuários podem ou não fazer com base no conteúdo dos arquivos e na ação pretendida.
É possível, por exemplo, aplicar uma política de grupo que libere o acesso dos médicos a relatórios e resultados de pesquisas, mas não os permita fazer uploads de dados sensíveis. Ou autorizar que se baixem arquivos, com exceção dos que contenham informações de cunho pessoal. É possível estabelecer travas de segurança nesse sentido.
Ao estabelecer visibilidade e implementar controles baseados em políticas e leis, a organização pode avançar com colaboração transparente e abandonar um cenário ultrapassado no qual a política de bloqueio universal engessa a capacidade dos profissionais.
Tudo isso precisa ser tratado em paralelo a um esquema de segurança e proteção ante ataques hackers e afins. É necessário garantir um equilíbrio para que as empresas mitiguem seus riscos sem inibir o fluxo de informação e o trabalho em equipe. Daqui a dez anos, os responsáveis por essa área vão olhar para trás e se lembrar do padrão proibitivo adotado, uma estratégia que se assemelha a tampar o sol com a peneira.
Para servir aos pacientes e salvar vidas, essa evolução precisa começar hoje. O mercado e as soluções de cibersegurança já estão prontos para isso.
* Damian Chung é Business Information Security Officer da Netskope
Como a cibersegurança pode ajudar a salvar vidas Publicado primeiro em https://saude.abril.com.br
Nenhum comentário:
Postar um comentário