Portal O Debate
Grupo WhatsApp

Informação médica: uma presa fácil para fraudadores

Informação médica: uma presa fácil para fraudadores

04/04/2018 Vladimir Prestes

Cada vez mais a medicina tem encontrado novas maneiras de trabalhar com a informação médica.

Filas eletrônicas e marcação de consultas por meio da Internet e bancos de dados ao invés de cartões médicos desgastados; telemedicina no lugar das tediosas idas ao médico; além da utilização da tecnologia mHealth para o trabalho operacional em campo.

O problema é que as instituições médicas não têm se preocupado muito em proteger os dados pessoais de seus pacientes. De acordo com a base de vazamentos Breach Level Index, em 2017, o número de desvios de informações na área de saúde foi o mais alto em comparação com outros setores.

Na área aconteceram 228 vazamentos, o que representa 25% do total. Em diferentes países, os vazamentos de dados médicos variam em escala, mas o resultado é sempre o mesmo - a perda de dados pessoais.

Não é difícil encontrar exemplos de vazamentos como estes na rede: na Austrália, foram colocados à venda os dados de planos de saúde de todos os residentes do país; na Noruega, ocorreu o vazamento dos dados médicos de 2,9 milhões de pacientes registrados, o que representa quase metade de toda a população; a Malásia perdeu três bancos de dados que pertenciam ao conselho médico da Malásia (MMC), à Associação médica da Malásia (MMA) e à Associação de dermatologia da Malásia (MDA).

Porém, os vazamentos que atingiram a mídia são apenas a ponta do iceberg. Há países, onde não existem leis que obriguem a publicação de informações sobre dados comprometidos.

Os pacientes raramente queixam-se e procuram a polícia, e os médicos não sabem exatamente a gravidade de suas ações, repassando acidentalmente ou intencionalmente informações sobre pacientes a terceiros, o que torna a situação ainda mais crítica, uma vez que a informação médica não possui prescrições.

Com a transição dos dados para a forma digital, as instituições tornaram-se vulneráveis a ataques cibernéticos e a ações de agentes internos. Geralmente, a informação sobre pacientes é "desviada" com o intuito de obtenção de lucros ou como uma troca de serviços.

E os interessados na compra de dados pessoais são muitos, como funcionários do ramo de serviços funerários, vendedores de medicamentos não licenciados e suplementos dietéticos, mídia, corretores de imóveis – fraudadores, entre outros.

Certos da ausência de sistemas de segurança (nos hospitais, mesmo um administrador de sistemas em tempo integral é uma raridade), os funcionários de instituições médicas praticamente não escondem suas tentativas de "vazamento" de dados pessoais.

Fazendo uso, principalmente, de e-mails pessoais, às vezes enviam arquivos através de redes sociais, ou descarregam informações em pen-drives. Os truques mais comuns dos "agentes do negócio", como o vazamento de dados em nuvem ou acesso por meio da conta de outra pessoa, são usados raramente pelos profissionais de saúde, provavelmente devido ao baixo nível de treinamento em TI.

A ação dos "agentes da medicina" pode ser representada através de exemplos de vários casos:

- Um médico repassou dados sobre a morte de pacientes e seus endereços de residência ao representante de uma agência de serviços funerários. A ativação do sistema DLP mostrou que o funcionário comunicava-se por Skype através do computador de trabalho. As conversas deixaram claro que o "vazamento" de informações estava sendo estabelecido há bastante tempo: os fraudadores não discutiam os "termos da cooperação", foram enviadas apenas informações específicas. O médico foi multado e severamente repreendido com aviso de demissão.

- O dentista de uma clínica pública enviou cartões com os dados pessoais de pacientes para seu e-mail pessoal. Mais tarde, o serviço de segurança descobriu que o profissional trabalhava por fora em uma clínica particular, para onde ele "conduzia" os clientes sob o pretexto de melhores condições de diagnóstico e tratamento. O funcionário foi repreendido com um aviso de demissão, e sua atividade foi submetida a um controle especial.

Em geral, a garantia do fluxo constante de clientes em uma instituição médica particular é uma das motivações mais comuns em casos de vazamentos. Por um lado, a entrada em vigor do GDPR exige a proteção dos dados pessoais, enquanto os dados médicos são considerados uma categoria especial de dados pessoais ou informações pessoais sigilosas.

Por outro lado, a questão sobre os recursos técnicos e humanos, assim como a existência de pessoal especializado em instituições médicas permanece aberta. Justamente por isso, a mera presença de regulamentos ou documento correspondente local da organização pode não ser muito útil na atual situação – os documentos existem, os funcionários já se familiarizaram com eles, mas na prática tudo permanece do mesmo jeito.

A este respeito, surgem várias questões: Como são armazenados os dados pessoais dos pacientes, como o sistema de segurança é implementado e seriam as instituições médicas capazes de suportar essas tecnologias? A experiência de países onde a questão da proteção de dados pessoais tem sido resolvida informalmente há muito tempo, na prática, pode em parte fornecer respostas a essas questões.

Nos EUA, por exemplo, um sistema de proteção contra vazamentos de informações está sendo desenvolvido: vazamentos ou mesmo o armazenamento inadequado de dados de pacientes implica em multas colossais ou até acusação penal. Neste caso, as instituições médicas são obrigadas a proteger as informações nos termos da lei HIPPA (lei de portabilidade e responsabilidade de seguro de saúde), desde 1996.

E é mais barato seguir essas exigências do que ignorar a lei: de acordo com o relatório do estudo global do Instituto Larry Ponemona (Ponemon Institute´s 2017 Cost of Data Breach Study: Global Overview), o prejuízo causado pelo vazamento de dados da conta de um cliente na área da saúde é de US$ 380, enquanto o valor médio desse indicador para todos os setores da economia é de US$ 141.

As pessoas estão muito melhor equipadas tecnicamente, entendem melhor a tecnologia e entendem as consequências de suas ações. Nas instituições médicas americanas, vários níveis de proteção contra ameaças externas e internas estão sendo implantados. Inicialmente, os documentos são classificados cuidadosamente, a partir do critério de confidencialidade das informações.

Em muitos aspectos, isto é devido às peculiaridades do funcionamento dos sistemas DLP, que são rápidas no bloqueio de vazamentos e com uma operação fortemente automatizada. O serviço de saúde Fraser Health Authority da British Columbia (Canadá) implantou um sistema de autenticação baseado em certificados.

Todos os 26 mil funcionários e 2.500 médicos receberam cartões inteligentes, o que resultou em um maior nível de segurança para a instituição, bem como em custos de operação reduzidos, aumento da disciplina dos funcionários e melhor atendimento ao paciente.

O hospital holandês Albert Schweitzer Ziekenhuis (ASZ) usa um sistema de token único e um servidor de autenticação em nuvem, fornecendo não apenas a proteção dos dados pessoais de pacientes, mas também o acesso à informação médica necessária aos médicos e ao pessoal de enfermagem, dentro e fora dos limites do prédio do hospital.

Na Suécia funciona a iniciativa SITHS, em que cartões inteligentes e assinaturas digitais são usados para identificação de funcionários do sistema de saúde e serviços sociais. Os funcionários das organizações de saúde usam seus cartões SITHS para acessar o portal National Patient Overview, que armazena informações sobre pacientes online.

Toda a documentação durante a realização dos cuidados primários de saúde é armazenada sob a forma de cartões médicos eletrônicos (Electronic Healthcare Records, EHR), e 95% de todas as receitas prescritas na Suécia são emitidas eletronicamente (ePrescriptions). Na maioria dos países, a equipe médica possui apenas um conhecimento básico da segurança da informação, não tendo ideia de sua responsabilidade na preservação dos dados dos pacientes existentes na instituição.

Deste modo, acontecem situações como as já relatadas neste artigo: bancos de dados sobre pacientes estão sendo enviados para "todos os destinatários" da lista de endereços ou informações de pessoas falecidas estão sendo repassadas a representantes de "serviços funerários".

É necessário resolver este problema de forma integrada:

1. Implementar soluções de segurança da informação médica. As leis correspondentes criam condições, nas quais instituições médicas são responsáveis pela proteção dos dados pessoais. Mas de que maneira os líderes dessas organizações resolvem a questão? O mais confiável é a instalação de soluções de proteção de informações, como os sistemas DLP modernos.

2. Limitar o acesso à informação médica dentro da instituição. O acesso às informações pessoais sigilosas deve estar disponível apenas para determinadas pessoas, embora a proibição de download e envio de dados para fora da organização deve ser estabelecida mesmo para estes.

3. Introduzir regras de operação para o uso de informações. A observância estrita das regras de armazenamento e operação de dados pessoais dos pacientes e qualquer outra documentação médica estendem-se a toda equipe médica.

4. Realizar atividades de capacitação SI para o pessoal médico regularmente. Isso pode ser feito dentro da própria instituição ou recorrendo aos serviços de empresas especializadas na formação de agentes de segurança da informação médica (CTI, Security Awareness Training).

5. Nomear pessoas responsáveis, que trabalharão com os sistemas de segurança e realizaram treinamentos de pessoal na área da segurança da informação. É possível formar um departamento SI ou delegar essa tarefa aos seus profissionais TI.

* Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos.

Fonte: EPR Comunicação Corporativa



A importância do financiamento à exportação de bens e serviços

Observamos uma menor participação das exportações de bens manufaturados na balança comercial brasileira, atualmente em torno de 30%.

Autor: Patrícia Gomes


Empreendedor social: investindo no futuro com propósito

Nos últimos anos, temos testemunhado um movimento crescente de empreendedores que não apenas buscam o sucesso financeiro, mas também têm um compromisso profundo com a mudança social.

Autor: Gerardo Wisosky


Novas formas de trabalho no contexto da retomada de produtividade

Por mais de três anos, desde o surgimento da pandemia em escala mundial, os líderes empresariais têm trabalhado para entender qual o melhor regime de trabalho.

Autor: Leonardo Meneses


Desafios da gestão em um mundo em transformação

À medida que um novo ano se inicia, somos confrontados com uma miríade de oportunidades e desafios, delineando um cenário dinâmico para os meses à frente.

Autor: Maurício Vinhão


Desumanização geral

As condições gerais de vida apertam. A humanidade vem, há longo tempo, agindo de forma individualista.

Autor: Benedicto Ismael Camargo Dutra


O xadrez das eleições: janela partidária permite troca de partidos até 5 de abril

Os vereadores e vereadoras de todo país que desejam trocar de partido têm até dia 5 de abril para realizar a nova filiação.

Autor: Wilson Pedroso


Vale a renúncia?

Diversos setores da economia ficaram surpresos com um anúncio vindo de uma das maiores mineradoras do mundo, a Vale.

Autor: Carlos Gomes


STF versus Congresso Nacional

Descriminalização do uso de drogas.

Autor: Bady Curi Neto


O que está acontecendo nos bastidores da Stellantis? Muitas brigas entre herdeiros

A Stellantis é rica, gigante, e a Stellantis South America, domina o mercado automobilístico na linha abaixo da Linha do Equador.

Autor: Marcos Villela Hochreiter

O que está acontecendo nos bastidores da Stellantis? Muitas brigas entre herdeiros

A verdade sobre a tributação no Brasil

O Brasil cobra de todos os contribuintes (pessoas físicas e jurídicas) sediados no território nacional, cerca de 33,71% do valor de todos os bens e serviços produzidos no país.

Autor: Samuel Hanan


Bom senso intuitivo

Os governantes, em geral, são desmazelados com o dinheiro e as contas. Falta responsabilidade na gestão financeira pública.

Autor: Benedicto Ismael Camargo Dutra


População da Baixada quer continuidade da Operação Verão

No palanque armado na Praça das Bandeiras (Praia do Gonzaga), a população de Santos manifestou-se, no último sábado, pela continuidade da Operação Verão da Polícia Militar do Estado de São Paulo.

Autor: Tenente Dirceu Cardoso Gonçalves