FacebookTwitterLinkedIn

Qual o risco da tecnologia quando trata seus dados de saúde?

https://network-king.net/wp-content/uploads/2021/06/telemedicine-6166814_1920-769x450.jpg

A pandemia de Covid-19 certamente acelerou a prática da telemedicina em todo o mundo. Nos países em que associações médicas lutavam para barrar o atendimento remoto de pacientes, com base nos perigos do diagnóstico clínico incompleto, a necessidade do distanciamento social e o medo dos pacientes frequentarem clínicas e hospitais foram a gota d’água para derrubar essa barragem.

Com isso, rapidamente se consolidaram algumas ferramentas tecnológicas básicas, como a receita eletrônica de medicamentos e exames, validada por certificados digitais e ampla conexão com os sistemas farmacêuticos e laboratoriais, e a coleta remota de dados fisiológicos, por meio de diversos tipos de aparelhos, incluindo os wearables de fitness.

Esses últimos, aliás, em franco crescimento. Pesquisa da Pew Research Center realizada em 2020 indicava que perto de 21% dos americanos usavam um smart watch ou dispositivo específico de fitness. É um mercado global com CAGR de 15,4% estimado pela Fortune Business Insights para chegar a USD 114 bilhões em 2028.

Nesses últimos meses, médicos especialistas que antes conversavam com seus pacientes por telefone e ferramentas de mensagem eletrônica, puderam beneficiar-se da coleta de dados vitais e dos sistemas de vídeo-chamada e passar a cobrar a consulta como se fosse presencial, diferenciando seu atendimento ao vivo daqueles realizados por áudio, texto, ou com o envio unilateral de imagens e vídeos.

Usos inusitados da tecnologia exemplificam que não há limites para a aplicação prática de sensores, câmeras e modalidades diferentes de processamento para realizar diagnósticos. Pesquisadores da Duke University nos EUA, por exemplo, desenvolveram um sistema de IA para ser acoplado ao encanamento de privadas para identificar problemas gastrointestinais. Ao apertar a descarga, o sistema fotografa o conteúdo e envia as imagens para um sistema remoto de análise, que consegue identificar problemas agudos ou crônicos do sistema digestório.

Sob a ótica tecnológica, há inúmeras vantagens no monitoramento remoto das condições físicas de pacientes com doenças crônicas, que incluem o uso de Inteligência Artificial para fazer previsões sobre a evolução de estados críticos, a proliferação de infecções e a disseminação de doenças. Além disso, dados coletados de pacientes saudáveis também ajudam a estudar o comportamento de vírus e bactérias, analisar o potencial de vacinas, criar novos remédios, programar dietas e treinos físicos. Até os gêmeos digitais, desenvolvidos inicialmente durante o programa da Apollo 13 e amplamente disseminados na indústria manufatureira, já são uma realidade nos ambientes de saúde.

Privacidade é um problema

A questão que se apresenta agora, contudo, é que na hora de consultar um médico, os pacientes em geral não pensam duas vezes antes de compartilhar seus dados vitais, imagens, vídeos e o que for necessário para que se feche o diagnóstico e avalie-se um tratamento adequado. Porém, ao ter que compartilhar essas mesmas informações privadas com uma instituição, as dúvidas começam a aparecer.

Os dispositivos de coleta, seus sistemas de transmissão e os endpoints de recepção e armazenamento precisam ter camadas de segurança que impeçam o vazamento de dados, invasões e, pior, o controle remoto desses dispositivos.

Os casos de hackeamento de oleodutos, sistemas de distribuição de água e de energia que temos testemunhado nos últimos meses podem dar uma ideia do potencial de destruição que algo do tipo causaria em uma rede de pacientes monitorados, que dependam de dispositivos eletrônicos para medir a frequência cardíaca, temperatura, oxigenação e até determinar dosagens de remédios.

Segundo a Forbes, o prontuário eletrônico de um paciente pode valer algumas centenas ou até milhares de dólares no mercado negro. Essa coletânea de informações pessoais pode conter todo o histórico médico de uma pessoa, desde suas visitas a especialistas, resultados de exames até todos os dados demográficos, profissionais e bancários que, ao caírem em mãos erradas, podem dar prejuízos imensuráveis ao paciente e até à sua família. O roubo de um número de cartão de crédito pode ser mitigado com o cancelamento do cartão, o furto de um número de identidade pode ser consertado pela emissão de um novo documento, mas a posse dos dados vitais de uma pessoa pode causar danos bem mais permanentes.

Em 2018 a Under Armour divulgou que havia sofrido uma invasão, que expôs os dados de 150 milhões de usuários do app MyFitnessPal. No mesmo ano um outro hack expôs informações coletadas pelo app de fitness Strava, que revelavam a localização de militares americanos em bases secretas. Um relatório da Bitglass indica que as quebras de sigilo de dados de saúde nos Estados Unidos subiram 55% em 2020, e o custo por registro roubado subiu 16,3%. Ainda segundo o dossiê, a recuperação de uma empresa após tais falhas de segurança pode demorar em média 236 dias. A falta de cuidados é generalizada e a lista de vazamentos que conhecemos é pequena se comparada à daqueles tantos outros que permanecem incógnitos.

Como aumentar a segurança?

A segurança de tecnologias operacionais pode ser comprometida por diversos fatores, incluindo o tempo em uso dos aparelhos, a existência de software proprietário embarcado sem atualização, a evolução dos protocolos de rede e até a possibilidade de re-engenharia. Em particular, alguns dispositivos médicos amplamente disseminados têm vulnerabilidades intrínsecas à sua construção, como bombas de infusão e insulina controladas remotamente, e dispositivos cardíacos implantáveis, como marcapassos.

Por isso, a gestão de segurança precisa estar atenta e implementar um framework dentre alguns já amplamente publicados e validados, como o NIST Cyber Security Framework, ISO 27000, EU Cybersecurity Act, ou os Controles recomendados pelo Center for Internet Security.

O framework CIS Controls em sua versão 8 envolve 18 itens que nos dão uma boa ideia do que é preciso cobrir em uma estratégia saudável:

  1. Inventário e controle dos ativos de hardware
  2. Inventário e controle dos ativos de software
  3. Proteção de dados
  4. Configuração segura dos ativos de hardware e software
  5. Gestão de contas
  6. Gestão do controle de acesso
  7. Gestão contínua de vulnerabilidades
  8. Gestão de auditoria de logs
  9. Proteções de e-mail e navegadores
  10. Defesas contra malwares
  11. Rotinas de recuperação de dados
  12. Gestão da infraestrutura de redes
  13. Monitoramento e defesa das redes
  14. Treinamento de habilidades de segurança para as pessoas envolvidas
  15. Gestão dos provedores de acesso
  16. Gestão de segurança e atualizações de software
  17. Gestão de respostas a incidentes
  18. Testes de penetração

Segundo a HIPAA e outras regulamentações como a GDPR, ambientes hospitalares, clínicas médicas, laboratórios, a indústria farmacêutica e também todas as empresas que prestam serviços e vendem produtos eletrônicos nesse mercado precisam ter esses frameworks implementados para garantir o mínimo de segurança não apenas para seus dispositivos, mas principalmente para proteger os dados pessoais de pacientes.

A evolução tecnológica e sua miniaturização permitem hoje até que se instalem chips de monitoramento dentro do corpo de pacientes, alguns até podendo retirar energia do próprio corpo, sem a necessidade de baterias. Em breve, isso pode tornar-se algo comum, dando lugar em seguida aos micro-robôs realizando trabalhos autônomos para ajudar o corpo a livrar-se de doenças. E os riscos de exposição vão ficando cada vez maiores.

Muitos pesquisadores atestam que qualquer equipamento de saúde pode ser hackeado. A realidade mostra que a lista de prestadores de saúde atingidos por hackers continua aumentando. Mas apesar da ficção científica estar repleta de histórias de manipulação de dispositivos médicos para causar danos pessoais, ainda não tivemos essa experiência na vida real. O que não quer dizer que isso não seja mesmo possível. Por isso, é importante ter um sistema de monitoramento contínuo e detecção de vulnerabilidades, com atividades de resposta pré-programadas, para que sejam executadas com rapidez, protegendo os dados e a vida dos pacientes envolvidos.

Os amplos benefícios trazidos pelo uso da tecnologia na saúde, principalmente aquelas de uso remoto, podem ultrapassar os riscos à privacidade e o medo de exposição a doenças nos ambientes clínicos e hospitalares. Mesmo que às vezes a gravidade da situação não permita uma escolha detalhada de provedor, equipamento ou até de um médico, precisamos estar seguros de que a indústria estará protegendo nossos dados além das nossas vidas.

FacebookTwitterLinkedIn