Uso da IoT na área de saúde cresce, mas tem suas armadilhas

O futuro parece promissor para o uso de IoT na área de Saúde. Só o mercado global de monitoramento portátil e remoto de pacientes deve atingir US$ 43 bilhões em 2027. A pandemia de Covid-19 acelerou esse cenário. De acordo com a IDC, até o final deste ano, sete das dez principais empresas de wearables de pulso terão lançado algoritmos capazes de detecção precoce de sinais potenciais de doenças infecciosas.

Embora o setor de saúde tenha demorado mais para adotar as tecnologias da Internet das Coisas do que outros setores, a Internet das Coisas Médicas (IoMT) está hoje no centro do ecossistema digital de saúde. Este ecossistema inclui pacientes e equipes médicas, dispositivos médicos (por exemplo, diagnóstico e imagem), robôs cirúrgicos, vestíveis, equipamentos inteligentes e inúmeros sensores sem fio, todos os quais compartilham dados confidenciais do paciente.

Quando dispositivos portáteis médicos comuns são conectados à Internet, eles podem coletar dados essenciais que podem salvar vidas. Eles também servem para fornecer uma visão extra dos sintomas e tendências de qualquer distúrbio fisiológico ou mesmo psicológico específico.

Da mesma forma, os dispositivos vestíveis, conectados à Internet, estão remodelando a forma como os pacientes recebem assistência médica. Eles ajudam a coletar e transferir informações essenciais para os médicos, como frequência cardíaca, nível de oxigênio, pressão arterial, peso, ECGs e níveis de açúcar no sangue.

Do ponto de vista a indústria, todos esses dados podem auxiliar hospitais, farmacêuticas e empresas de ciências biológicas a tomarem melhores decisões e obterem vantagem competitiva.

Em 2023, 65% dos pacientes terão acesso aos cuidados por meio de uma conexão digital. Em 2024, a proliferação de dados resultará em 60% da infraestrutura de TI das organizações de saúde sendo construída em uma plataforma de dados que usará IA para melhorar a automação de processos e a tomada de decisões. Quando associada à IA (Inteligência Artificial) e ML (Aprendizado de Máquina), a IoT pode ajudar a encontrar possíveis curas e tratamentos para doenças.

Mas o uso da IoT na área de saúde tem lá as suas armadilhas – em geral, os dispositivos IoT não podem ser gerenciados, corrigidos, atualizados ou protegidos de maneira centralizada. São simples e funcionais e isso os torna vulneráveis ​​à exploração por cibercriminosos, uma vez que a maioria deles não foi projetada com a segurança em mente.  A possibilidade de que um zero day exploit em um dispositivo médico possa ser usado para ferir ou até matar alguém sem ser detectado é real.

Por isso, a invasão e a perda de dados e o potencial de assumir o controle de um dispositivo devem ser as principais preocupações das equipes de TI da área de saúde.  Cada tipo de dispositivo médico conectado tem seu próprio conjunto de complexidades que precisam ser protegidas no momento do design do produto. Cada dispositivo possui uma interface de programação de aplicativo (API), uma interface de usuário, uma URL e, muitas vezes, interfaces para HDMI, Bluetooth ou WiFi, todas passíveis de serem exploradas se não forem devidamente protegidas pelo fabricante do dispositivo e pelos usuários.

Preocupada com isso, a agência americana Food and Drug Administration (FDA) divulgou orientações em 2019 para auxiliar a indústria, identificando questões relacionadas à segurança cibernética que os fabricantes de dispositivos IoMT deveriam considerar no projeto e desenvolvimento de seus produtos. A Content of Premarket Submissions for Management of Cybersecurity in Medical Devices – Guidance for Industry and Food and Drug Administration Staff está alinhada com a Estrutura de Segurança Cibernética do NIST e recomenda que os fabricantes de dispositivos médicos considerem a detecção, a identificação, o registro e, se possível, a rápida correção de comprometimentos de segurança. Em linha com essas funções essenciais, o FDA sugere medidas de segurança que os fabricantes de dispositivos devem considerar para a proteção de dispositivos médicos, que incluem:

• Garantir a transferência segura de dados de e para o dispositivo, usando criptografia quando apropriado;
• Fornecer informações aos usuários finais sobre as ações apropriadas a serem tomadas após a detecção de um evento de segurança cibernética;
• Potencializar a análise de perigo, mitigação e considerações de design relativas aos riscos de segurança cibernética associados ao dispositivo;
• Ter um plano de atualizações e patches de software validados conforme necessário ao longo do ciclo de vida do dispositivo para continuar a garantir sua segurança e eficiência.

Como os riscos de segurança cibernética para dispositivos médicos estão em constante evolução, a própria FDA não é possível mitigar completamente os riscos. O que torna o gerenciamento eficaz de riscos de segurança cibernética, a proteção e o monitoramento de dispositivos IoT, sistemas operacionais legados e registros de saúde para organizações de saúde uma preocupação extrema. E isso deve ser uma responsabilidade compartilhada entre as partes interessadas, incluindo os fabricantes de dispositivos médicos e os hospitais.

Todos devem investir tempo e recursos para:

• O monitoramento constante de fontes de informação de segurança cibernética para identificação e detecção de vulnerabilidades e riscos de segurança cibernética;
• A implementação de processos robustos de ciclo de vida de software que incluam mecanismos para monitorar componentes de software de terceiros em busca de novas vulnerabilidades em todo o ciclo de vida total do produto;
• A verificação de projeto e validação de atualizações e patches de software usados ​​para mediar vulnerabilidades, incluindo aquelas relacionadas a software de prateleira;
• A compreensão, avaliação e detecção da presença e do impacto de uma vulnerabilidade;
• O estabelecimento e a comunicação de processos para captação e tratamento de vulnerabilidades;
• O uso de modelagem de ameaças para definir claramente como manter a segurança e o desempenho essencial de um dispositivo, desenvolvendo atenuações que protegem, respondem e se recuperam do risco de segurança cibernética;
• A adoção de uma política e prática coordenada de divulgação de vulnerabilidade;
• A implementação de atenuações que abordem o risco de segurança cibernética no início e antes de sua exploração.

Soluções de monitoramento de rede com recursos para integrar dispositivos médicos oferecem aos provedores de saúde a capacidade de monitorar conexões de dados vitais, servidores, e as aplicações que envolvam esses dispositivos. Até porque todos os dispositivos médicos requerem uma infraestrutura de TI clássica para comunicação. Essa infraestrutura cuida da transferência de dados e fornece o hardware para a rede do sistema. São necessários cabos, switches, servidores e sistemas de armazenamento, bem como WIFI e seus pontos de acesso. Mas a infraestrutura de TI hospitalar imputa aos profissionais de TI um desafio adicional: cuidar também dos sistemas de saúde especializados, já que muitas vezes todos os elementos e sistemas de um hospital, por exemplo, coexistem na mesma infraestrutura.

Por exemplo, o Musgrove Park Hospital, no Reino Unido, usa o PRTG Network Monitor, da Paessler, para supervisionar sua rede, seguindo recomendações de cibersegurança do NHS Digital. O PRTG monitora a rede interna e externa e é configurado em 10.950 sensores  Digital Imaging and Communications in Medicine (DICOM) e Health Level Seven International (HL7).

Esses sensores capacitam os profissionais de TI e administradores da área da saúde a monitorar uma variedade de sistemas e funções críticos, incluindo:

• Sistemas de Informações Hospitalares (HIS, SIH): O PRTG possibilita visualizar o que está acontecendo em todo o SIH integrado, não somente a relação com o intercâmbio de dados, mas também os recursos computacionais e dispositivos envolvidos. Notavelmente, o PRTG pode ser implementado localmente ou na nuvem e tem sensores especialmente criados para muitas das mais amplamente usadas soluções de TI da indústria, incluindo as de Amazon Web Services, Cisco, Fujitsu, Microsoft, NetApp, VMware e outros. Com o PRTG, nunca foi tão fácil os departamentos de TI dos hospitais monitorarem integralmente seus sistemas médicos, financeiros e administrativos.
• Sistemas de Gerenciamento de Informações Laboratoriais (LIMS): O PRTG também facilita supervisionar todos os sistemas e dispositivos integrados a processos laboratoriais, bem como os dados transportados entre eles, incluindo-se informações referentes a gerenciamento de amostras, testes, análise, descarte e conformidade. O monitoramento também assegura que os médicos e as equipes clínicas tenham acesso rápido aos achados de que necessitam.
• Sistemas de Informações de Radiologia (RIS): Todos os sistemas, hardware e software de departamentos de radiologia e imagens, e fluxos de trabalho associados, podem ser monitorados por meio do painel de controle intuitivo do PRTG – capacitando a TI a determinar facilmente a causa de qualquer atraso na entrega de imagens entre dispositivos, departamentos ou médicos.
• Sistema de Arquivamento e Comunicação de Imagens (PACS): O PRTG também monitora todo o PACS, possibilitando assegurar que todos os sistemas necessários para a segurança na movimentação, no armazenamento e no arquivamento de imagens funcionam conforme o esperado. Isso inclui as workstations usadas para visualizar e interpretar scans.

Portanto, a IoT na área de saúde apresenta componentes exclusivos de segurança e confidencialidade que devem ser levados a sério e planejados com antecedência. A chave para o sucesso é a visibilidade. Com tantos pontos de falha em potencial, as equipes envolvidas com Internet das Coisas Médicas (IoMT) precisam estar sempre atentas a qualquer falha em potencial e, muitas vezes, serem capazes de resolver problemas antes que ocorram.