Os problemas de segurança em hospitais não são inéditos no Brasil. A situação volta ao epicentro devido a diversos incidentes de vazamento de informações sigilosas ocorridos nas últimas semanas. Cidadãos de diversos Estados são vítimas constantes de golpes em hospitais pelo menos desde 2015. Neste período, a fraude mais comum relacionada ao setor foi apelidada como “Golpe do Falso Exame”.

Diversas instituições colocam avisos na recepção, em corredores e nos quartos dos hospitais sobre a prática ilícita e, quando o incidente é reportado, o comportamento costuma ser algo como: “Não é nossa responsabilidade. Avisamos os clientes”.

Porém, o ato criminoso é bem estruturado e utiliza-se de informações válidas do prontuário gerado nos hospitais. Em alguns casos são dados confidenciais gerados em menos de 24 horas após a internação. Desta forma, por algum canal de comunicação ou de sistemas de informação da rede médica, existem pessoas se aproveitando da deficiência de controles de segurança de informação.

Pesquisas internacionais de segurança afirmam que desde o ano passado hospitais e centros de pesquisa médica são os alvos preferidos para fraudes e ações de hackers com objetivos financeiros. Nestes ambientes, toda a informação das vítimas está concentrada e, atualmente, tende a ser mais fácil e com menor risco obter vantagens financeiras ao direcionar os esforços para estes alvos.

Portanto, não cabe mais a prosaica alegação de “não é nossa responsabilidade” na atual sociedade. Qualquer instituição que receba dados de clientes deve zelar por elas e implementar controles de segurança da informação e de ética profissional.

Uma pesquisa recente divulgada pela Universidade Federal de São Paulo (UNIFESP) afirma que cerca de 80% dos profissionais de medicina, tais como professores, estudantes e médicos, divulgam informações de exames de pacientes para outras pessoas da área. O cenário dificulta a implementação de qualquer programa de segurança de informação.

Pensando nessa problemática, descrevo seis passos mais críticos que devem ser considerados em qualquer instituição hospitalar:

  1. Empresas devem estabelecer e cobrar a adequação a um código de conduta, já existente no caso dos profissionais de medicina. Ações indevidas passaram a ser corriqueiras e, por isso, é preciso adotar controles de monitoração que permitam ações de correção corporativa e individualizada.
  2. Possuir políticas claras e imperativas sobre o uso e responsabilidade pelo manuseio das informações de pacientes e da organização. Isso necessita clareza aos profissionais para que a correta sanção administrativa ou punição legal possa ser aplicada.
  3. Identificar e controlar quem deve ter acesso às informações de cada paciente. Os profissionais do CTI, por exemplo, não acessaram dados da emergência e vice-versa. Porém, em casos de emergências locais, pode ser necessário eliminar este controle. Já o setor de exames laboratoriais não necessita de acesso aos dados do paciente. É preciso, portanto, identificar, classificar e relacionar os perfis que podem acessar dados dos pacientes e seus respectivos exames.
  4. Controlar o uso de equipamentos e recursos de computação. Uma das formas mais fáceis e comuns de vazamento de informações é através de dispositivos móveis e smartphones. Para hospitais informatizados, não há necessidade do uso destes equipamentos, pois os exames estão disponíveis pelos sistemas hospitalares. A dica para evitar vazamentos é controlar a internet, o e-mail particular e ter segurança tecnológica (leia-se Firewalls) assim como restringir o uso de smartphones e pen drives pessoais em áreas restritas
  5. Controlar quem acessa as instalações que permitam a visualização dos registros médicos. Implemente controles de senha individualizada nas portas, porém é necessária prudência sobre a forma de implementação para não impactar na velocidade de processamento de acesso físico, o que pode causar impactos negativos ao dia-a-dia hospitalar.

6 .Impeça que telas de computadores, laudos digitais e exames impressos fiquem acessíveis a qualquer pessoa. Implemente restrições de movimentação de telas dos desktops nos ambientes de escritórios ou na recepção, de forma que sejam adequados ao cenário e que permitiam a visualização apenas aos profissionais necessários para este trabalho.

Todas as organizações e segmentos estão sujeitos a ações maliciosas internas e externas, que visam o principal valor para fraudes e ganho de vantagem: a informação. O segmento de saúde não é diferente. É preciso aflorar essa preocupação como medida de precaução. Caso contrário os incidentes tendem a continuar, seja por meio de uma fraude que impacte as famílias de forma individualizadas ou via crises de Estado com divulgação de segredos de pesquisa ou condição de saúde da população.