Os sistemas de informação em saúde deveriam ter uma alta carga de bloqueios de segurança, porém não é o que acontece na prática, estudos recentes mostram isso. Se já não são suficiente, o que podemos esperar do futuro? Como estarão protegidos de ataques hackers ou extravasamento de informações confidenciais?

Não sou especialista em segurança, nem programação, mas sou um eterno curioso por saber como as coisas funcionam. Recentemente assisti em um canal da tv fechada um documentário muito interessante sobre hackers e sistemas de segurança.

Além de entender um pouco mais sobre a base da segurança de bancos, que utilizam criptografia RSA por exemplo, fiquei incomodado ao pensar na fragilidade dos sistemas de informação em saúde, e como tem se preparado para a defesa de ameaças vindas do cyber espaço.

Muitos de nós ainda temos medo das bombas atômicas, guerras etc, mas nunca pensamos no estrago que um hacker pode causar se utilizar suas habilidades para o mal. Os especialistas em segurança inclusive falam que o campo virtual de guerra é muito pior que o físico, e que causa estragos muito maiores.

Se você não acredita muito nisso, vale a pena assistir ao vídeo abaixo, sobre o Stuxnet para entender seu potencial. Logo depois discutirei o impacto que um código como esse pode ter nos sistemas de informação em saúde.

O que foi o Stuxnet?

O Stuxnet foi um vírus criado para atacar uma base de enriquecimento de urânio (material utilizado nas bombas atômicas) no Irã, onde o seu objetivo era basicamente invadir os sistemas para alterar a eficiência das centrífugas dos reatores e sabotar o programa nuclear iraniano.

O vírus está atrás de uma única peça, produzida pela Siemens, e que é utilizada no mundo todo com diversos propósitos, desde semáforos até usinas nucleares. Repare que coloquei a frase no presente, pois o vírus ainda circula pelo mundo.

Essa base estava isolada do mundo, sem conexões com a internet, ou seja, precisava de um vetor para ter o sistema infectado. A aposta foi no fator humano, sempre o elo mais frágil e corruptível em sistemas de segurança, e o vetor um pendrive.

Alguns estudos foram citados no documentário, onde mais de 95% das pessoas que encontram um pendrive, o plugam em um computador empresarial, seja um notebook ou um desktop. Se falarmos em CDs, quase 100% o abria nesses computadores (digo no passado, pois hoje poucos utilizam CDs).

Foi assim então que o Stuxnet entrou em uma base altamente protegida pelo governo iraniano, através da curiosidade do ser humano em saber o que havia dentro do pendrive/cd encontrado, que foi “perdido” propositalmente.

Até hoje não se sabe quem produziu o Stuxnet, há teorias que apontem a autoria para os EUA e/ou Israel. Mas o que se sabe é que o Stuxnet saiu de controle e infecta (ainda hoje) milhares de computadores pelo mundo. Você pode ter o Stuxnet em sua máquina e não saber.

Um pouco mais sobre o Stuxnet, com entrevistas inclusive com o ex-diretor da CIA:

[youtube]http://youtu.be/6WmaZYJwJng[/youtube]

 A fragilidade dos sistemas de informação em saúde

Pense bem, você acredita que os sistemas de informação em saúde estão protegidos de uma ameaça como essa? E olha que não estou nem entrando no mérito do fator humano, que compartilha imagens de pacientes, resultados de exames sem a devida privacidade etc.

Como você assistiu no vídeo acima, qualquer pessoa com um pouco de habilidade pode fazer o download do código fonte do Stuxnet na internet. Na mão de pessoas mal intencionadas esse vírus pode ser reprogramado e atacar com outros propósitos.

Parece filme? Sim, mas pense que se foi capaz de invadir sistemas militares e sabotar um programa nuclear, o que o impede de entrar em sistemas de farmacêuticas e sabotar moléculas, vacinas, medicamentos? Até mesmo vírus mais simples, capazes de roubar informações médicas de pacientes, por exemplo?

Infelizmente muitos dos gestores no mundo não dão a devida importância para a segurança dos sistemas de informação em saúde, mas basta imaginarmos o vazamento de informações privadas de pacientes e o potencial passivo que processos podem criar, para entender o impacto econômico que um cyber ataque pode causar, por exemplo.

Sei que muitos experts circulam pelo Empreender Saúde, então lhes pergunto: Como blindar a saúde desse tipo de ameaça? Qual a sua visão sobre a importância dada a esse tipo de questão?