Topo

Alvo de hackers, dados sobre sua saúde valem mais que seu cartão de crédito

Dados de saúde têm mercado na deep web e são cada vez mais visados - Getty Images
Dados de saúde têm mercado na deep web e são cada vez mais visados Imagem: Getty Images

Daniel Dieb

Colaboração para Tilt

04/11/2019 03h00

Sem tempo, irmão

  • Dados médicos são cada vez mais visados e valem mais do que cartão
  • Cartões podem ser cancelados, mas dados de saúde não costumam mudar
  • Casos de hackeamentos já ocorreram em várias instituições brasileiras
  • Vazamentos internos também são outra preocupação com dados de pacientes

Manter o sigilo sobre o estado de saúde de pacientes é obrigação de qualquer hospital ou clínica. Mas, de forma alarmante, estes dados estão tornando-se públicos, e não apenas por meio do roubo de documentos ou da conversa à boca pequena. As informações acabam expostas na internet —como aconteceu em abril, com dados de 2,4 milhões de usuários do SUS (Sistema Único de Saúde), ou como aconteceu quando o sistema do Hospital de Amor, antigo Hospital do Câncer de Barretos, foi hackeado, em 2017.

A área de saúde "não era objeto de desejo dos hackers", diz Luis Gustavo Kiatake, presidente da Sociedade Brasileira de Informática em Saúde (SBIS). Segundo ele, a mudança de alvo se deu, em parte, pela dificuldade de acessar sistemas de outros setores, como de bancos, e pelo valor das informações roubadas.

Mais valiosos que cartão

Segundo Kiatake, dados médicos "têm mais valor que os de um cartão de crédito". Isso por que um cartão de crédito expira ou é cancelado, enquanto dados médicos são eternos.

A revenda é feita em mercados paralelos na deep web. O valor é estimado a partir da quantidade de registros oferecidos ou da qualidade da informação. Por exemplo, dados sobre a saúde de um presidente podem valer mais do que dados de 10 mil pessoas.

Segurança falha

No entanto, o cuidado com a privacidade do paciente não se reflete em políticas para segurança de dados. Segundo a pesquisa TIC Saúde, feita pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (cetic.br), 23% dos estabelecimentos de saúde têm um documento com diretrizes do tipo. Separando-os entre público e privado, a taxa é de 19% e 27%.

"O número é puxado para baixo pelos pequenos", diz Fábio Senne, coordenador de pesquisas do cetic.br, braço do Comitê Gestor da Internet no Brasil (cgi.br). Em estabelecimentos sem internação, 19% têm uma política de segurança de dados. A porcentagem sobe para 52% entre os com internação e mais de 50 leitos. A pesquisa foi feita com 2.387 gestores da área, de hospitais a unidades básicas de saúde (UBS), passando por laboratórios e clínicas de tratamento, e não inclui consultórios.

Outro estudo, feito pelo Ponemom Institute com apoio da IBM sobre diferentes setores da economia, mostra que 51% dos vazamentos ocorrem devido a ataques, 25% por falha no sistema e 24% por erro humano. Segundo Kiatake, um ataque busca um conjunto massivo de registro para revendê-lo ou para sequestrar as informações e retorná-las mediante pagamento.

O caso do Hospital do Câncer de Barretos foi de sequestro. Hackers invadiram o sistema e bloquearam os computadores das unidades de Barretos (SP), Jales (SP) e Porto Velho (RO). Para liberá-los, eles pediram US$ 300 em bitcoins como pagamento pela liberação de cada computador. À época, eram mil computadores somente em Barretos. O resgate não foi pago, e a equipe de tecnologia da informação do hospital conseguiu normalizar os sistemas.

Vazamentos internos preocupam

Quando o vazamento se dá de dentro para fora, trata-se de informação pontual e qualificada —foi o que ocorreu com o Hospital Sírio-Libanês com os exames da ex-primeira-dama Marisa Letícia. "Não adianta ter um muro de cinco metros se o problema está dentro dele", diz Carlos Rodrigues, vice-presidente na América Latina da Varonis, empresa de segurança e governança de dados.

Informações de pacientes podem circular entre médicos, que não raramente trocam mensagens em apps, às vezes com imagens de exames, para tirar dúvidas com colegas de profissão.

Além disso, ressalta Rodrigues, a proteção dos bancos de dados cresceu, mas "esqueceram que parte das informações é usada fora dele, como em nuvens e emails".

Em 2017, o Conselho Federal de Medicina emitiu uma norma que permite o uso do WhatsApp para discutir casos apenas com profissionais médicos registrados, sem identificar ou exibir o paciente. A médica que vazou exames da Marisa Letícia mandou detalhes do diagnóstico para um grupo no WhatsApp de ex-colegas da faculdade. O hospital a demitiu ao tomar conhecimento da quebra de sigilo do paciente.

Além dos profissionais da saúde, as informações passam por outros departamentos, como o administrativo e o financeiro. Zilma Reis, coordenadora do Centro de Informática em Saúde (CINS) da UFMG (Universidade Federal de Minas Gerais), fala que todos "precisam estar bem orientados para lidar com informações sensíveis".

No contexto do Hospital Universitário da UFMG, onde Reis atua, os funcionários devem assinar um termo que diz que eles estão sujeitos a procedimentos disciplinares caso o sigilo seja quebrado. Mas os termos não impedem o vazamento de informações. Para Senne, a "segurança não é só parte técnica, mas também cultura organizacional."

Quem pode acessar dados?

Dados podem ser compartilhados entre hospital e parceiros, como fornecedores, e empresas de sistema de agendamento, estoque e escala hospitalar. Rander Rodrigues, gerente de produto da CM Tecnologia, empresa de segurança digital para a saúde, diz que há muita permissão de acesso a informações sensíveis. "É preciso ter controle de quem acessa o que, a recepção não pode ter acesso a dados clínicos", exemplifica.

Algumas medidas para evitar vazamento de dados são:

  • monitorar os documentos - como eles são usados dentro e fora da rede e quem tem acesso a eles;
  • verificar comportamento anormal de usuário, se faz caminhos na rede que não costuma fazer;
  • criar diferentes níveis de permissão de acesso a documentos;
  • checar se sistemas de parceiros e fornecedores são seguros e treinar os profissionais sobre a segurança de dados na internet.

Para Carlos Rodrigues, a Lei Geral de Proteção de Dados, que entrará em vigor agosto do próximo ano, "veio para mudar o cenário, todos estavam meio que confortáveis".

A despeito das estratégias de segurança de dados, nenhum sistema é infalível, pois hackers se atualizam à medida que sistemas de segurança também se atualizam. Além disso, nem todo vazamento é digital. "Papéis também são subtraídos de documentos", diz Reis.

SIGA TILT NAS REDES SOCIAIS