Acompanhe a Kryptus no Google Notícias
Vazamento de dados
Kryptus defende conformidade à Política Nacional de Informação e Informática em Saúde (PNIIS) para garantir uma evolução tecnológica responsável e segura
A área da saúde tem passado por transformações impulsionadas pelo avanço tecnológico, abrangendo desde a digitalização de processos clínicos até a ampla geração de dados médicos. No entanto, esses avanços também trazem consigo desafios significativos, visto que o setor se tornou alvo frequente de ataques cibernéticos. De acordo com o relatório Cost of a Data Breach Report 2023, desde 2020, os custos das violações de dados no setor de saúde aumentaram 53,3%. Pelo 13º ano consecutivo, o setor registrou as violações de dados mais caras, com um custo médio de 10,93 milhões de dólares, à frente dos setores Financeiro, Farmacêutico, Energia e Industrial.
Relatório, Cost of Data Breach 2023, IBM
Contexto no Brasil
No Brasil, uma instituição de saúde tem sido atacada em média 1.738 vezes por semana nos últimos seis meses. Um dos casos mais recentes foi o ataque cibernético direcionado ao Hospital Universitário da USP (Universidade de São Paulo) em 23 de março, o qual paralisou serviços cruciais e prejudicou o atendimento à população paulistana.
Em resposta a esse cenário, a Política Nacional de Informação e Informática em Saúde (PNIIS), lançada em 2021, desempenha um papel fundamental ao estabelecer diretrizes e regulamentações que visam proteger os dados médicos dos pacientes, enquanto promovem a utilização responsável da tecnologia para aprimorar a qualidade dos cuidados de saúde.
Principais padrões da PNIIS
Um dos pilares essenciais da PNIIS é a ênfase na cibersegurança e na preservação da privacidade dos dados de saúde. Com a proliferação de sistemas de prontuários eletrônicos e a interconexão dos serviços de saúde, a salvaguarda dos dados tornou-se uma prioridade inegável.
A política estabelece padrões rigorosos de segurança do paciente, garantindo assim a confidencialidade e integridade das informações médicas e fomentando a confiança na infraestrutura digital de saúde.
Segurança da Informação: A PNIIS exige a implementação de medidas de segurança da informação para proteger os dados médicos dos pacientes. Isso pode incluir criptografia, controle de acesso, autenticação robusta e outras práticas que evitem o acesso não autorizado.
Privacidade dos Dados: A política estabelece diretrizes para a coleta, uso e compartilhamento de dados médicos, garantindo que as informações dos pacientes sejam tratadas com confidencialidade e respeito à privacidade.
Padrões de Interoperabilidade: Com a interconexão dos sistemas de saúde, a PNIIS prevê a definição de padrões para a troca segura de informações entre diferentes entidades de saúde, assegurando a integridade dos dados durante a transmissão.
Proteção contra Ataques Cibernéticos: A PNIIS exige medidas de proteção contra ameaças cibernéticas, como ataques de ransomware e malware. Isso pode incluir a implementação de firewalls, detecção de intrusões e planos de resposta a incidentes.
Monitoramento e Auditoria: A política requer a implementação de sistemas de monitoramento e auditoria para rastrear atividades suspeitas e identificar violações de segurança.
Treinamento e Conscientização: A PNIIS enfatiza a importância de treinar os profissionais de saúde e as equipes de TI sobre as práticas de segurança cibernética e conscientizá-los sobre os riscos envolvidos no manuseio de dados médicos.
Atualizações e Patches: A política exige a aplicação regular de atualizações de segurança e correções de software para garantir que os sistemas permaneçam protegidos contra vulnerabilidades conhecidas.
Resposta a Incidentes: A PNIIS estabelece diretrizes para a notificação e resposta a incidentes de segurança, garantindo que ações apropriadas sejam tomadas em caso de violação de dados.
O que dizem os especialistas?
De acordo com Edson Gaseta, especialista em governança de segurança cibernética e proteção e privacidade de dados da Kryptus, e que tem desempenhado um papel ativo no setor de saúde, “a vulnerabilidade de dados médicos sensíveis por meio de APIs expostas em websites e aplicativos para clientes e colaboradores de laboratórios e hospitais exige um nível máximo de segurança das informações.”
Uma característica notável da PNIIS é sua colaboração com órgãos especializados em auditoria e certificação de sistemas tecnológicos. Esses órgãos desempenham um papel crítico ao avaliar a conformidade dos sistemas com as diretrizes da PNIIS. Sua atuação inclui a verificação da implementação adequada das medidas de cibersegurança e o seguimento das melhores práticas para proteção dos dados dos pacientes.
O especialista acrescenta: “Recentemente, fomos procurados por um cliente do setor que iria passar por uma auditoria baseada na norma internacional ABNT NBR 62304, que inspirou a PNIIS e que define padrões de desenvolvimento de software seguro e, nosso trabalho tem se mostrado fundamental. É crucial que as empresas estejam conectadas com as questões regulatórias e, acima de tudo, atuem de forma proativa e preventiva.”
O papel das empresas de SI e dos responsáveis por tecnologia nos hospitais
Para as empresas de segurança da informação, o papel é igualmente crucial. Elas oferecem soluções inovadoras para identificar e mitigar ameaças cibernéticas que possam comprometer a integridade dos sistemas de saúde, além de outras soluções disponíveis para criptografia de dados confidenciais. Ao colaborar com os órgãos reguladores, as empresas de cibersegurança contribuem para a construção de um ecossistema de saúde digital seguro e resiliente.
Um exemplo prático dessa contribuição é a abordagem da Kryptus, que não se limita à avaliação de vulnerabilidades de segurança, mas também oferece monitoramento constante das aplicações e infraestrutura digital das empresas como um serviço recorrente. Isso é especialmente relevante, uma vez que “muitos clientes enfrentam dificuldades em manter uma equipe de especialistas dedicada a essa missão”, como afirma o especialista da empresa.
Da mesma forma, os profissionais responsáveis pela tecnologia no setor da saúde também precisam estar alinhados com essa visão. A adesão às regulamentações da PNIIS depende, em grande parte, da colaboração desses especialistas, que devem se manter atualizados sobre as melhores práticas em cibersegurança e promover a conscientização sobre a importância da proteção de dados.
Acompanhe a Kryptus no Google Notícias Via: Gov.br Nos primeiros nove meses deste ano, Leia mais
Acompanhe a Kryptus no Google Notícias Cloud HSM Em busca de soluções acessíveis e confiáveis Leia mais
