Saúde e Cibersegurança

Com a crescente globalização e digitalização dos negócios e da informação, as fronteiras do ciberespaço têm-se tornado cada vez mais ténues, e a sua proteção proporcionalmente mais desafiante.

A visão de que para se proteger o ecossistema tecnológico de uma organização, o foco deve ser na proteção do seu perímetro, torna-se obsoleta quando a definição de perímetro deixa de ser clara. A adoção de serviços cloud, o teletrabalho, BYOD, e o crescente número de dependências e relações externas torna estas fronteiras cada vez mais ténues, e consequentemente, mais expostas a ameaças e vetores de ataque.

Este tema toma principal relevância quando nos focamos em serviços que têm como missão garantir o bem-estar da sociedade, onde se enquadra o setor da saúde. Ao longo dos últimos anos tem-se verificado em Portugal um crescimento no número de ataques direcionados a centros hospitalares e laboratórios clínicos. Estes ataques têm tido impactos que vão desde o compromisso da confidencialidade de dados pessoais sensíveis, até à incapacitação da realização de consultas e exames médicos, o que representa um risco critico para a salvaguarda dos direitos à saúde e privacidade dos pacientes.

Existe uma crença generalizada que os grupos criminosos direcionam maioritariamente os seus ataques a instituições com maior capacidade e exposição financeira (uma vez que são as que poderão gerar maior lucro em caso de o ataque ter sucesso), existindo alguma esperança de que estes grupos tenham critérios de “ética” e não se dediquem a instituições de missão, como o da saúde. Os números que temos assistido não só contrariam esta crença, como são fáceis de justificar: por um lado o baixo investimento em cibersegurança facilita a que um ataque tenha sucesso com menores investimentos e risco por parte do atacante, por outro lado, ataques do tipo ransomware (que cifram os dados e sistemas, apenas os tornando acessíveis após o pagamento de resgate) têm uma taxa de sucesso muito grande no setor, uma vez que o atraso na resolução do incidente poderá pôr em causa a vida humana.

Esta falta de investimento leva a que as organizações não estejam capacitadas para prevenir, identificar, responder e recuperar de incidentes, tornando-as mais suscetíveis a serem vítimas de ataques. No setor da saúde, este desinvestimento é facilmente observável: utilização de sistemas e tecnologias sem suporte do fabricante, utilização de contas partilhadas ou com privilégios desnecessários, falta de sensibilização por parte dos profissionais de saúde, entre outros. Estas fragilidades podem ser facilmente exploradas, e originar situações que podem abalar a confiança no setor e na própria soberania nacional.

A União Europeia tem trabalhado no sentido de estabelecer medidas destinadas a garantir um elevado nível comum de segurança em toda a União, com especial atenção nas organizações que prestam serviços essenciais, nomeadamente o setor da saúde. Com a publicação do DL n. º65/2021, foram definidos os requisitos de segurança a serem cumpridos por estas organizações, com o objetivo de aumentar as suas capacidades estratégicas, de gestão de risco e de colaboração relativamente à cibersegurança.