Os problemas de segurança
em hospitais não são inéditos no Brasil. A situação volta ao epicentro devido a
diversos incidentes de vazamento de informações sigilosas ocorridos nas últimas
semanas. Cidadãos de diversos Estados são vítimas constantes de golpes em
hospitais pelo menos desde 2015. Neste período, a fraude mais comum relacionada
ao setor foi apelidada como “Golpe do Falso Exame”.
Diversas instituições
colocam avisos na recepção, em corredores e nos quartos dos hospitais sobre a
prática ilícita e, quando o incidente é reportado, o comportamento costuma ser
algo como: “Não é nossa responsabilidade. Avisamos os clientes”.
Porém, o ato criminoso é
bem estruturado e utiliza-se de informações válidas do prontuário gerado nos
hospitais. Em alguns casos são dados confidenciais gerados em menos de 24 horas
após a internação. Desta forma, por algum canal de comunicação ou de sistemas
de informação da rede médica, existem pessoas se aproveitando da deficiência de
controles de segurança de informação.
Pesquisas internacionais
de segurança afirmam que desde o ano passado hospitais e centros de pesquisa
médica são os alvos preferidos para fraudes e ações de hackers com objetivos
financeiros. Nestes ambientes, toda a informação das vítimas está concentrada
e, atualmente, tende a ser mais fácil e com menor risco obter vantagens
financeiras ao direcionar os esforços para estes alvos.
Portanto, não cabe mais a
prosaica alegação de “não é nossa responsabilidade” na atual sociedade.
Qualquer instituição que receba dados de clientes deve zelar por elas e
implementar controles de segurança da informação e de ética profissional.
Uma pesquisa recente
divulgada pela Universidade Federal de São Paulo (UNIFESP) afirma que cerca de
80% dos profissionais de medicina, tais como professores, estudantes e médicos,
divulgam informações de exames de pacientes para outras pessoas da área. O cenário
dificulta a implementação de qualquer programa de segurança de informação.
Pensando nessa
problemática, descrevo seis passos mais críticos que devem ser considerados em
qualquer instituição hospitalar:
1. Empresas devem estabelecer e cobrar
a adequação a um código de conduta,
já existente no caso dos profissionais de medicina. Ações indevidas
passaram a ser corriqueiras e, por isso, é preciso adotar controles de
monitoração que permitam ações de correção corporativa e individualizada.
2. Possuir políticas claras
e imperativas sobre o uso e responsabilidade pelo manuseio das informações de
pacientes e da organização. Isso necessita clareza aos
profissionais para que a correta sanção administrativa ou punição legal possa
ser aplicada.
3. Identificar e controlar
quem deve ter acesso às informações de cada paciente. Os
profissionais do CTI, por exemplo, não acessaram dados da emergência e
vice-versa. Porém, em casos de emergências locais, pode ser necessário eliminar
este controle. Já o setor de exames laboratoriais não necessita de acesso aos
dados do paciente. É preciso, portanto, identificar, classificar e relacionar
os perfis que podem acessar dados dos pacientes e seus respectivos exames.
4. Controlar o uso de
equipamentos e recursos de computação. Uma das formas mais fáceis
e comuns de vazamento de informações é através de dispositivos móveis e
smartphones. Para hospitais informatizados, não há necessidade do uso destes
equipamentos, pois os exames estão disponíveis pelos sistemas hospitalares. A dica
para evitar vazamentos é controlar a internet, o e-mail particular e ter
segurança tecnológica (leia-se Firewalls) assim como restringir o uso de
smartphones e pen drives pessoais em áreas restritas
5. Controlar quem acessa as
instalações que permitam a visualização dos registros médicos.
Implemente controles de senha individualizada nas portas, porém é necessária
prudência sobre a forma de implementação para não impactar na velocidade de
processamento de acesso físico, o que pode causar impactos negativos ao
dia-a-dia hospitalar.
6 .Impeça que telas de
computadores, laudos digitais e exames impressos fiquem acessíveis a qualquer
pessoa. Implemente restrições de movimentação de telas dos
desktops nos ambientes de escritórios ou na recepção, de forma que sejam
adequados ao cenário e que permitiam a visualização apenas aos profissionais
necessários para este trabalho.
Todas
as organizações e segmentos estão sujeitos a ações maliciosas internas e
externas, que visam o principal valor para fraudes e ganho de vantagem: a
informação. O segmento de saúde não é diferente. É preciso aflorar essa
preocupação como medida de precaução. Caso contrário os incidentes tendem a
continuar, seja por meio de uma fraude que impacte as famílias de forma
individualizadas ou via crises de Estado com divulgação de segredos de pesquisa
ou condição de saúde da população.
*André Dutra é IT Consulting da Protiviti,
consultoria global especializada em Gestão de Riscos, Auditoria Interna,
Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.