A tecnologia já está virtualmente em todos os aspectos de nossas vidas, trazendo muitos pontos positivos e alguns negativos. Isso também significa que o mundo se tornará altamente dependente da tecnologia. E conforme essa dependência aumenta, também aumenta nossa vulnerabilidade com falhas dos sistemas e com ataques cibernéticos.
Este ano, especialistas em cibersegurança preveem que a guerra cibernética patrocinada por países irá se ampliar e alguns acreditam que alguns ciberataques resultarão em mortes.
Basta observar rapidamente o papel da tecnologia e software na indústria de saúde e perceber o porquê de essa especulação não ser mais uma ameaça distante. E o setor de saúde não está sozinho: aumenta também as preocupações de quem fabrica esses produtos que utilizam de softwares. Isso porque surgem questionamentos sobre acusações criminais de negligência se não levarem as vulnerabilidades de seus produtos a sério.
Os Estados Unidos possui o maior mercado de saúde do mundo. Inúmeros relatórios sugerem que mais da metade dos dispositivos médicos vendidos dentro do país utilizem softwares. Jay Radcliffe, um paciente com diabetes, está entre os primeiros a mostrar com um hacker pode escanear uma bomba de insulina vulnerável a centenas de metros de distâncias e forçar o dispositivo médico a administrar uma dose letal de insulina. Isso chamou a atenção do Department of Homeland Security (DHS), dos reguladores governamentais, bem como de muitas organizações na comunidade médica.
No ano passado, o National Cibersecurity and Communications Integration Center, centro de comunicação e segurança do DHS, emitiu um documento não classificado – apenas para uso oficial – chamando a atenção para o impacto potencial de ameaças cibernéticas no setor de saúde, calculada na casa de trilhões de dólares. Alertou as organizações a respeito de como “a falha na implementação de um programa robusto de segurança impactará na habilidade da organização em proteger os pacientes e suas informações médicas de perda ou dano, sendo esse intencional ou não”.
Enquanto alguns apenas deram uma olhada nesse aviso, outros perceberam que “proteger os pacientes” significava proteger suas vidas.
O DHS não é o único órgão chamando a atenção para o grande problema de cibersegurança. A Food and Drug Administration, FDA, responsável por regular dispositivos médicos no país, emitiu um alerta em junho para fabricantes, instituições de saúde e provedores, dizendo que havia sido informado de “vulnerabilidades e incidentes de cibersegurança que podiam impactar diretamente dispositivos médicos ou operações de rede dos hospitais”.
“Num mundo no qual as redes de comunicação e os dispositivos médicos podem ditar a vida ou a morte, esses sistemas, se comprometidos, são uma ameaça significativa para o setor público e privado”, declara o documento. Outros setores governamentais e privados também expressaram sua crescente preocupação em relação às vulnerabilidades potenciais de dispositivos médicos em redes de TI.
Com tudo isso combinado, há um claro quadro de risco; risco esse que deve ser avaliado imediatamente levando em conta o que está em jogo.
Quando se examina os softwares usados em dispositivos médicos, até mesmo as pessoas que não têm conhecimento técnico podem perceber riscos maciços que vêm com a distribuição dos patches (pacotes de correções). Especialistas em cibersegurança já avisam há muito tempo sobre quão crítico é aplicar correções de código em softwares regularmente para corrigir as vulnerabilidades conhecidas. Esqueçam o “Patch Tuesdays” para dispositivos e sistemas médicos! Há testes rigorosos exigidos que são aplicados quando mudanças/modificações são feitas em dispositivos e sistemas médicos.
A FDA desenvolveu uma abordagem de validação avançada com base no risco e emitiu orientações. Com base nas suas definições, a validação requer o estabelecimento usando evidências objetivas, de que um processo produz consistentemente um resultado ou que um produto atenda suas especificações pré-determinadas.
E mais importante, se a correção de software é aplicada no sistema operacional subjacente de um dispositivo ou sistema médico, deve ser refeito um teste para obter “evidência objetiva” de que o dispositivo ou sistema está funcionando adequadamente e vai ao encontro das especificações pré-determinadas.