Como as empresas do setor de saúde podem proteger os dados de pacientes?

Teleconsultas e compartilhamento de exames e informações dos clientes foram intensificados durante a pandemia da Covid-19.

No ano passado, a educadora Nelci de Carvalho começou a sentir fortes dores de cabeça. Ela sabia que precisava ir ao médico, mas passar por uma consulta presencial era algo impensável por ser do grupo de risco e por conta da quarentena imposta pela pandemia do novo coronavírus.

A solução foi buscar ajuda por meio da tecnologia. Nelci, que mora em São Paulo, ligou para o seu convênio médico e foi orientada a agendar uma teleconsulta. Foi atendida por uma médica de Curitiba, a mais de 410 quilômetros de distância de sua casa, que acessou pelo sistema todos os seus dados: desde exames médicos anteriores até números do CPF e RG, endereço e número do celular.

O diagnóstico foi rápido e certeiro: sinusite. A médica prescreveu um antibiótico, que enviou via aplicativo de mensagem. Dias depois, já bem mais disposta, a educadora soube que hackers russos foram acusados de tentar roubar dados sobre uma possível vacina contra o novo coronavírus de pesquisadores do Reino Unido, Estados Unidos e Canadá. “Aí eu pensei: se informações tão importantes quantos essas não estão seguras, imaginem as minhas”, brinca Nelci.

Mas o assunto está longe de ser uma brincadeira. Se a medicina teve de dar um salto digital por conta da Covid-19, com a regulamentação da teleconsulta e da prescrição de medicamentos e pedidos de exame de forma virtual, o risco de vazamento de dados também aumentou.

Além de cuidar do bem-estar das pessoas, pequenas e grandes empresas da área de saúde têm também outra preocupação: como garantir a segurança dos dados do paciente? como tranquilizá-los de que não estão vulneráveis à ação de cibercriminosos?

Além disso, clínicas, consultórios e hospitais também precisam se prevenir do risco de ataques cibernéticos por questões de reputação e por multas pesadas à que estarão sujeitas. A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, prevê multa de até 2% do faturamento de uma empresa (limitada a R$ 50 milhões).

Investir em segurança sempre foi uma das premissas da Mastercard, uma das gigantes da indústria de pagamentos e que agora ampliou o seu leque de serviços para beneficiar pequenas e grandes negócios, além, é claro, do consumidor.

A empresa começou há dois anos a criar uma gama de soluções de segurança, adquirindo empresas especializadas em diferentes tecnologias para dar tranquilidade ao usuário e evitar prejuízos por conta de fraudes e de vazamento de dados.

“Em média, cem novos esquemas de fraude são criados por dia”, diz Ana Paula Lapa, vice-presidente de Produtos da Mastercard. “O monitoramento precisa ser constante, porque os ataques mudam”, explica.

“Em média, cem novos esquemas de fraude são criados por dia. O monitoramento precisa ser constante, porque os ataques mudam”

Ana Paula Lapa, vice-presidente de Produtos da Mastercard

A RiskRecon, comprada em janeiro do ano passado, desenvolveu um sistema de monitoramento contínuo da vulnerabilidade dos dados. A análise, automática, abrange todo o ecossistema da empresa –o que inclui fornecedores e prestadores de serviço, e oferece planos de ação ajustados de acordo com as prioridades de risco.

Outra frente importante na prevenção de fraudes é o cadastro e identificação dos usuários. As empresas precisam saber que quem tenta acessar os dados é realmente o paciente.

Um sistema multicamadas de identificação, como o fornecido pela NuData (outra empresa Mastercard), evita acessos indevidos. Uma das camadas é a biometria comportamental (com a checagem de características como a forma de digitar, o que inclui número de dedos usados, velocidade e até a pressão exercida sobre a tela). Também faz análise comportamental (por exemplo, horário e local costumeiros para determinadas ações online) e checa informações sobre conexões e aparelhos utilizados. Clique aqui e leia como funciona essa tecnologia.

Essa ferramenta também facilita o acesso ao usuário a exames ou marcação de consultas, já que ele não precisará confirmar dados ou senhas.

O TAMANHO DO PROBLEMA

No mercado online do crime (a chamada “deep web”), um conjunto completo de informações médicas de um norte-americano pode valer US$ 1.000.

Os dados sobre a saúde de um paciente contêm diversas informações, como número de RG e de CPF, nome completo, data de nascimento, nome dos pais, endereço. São dados que acompanham a pessoa por longo tempo e não podem ser trocados. Quando um criminoso se apodera dessas informações, pode usá-las para fraudes por períodos prolongados.

Se o histórico médico indicar situações delicadas (como uma doença sexualmente transmissível ou uma condição terminal do paciente), o paciente pode, inclusive, ser chantageado.

Desde 2016, a cada ano aumenta o roubo ou desvio de dados médicos nos Estados Unidos, segundo a Protenus, empresa especializada em segurança de dados de funcionários de empresas do setor de saúde.

O Identity Theft Resource Center, organização sem fins lucrativos de auxílio a vítimas de roubo de identidade, identificou fraudes para obtenção de auxílio-desemprego nos EUA com o uso de dados roubados durante a pandemia. A Covid-19 também provocou a multiplicação de esquemas ilegais. Foram mais de 92.000 casos relatados nos EUA, com prejuízo de aproximadamente US$ 120 milhões.

Durante a pandemia, também foi registrado aumento do furto de informações médicas para uso em fraude contra seguradoras.