Revista Cobertura| Inovações e Desafios na Saúde Digital
24/07/2024Monitor Mercantil| A falsa coincidência na aceleração dos cancelamentos unilaterais de planos de saúde
29/07/2024
Por Emerson Moises Dantas de Medeiros e Rafael Dias da Cunha*
26/07/2024 … Convergência Digital
Assim como o desastre ecológico do Furacão Katrina de 2005 obrigou hospitais e planos de saúde em todo o mundo entender tragicamente o que pode ocorrer quando água inunda uma instalação de saúde, vemos algo de magnitude ainda maior decorrer com o apagão cibernético global que impactou gravemente a área da saúde, afetando hospitais e estabelecimentos de saúde em São Paulo, atrasando atendimentos e procedimentos médicos.
Como em Nova Orleans, o que exatamente se passou dentro de hospitais e clínicas somente será conhecido quando afetados buscarem potenciais ressarcimentos. Para a cadeia de valor da saúde privada e pública, esse incidente ressalta a importância de uma gestão eficiente de crises e de um armazenamento seguro de informações. Hospitais dependem de uma rede interligada de fornecedores de infraestrutura, software e serviços. Uma falha em qualquer parte dessa cadeia pode comprometer o funcionamento de múltiplas instituições, gerando um efeito dominó.
A segurança cibernética perfeita não existe. Erros humanos e falhas em softwares são inevitáveis, mesmo com medidas de segurança em vigor. A postura de culpar empresas vítimas de ataques cibernéticos é preocupante, pois nenhuma medida é infalível. De toda forma, ficou claro que disposições contratuais são essenciais para definir responsabilidades e reparações em todos os níveis. Revisar contratos com fornecedores críticos, especialmente em relação à proteção de dados e segurança da informação, é vital para minimizar danos futuros e garantir a continuidade dos serviços de saúde mesmo em situações adversas.
Para prevenir e mitigar os impactos de apagões cibernéticos, uma abordagem eficaz é a revisão ou a adoção de um Plano de Continuidade de Negócios (PCN), que garante a operação contínua dos serviços críticos em caso de falhas, o qual deve incluir estratégias para recuperação rápida de dados e processos essenciais. No Memorial Hospital de Nova Orleans estava-se preparado para lidar com o furacão, mas não com a inundação que desligou todos os sistemas operacionais, o que obrigou a se improvisar evacuação de pacientes e a decidir quem seria deixado para trás.
No campo específico de TI é possível a realização regular de Pen Tests, método que avalia a segurança de um sistema de computador ou de uma rede, simulando ataque de uma fonte maliciosa, sendo um recurso importante para identificar vulnerabilidades nos sistemas antes que sejam exploradas por atacantes. Esses testes simulam ataques reais, permitindo que as organizações corrijam falhas de segurança proativamente.
Outra prática recomendada é a implementação de soluções de backup e recuperação de dados. Ter backups atualizados e testados regularmente garante que os dados possam ser restaurados rapidamente em caso de um ataque cibernético ou falha de sistema. A utilização de armazenamento em nuvem com criptografia forte pode oferecer uma camada adicional de segurança.
Colaboração com provedores de serviços gerenciados especializados em cibersegurança também pode ser benéfica. Esses provedores possuem expertise e recursos dedicados para monitorar e proteger os sistemas contra ameaças emergentes, permitindo que os hospitais e demais estabelecimentos de saúde foquem em suas operações principais, voltadas a promoção de cuidado do próximo.
Por fim, manter uma comunicação transparente com pacientes e stakeholders durante e após incidentes de segurança é crucial. Informar sobre as medidas que estão sendo tomadas para resolver a situação e proteger os dados ajuda a manter a confiança e a tranquilidade de todos os envolvidos.
Emerson Moises Dantas de Medeiros e Rafael Dias da Cunha, advogados em Toro Advogados & Associados