Seria fácil para mim, que venho da área da tecnologia, indicar que soluções como a Inteligência Artificial ou até mesmo o meta-verso devem ser usadas como ferramentas para otimizar e acelerar melhores diagnósticos e terapêuticas, estando a saúde digital ao serviço da comunidade, a qualquer momento, e em qualquer parte do mundo. Tudo isto vai permitir uma personalização e adaptação das necessidades de saúde ao humano, e mudar a forma como o ensino da medicina tem vindo a ser efetuado nos últimos séculos.
Isto tem obviamente de ser feito, mas a realidade atual da saúde em Portugal necessita hoje (para não, dizer ontem) de mudanças mais estruturais, de conhecimento e até mesmo de empoderamento de todos os seus intervenientes, para que essas tecnologias de futuro possam ser implementadas de forma adequada, útil, segura e de acordo com todos os princípios éticos, legais e de privacidade que assim o exigem.
Atualmente, a área da saúde é uma das mais vulneráveis e atacadas em todo o mundo, por muitas e variadas razões; não só pela grande falta de investimento em cibersegurança, mas na realidade, nunca ninguém pensou que um registo de saúde se tornasse tão valioso, em tão pouco tempo. Em média, este vale 5 vezes mais do que qualquer outro tipo de dados à venda no mercado negro, sejam dados de cartões de crédito ou de contas bancárias. Exemplos do que é feito com registos de saúde roubados incluem: obter prescrições e serviços médicos em nome de outrem, obter novos créditos ou mesmo fazer chantagem em troca de bens e dinheiro.
Um dos ataques mais comuns hoje, e que tem tido um crescimento muito rápido, é o chamado Ransomware. Este ataque bloqueia acesso aos dados, cifrando os mesmos, ficando então estes inacessíveis aos seus donos, controladores ou processadores. Em saúde, isto significa ter serviços indisponíveis e parar departamentos ou até mesmo instituições inteiras, obviamente com um grande impacto na integridade física e mental dos seus utentes. O canal mais comum que é usado para executar este ataque é o humano, com ataques de phishing onde mensagens ilegítimas levam o utilizador a clicar em links ou a aceder páginas falsas onde é executado malware (código malicioso), que bloqueia o acesso à informação. Atualmente, não existem soluções eficazes à vista. No entanto, a meu ver, o humano tem de fazer parte da solução.
Todos os utilizadores de tecnologia em infraestruturas críticas, como é a saúde, têm de ter uma preparação ou certificação base em cibersegurança, uma espécie de carta de condução em privacidade e segurança em saúde digital, com formação adaptada ao seu contexto e necessidades, para aumentar a consciencialização, o conhecimento e o empoderamento, na proteção pró-ativa da comunidade que servem e deles próprios.
Isto tem de ser complementado, obviamente com o desenvolvimento de tecnologias e software seguros e confiáveis, com privacidade e segurança desde a sua conceção e por defeito, tal com exigido pela legislação atual, e que sejam adequados a infraestruturas críticas. E claro, tudo isto apoiado por políticas que consigam acompanhar e gerir este modelo para que este seja bem-sucedido.
Ana Ferreira, PhD, CISSP, HCISPP
Investigadora em Segurança da Informação em Saúde no CINTESIS@RISE/FMUP