Dois ataques cibernéticos destacaram a vulnerabilidade dos sistemas de saúde digitais da Nova Zelândia e os grandes volumes de dados de pacientes que confiamos neles para proteger.
Após o hack do Manage My Health (que comprometeu os registros de cerca de 127 mil pacientes) e uma violação anterior na Canopy Health, um público preocupado está se perguntando como isso aconteceu e quem é o culpado.
No entanto, a questão mais premente é se isso pode acontecer novamente.
O que sabemos até agora
Manage My Health (MMH), um portal de pacientes usado por muitos consultórios gerais para compartilhar resultados de testes, prescrições e mensagens, publicou seu primeiro aviso público sobre um incidente de segurança cibernética no dia de Ano Novo.
Segundo a empresa, ela tomou conhecimento do acesso não autorizado no dia 30 de dezembro, após ser alertada por um sócio. Afirma que contratou imediatamente especialistas independentes em segurança cibernética e que o envolvimento se limitou ao módulo “Documentos de Saúde/Meus Documentos de Saúde”.
O Gabinete do Comissário de Privacidade confirmou que foi notificado em 1º de janeiro e posteriormente publicou orientações para as pessoas afetadas. O Centro Nacional de Segurança Cibernética também emitiu um aviso de incidente.
Desde então, o MMH obteve liminares urgentes do Tribunal Superior restringindo a utilização ou publicação dos dados obtidos. Na sua decisão, o tribunal descreveu padrões de atividade consistentes com a automação, incluindo comportamento invulgarmente elevado e repetidas tentativas de acesso.
Embora isto esclareça como o hacker operou, não estabelece qual controle técnico específico falhou ou quem é o responsável.
Soubemos agora também que um segundo fornecedor, Canopy Health, sofreu acesso não autorizado a partes dos seus sistemas administrativos há seis meses, com alguns pacientes apenas a serem notificados esta semana.
Por que o enquadramento é importante
Quando os dados de saúde são roubados em grande escala, pode ser tentador chamar-lhe “ciberterrorismo”. No entanto, este termo tem um significado específico e controverso.
A definição amplamente citada da especialista em segurança Dorothy Denning limita o ciberterrorismo a ataques destinados a coagir ou intimidar na prossecução de objectivos políticos e que causam danos graves, e não apenas intrusões com motivação financeira ou roubo de dados em grande escala. Por esse padrão, o incidente MMH claramente não se qualifica.
Por que o rótulo é importante? Porque a forma como as violações são formuladas determina a resposta.
Chamar um incidente de “terror cibernético” pode privilegiar a velocidade em detrimento das evidências e a calma dramática em vez de um diagnóstico cuidadoso. Pode também encorajar o que os críticos descrevem como “teatro de segurança”: medidas visíveis mas equivocadas que parecem decisivas sem necessariamente reduzir o risco.
A pesquisa sobre políticas de ameaças cibernéticas mostra que as narrativas de ameaças influenciam quais problemas recebem financiamento, quais soluções são priorizadas e quais questões são, em última análise, marginalizadas.
Até agora, a resposta do governo centrou-se na encomenda de uma revisão. Ao anunciá-lo, o Ministro da Saúde, Simeon Brown, descreveu o MMH como um portal privado utilizado por algumas clínicas gerais e apelou ao Ministério da Saúde para rever a resposta do MMH e da Health New Zealand.
Essa abordagem faz sentido do ponto de vista gerencial. Mas também cria um problema imediato de transparência.
Se as agências governamentais fizerem parte da resposta do sistema, uma revisão liderada pelo ministério pode parecer “fazer o nosso trabalho de casa”, a menos que os termos de referência e a independência sejam explícitos.
No mínimo, a revisão necessita de um método transparente, de uma fronteira clara entre factos e suposições e de uma explicação pública sobre quais as provas que serão examinadas.
Um ponto de partida óbvio é esclarecer quem é o proprietário dos dados e quem é o responsável. A declaração de privacidade e os termos de uso da MMH descrevem como as informações são disponibilizadas através do portal e as responsabilidades dos usuários.
Mas as fontes públicas não estabelecem completamente os acordos de hospedagem subjacentes, o papel dos subcontratantes ou a forma como a responsabilidade é distribuída entre as diferentes partes. Sem uma “cadeia de custódia de dados” clara, a responsabilização torna-se difusa.
Como são as soluções reais
Oferecer dicas aos usuários (por exemplo, sobre senhas exclusivas, autenticação multifator e phishing) pode ser importante, mas é apenas a base.
A prevenção de uma violação repetida do MMH realmente depende de controles que operam no nível do sistema e podem ser auditados de forma independente.
Primeiro, os operadores de portais devem manter um programa confiável de divulgação de vulnerabilidades que declare publicamente como os problemas de segurança podem ser relatados, respondidos e rastreados.
Em segundo lugar, os testes independentes devem basear-se em padrões explícitos e não em garantias gerais de que um sistema foi verificado externamente.
Terceiro, a governação precisa de força. Os contratos de aquisição devem exigir provas de que existem controlos básicos, juntamente com prazos claros para responder a incidentes e preservar provas.
Um quadro nacional pode ajudar aqui, e as agências de saúde da Nova Zelândia já publicam os seus próprios quadros de segurança.
Por último, a comunicação deve ser tratada como parte da segurança. Notificações claras e consistentes reduzem a confusão e, com isso, a oportunidade para os golpistas se passarem por segurança.
Na sequência deste desastre, o que mais importa agora é ver evidências de melhorias em todo o sistema.
Isso significa poder ver o que foi corrigido e como foi verificado, o que será testado a seguir e quem o fará, e o que irá mudar em todo o setor da saúde, e não apenas num único portal.
Para os indivíduos afetados, a prioridade imediata é seguir as diretrizes oficiais e ter cuidado com tentativas de phishing ou falsificação. O conselho do governo sobre Own Your Online é um ponto de partida sensato.
Este artigo foi republicado de The Conversation. Foi escrito por: Dylan A Mordaunt, Te Herenga Waka – Universidade Victoria de Wellington; Universidade Flinders; A Universidade de Melbourne
Leia mais:
Anteriormente, trabalhei na Orion Health até 2017 e atuei em funções de saúde digital na Austrália e na Nova Zelândia; no entanto, essas eram funções de fornecedor (por exemplo, hospital e governo), em vez de funções de fornecedor/vendedor.
