SCAI CYBER DEFESA SAÚDE

Componente de Consultoria para infraestrutura crítica do setor de Saúde

Daniel Schnaider, Diretor de Serviços de Consultoria e Projetos, SCAI Group


Primeira versão: 01/11/2011;     Atualizado em 03/2013


SCAI Cyber Defesa é uma serviço que atende todo o espectro, desde a aplicação de melhores práticas, planejamento, softwares, hardware até implantação de componentes e específicos para prevenção, mitigação e eliminação de riscos de vulnerabilidades e ameaças aos sistemas críticos de uma Instituição.


SCAI Cyber Defesa inicia-se com um serviço de consultoria, sob nome SCAI Excellence TI, que visa elaborar metodologias, procedimentos, normas, protocolos e material de treinamento para que todos, os arquitetos e analistas de sistemas, programadores das várias camadas de desenvolvimento e usuários, assim possam exercer suas funções e se comunicar dentro do grupo de trabalho usando um padrão único e seguro, específico para os desafios do Sistema Nacional de Saúde.


A criação de uma especificação técnica padronizada dentro da organização de saúde pública nacional poderá aumentar significativamente a eficiência de seus processos, diminuir falhas no sistema e oferecer mais consistência para o Sistema Nacional de Saúde, sem que isto se reflita em aumento de custos para as entidades responsáveis.


SCAI Cyber Defesa Saúde é base fundamental para futuramente implementar e executar projetos de segurança da informação, pois ele lhe dará uma visão completa sobre o que existe e o que esta faltando. Estabelece também a prioridade de execução de cada fase de segurança, criando um protocolo nacional a ser respeitado.


SCAI Cyber Defesa Saúde é um conjunto integrado de soluções físicas e lógicas com foco específico para o segmento de Saúde, um projeto de segurança completa dos sistemas cibernéticos do setor de saúde, que dará segurança, seja a fonte do ataque: fraude interna, internet, falha de software ou hardware crítico na operação, e até mesmo erros humanos.


SCAI Cyber Defesa Saúde na sua implementação é baseada no conceito de sistemas C4i (Comando, Controle, Comunicação, Computadores e Inteligência) que funcionam 24 horas por dia 7 dias por semana, suprir a instituição dentro outros temas:


  • Prevenção e Atraso

  • Detecção

  • Mitigação e Resposta

  • Recuperação


Desta forma as organizações públicas e privadas de saúde poderão apresentar uma melhor qualidade de serviço para seus clientes e usuários evitando os riscos efetivos de caos nos sistemas e infraestruturas críticas da área de saúde, riscos esses do mais amplo grau de gravidade, pois envolvem riscos de vidas humanas.



Se atualize em nosso site para mais informações.


Cenários e Desafios a Serem Superados


Estamos inseridos em uma realidade onde os recursos de Tecnologias da Informação e comunicação– TIC’s tem avançado de forma exponencial.


Este fator é importante para atender uma crescente demanda da sociedade por resultados mais rápidos, eficientes e eficazes em relação à demanda de serviços sejam eles públicos ou privados.


Contudo este avanço obtido com esta nova realidade traz consigo também novos riscos, uma vez que os recursos utilizados para melhoria da qualidade de vida serão utilizados também por fraudadores e pessoas mal intencionadas.


Como exemplo, podemos citar a facilidade em que os clientes de instituições financeiras têm de realizar operações por meio da internet. O risco é que este mesmo meio poderá ser utilizado para capturar informações destas operações e serem utilizadas para fraudar instituições e pessoas.


São considerados como ataques cibernéticos, ações direcionadas contra pessoas, organizações e instituições públicas. Dentre casos ocorridos nos últimos anos pode-se citar as invasões aos sistemas do Fundo Monetário Internacional – FMI, ao Senado dos EUA, à Lockheed Martin Group, à Sony Playstation e ao Google. No Brasil no primeiro semestre de 2011 ocorreu invasão de sistemas governamentais como os sítios eletrônicos de diversos ministérios e do Instituto Brasileiro de Geografia e Estatística.


Estes fatos levantaram a questão da importância de implantação de uma infraestrutura de Tecnologia da Informação que seja robusta suficiente para evitar tais ameaças.


Estes ataques têm como potenciais conseqüências o colapso ou retardamento do funcionamento de infraestruturas críticas como o fornecimento de energia elétrica, sistema de saúde, sistemas de transporte e trânsito, segurança pública dentre outros.


Várias são as infraestruturas públicas que estão sujeitas as mais diversas formas de ataques cibernéticos e dentre elas podemos citar os sistemas de informação de hospitais e centros de saúde, sejam eles públicos ou privados.


Serviços de saúde envolvem uma grande quantidade de informações e se apóiam em sistemas de gestão de informação que são essenciais por permitirem um ganho de produtividade no atendimento e na qualidade do tratamento dos pacientes. Contudo, estes sistemas também abrem a possibilidade a grandes riscos.  


Existem diversas razões pelas quais este tipo de serviço básico pode ser severamente prejudicado por ataques cibernéticos. O fato do serviço de saúde envolver uma grande quantidade de informações como insumo de suas operações e pela natureza do serviço por si só, também, já reflete um grande motivo de preocupação e expõe parte das conseqüências de uma invasão mal intencionada aos sistemas de informação.


Sistemas de informação de Hospitais, Centros Clínicos, Exames e Prognósticos constituem potenciais alvos de ataques cibernéticos principalmente por serem serviços que lidam com uma quantidade considerável de informações pessoais, sejam elas de pacientes, de colaboradores, fornecedores ou mesmo de funcionários.


As conseqüências de um ataque cibernético aos sistemas de informação de um hospital podem ser desde danos morais a uma catástrofe, considerando ainda as conseqüências indiretas ligadas ao pânico e caos gerado pela indisponibilidade desse serviço essencial.


Os danos morais, basicamente, decorrem do vazamento de informações pessoais de pacientes, que podem ser utilizadas para fins de chantagem em uma primeira instância e num segundo estágio podem ser comercializadas entre organizações criminosas.


Os custos desse tipo de vazamento de informação podem ser divididos em custos diretos, ligados aos processos judiciais dos próprios clientes contra o hospital, e indiretos relacionadas à perda de credibilidade da instituição de saúde invadida pode se reverter em menores receitas no futuro devido à entrada de quantidades menores de pacientes.


Outra conseqüência da invasão de sistemas de informação de hospitais e centros de saúde é a possibilidade de:


  • Retardar procedimentos cirúrgicos;

  • Emissão de falsas prescrições médicas;

  • Troca da medicação a ser aplicada;

  • Descontinuação do tratamento e medicação;

  • Alteração de dosagens da medicação;

  • Destruição de dados relativos à pacientes;

  • Mudança de procedimento e local do corpo a ser submetido à cirurgia.


Outra possibilidade seria infecção dos softwares de Unidades de Tratamento Intensivo e de UTI’s, alterando os dados mostrados nos monitores e desligando alarmes de situações de estados críticos de pacientes.


É necessário que haja uma proteção efetiva contra tentativas de intrusão e que os sistemas de gestão de informação sejam robustos para manter a integridade e sigilo das informações e com isso preservar o bom funcionamento das instituições provedoras de serviços de saúde bem como a integridade física da população


Este resumo teve como objetivo expor situações potenciais geradas por intrusões em sistemas de informação de serviços de saúde como hospitais, centros clínicos e de exames. Os fatos e situações expostos deixam claro que as conseqüências podem ser graves e os custos resultantes demasiadamente altos.


É necessário que haja uma proteção efetiva contra tentativas de intrusão e que os sistemas de gestão de informação sejam robustos para manter a integridade e sigilo das informações e com isso preservar o bom funcionamento das instituições provedoras de serviços de saúde bem como a integridade física da população. Para isto, a SCAI conta com uma solução completa que poderá suprir as necessidades de segurança cibernética do setor de saúde.



Quer conhecer mais sobre SCAI Cyber Defesa Saúde para o Sistema de Saúde Nacional.


Fale conosco