Na madrugada de 9 para 10 de setembro de 2020, os sistemas informáticos do Hospital Universitário de Düsseldorf sucumbiram a um ataque de ransomware. Uma doente em estado grave viu-se forçada a seguir para Wuppertal, numa viagem de uma hora que se revelaria fatal. Este incidente, longe de ser uma exceção, tornou-se um marco sombrio na interseção entre a saúde e a cibersegurança.

A Agência da União Europeia para a Cibersegurança (ENISA) contabilizou 215 incidentes cibernéticos no setor da saúde entre 2021 e março de 2023. Mais de metade visou prestadores de cuidados e 42% foram especificamente contra hospitais. “Os riscos são múltiplos”, confirma Maria Papaphilippou, da ENISA. “Os hospitais podem perder o acesso a registos, as cirurgias são canceladas. No plano individual, os doentes ficam privados dos cuidados de que necessitam.”

Stephen Gilbert, professor na Universidade de Tecnologia de Dresden, aponta o dedo à fragmentação na resposta a estas ameaças. “O maior desafio é a abordagem em silos, onde a responsabilidade recai sobre fabricantes individuais, com pouca coordenação sistémica”, descreve. A solução de desligar o dispositivo ou a rede, comum perante um ataque, mostra-se incompatível com a telemedicina.

É nesta brecha que se insere o projeto europeu CYMEDSEC, coordenado por Gilbert. A iniciativa pretende substituir as avaliações de risco fragmentadas por uma visão holística dos ecossistemas hospitalares. A estratégia passa por construir ferramentas de monitorização em tempo real e integrar a cibersegurança como uma responsabilidade contínua, partilhada por fabricantes, hospitais e profissionais.

A urgência é alimentada por uma transformação demográfica imparável. Francesco Ricciardi, engenheiro da Fundação Casa Sollievo della Sofferenza, em Itália, lembra que o declínio populacional e o envelhecimento pressionarão ainda mais os sistemas de saúde. “Teremos menos trabalhadores e um aumento de 20 a 30% na população com mais de 65 anos”, sublinha. A telemedicina surge como um pilar para uma eficiência imprescindível.

Contudo, cada dispositivo de telemonitorização introduz uma nova potencial porta de entrada para os cibercriminosos. O modelo de “hospital em casa” transporta os cuidados clínicos para um ambiente doméstico, notoriamente menos seguro. “Os doentes são monitorizados através de dispositivos ligados à Wi-Fi caseira ou a telemóveis pessoais, que são frequentemente partilhados para fins não médicos”, nota Gilbert, realçando a vulnerabilidade inerente.

O relatório da ENISA de 2020 já alertava que algumas das ameaças mais críticas surgem nos processos de aquisição, onde o departamento de IT raramente participa. É precisamente aí, no ciclo de vida completo dos equipamentos, que o CYMEDSEC está a testar a sua abordagem em dois hospitais-piloto: o Hospital do Espírito Santo em Évora e a Casa Sollievo della Sofferenza.

“Em Itália, vamos testar dispositivos para telemonitorização de diabéticos, como glucómetros e tensiómetros”, explica Ricciardi. “Analisaremos o seu ciclo de vida completo, desde a aquisição, com a definição de requisitos de segurança, até à integração com os sistemas existentes, uso clínico e finalmente desativação.”

Gilbert chama a atenção para um perigo frequentemente negligenciado: a cadeia de abastecimento de hardware. “Assumir que os *chips_ e sensores são inerentemente seguros é um erro. Se não soubermos exatamente o que está no nosso hardware, torna-se quase impossível garantir a segurança do sistema.” Daí a exploração de abordagens do tipo eSIM embutidas no hardware, que poderão acrescentar uma nova camada de rastreabilidade.

Para Papaphilippou, a falta de consciencialização é uma vulnerabilidade por si só. “Se não estivermos cientes das ameaças, não investiremos na redução dos riscos.” Ricciardi ecoa a preocupação, comparando a cibersegurança à segurança rodoviária ou laboral. “Todos podemos fazer a nossa parte ao não escolher palavras-passe fracas ou ignorar a autenticação de dois fatores”, aconselha.

No centro desta mudança necessária está a regulação, mas Gilbert defende uma redefinição profunda do seu papel. “O modelo tradicional de construir dispositivos seguros e deixá-los a funcionar sozinhos está ultrapassado. Em vez disso, precisamos de supervisão em tempo real e de uma interação contínua entre sistemas para monitorizar e gerir riscos. Isto exige um compromisso estratégico para parcerias integradas e uma coordenação sistémica”, conclui.

O caminho para uma saúde digital resiliente parece passar, inevitavelmente, por uma vigilância que nunca adormece.

NR/HN/AlphaGalileo

Photo credits_Adi Goldstein, Unsplash_AlphaGalileo