O apagão cibernético global ocorrido na semana passada impactou gravemente a área da saúde, afetando hospitais e estabelecimentos de saúde em São Paulo, atrasando atendimentos e procedimentos médicos.
Esse incidente ressalta a importância de uma gestão eficiente de crises e de um armazenamento seguro de informações. Hospitais dependem de uma rede interligada de fornecedores de infraestrutura, software e serviços. Uma falha em qualquer parte dessa cadeia pode comprometer o funcionamento de múltiplas instituições, gerando um efeito dominó.
A segurança cibernética perfeita não existe. Erros humanos e falhas em softwares são inevitáveis, mesmo com medidas de segurança em vigor. A postura de culpabilizar vítimas de ataques cibernéticos é preocupante, pois nenhuma medida é infalível.
O evento ocorrido demonstra que disposições contratuais são essenciais para definir responsabilidades e reparações. Revisar contratos com fornecedores críticos, especialmente em relação à proteção de dados e segurança da informação, é vital para minimizar danos futuros.
Esse apagão destaca a necessidade de uma infraestrutura robusta para gestão de crises e armazenamento seguro de informações, garantindo a continuidade dos serviços de saúde mesmo em situações adversas.
Para prevenir e mitigar os impactos de apagões cibernéticos, a implementação de boas práticas é essencial. Uma abordagem eficaz é a adoção de um Plano de Continuidade de Negócios (PCN), que garante a operação contínua dos serviços críticos em caso de falhas, e deve incluir estratégias para recuperação rápida de dados e processos essenciais.
Ainda, é possível a realização regular de Pen Tests, que consiste em um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa, sendo um recurso importante para identificar vulnerabilidades nos sistemas antes que sejam exploradas por atacantes. Esses testes simulam ataques reais, permitindo que as organizações corrijam falhas de segurança proativamente.
A educação contínua dos colaboradores sobre práticas seguras de TI é fundamental. Treinamentos periódicos ajudam a reduzir erros humanos, que são uma das principais causas de incidentes de segurança. Programas de conscientização sobre phishing e outras formas de engenharia social são particularmente importantes.
Outra prática recomendada é a implementação de soluções de backup e recuperação de dados. Ter backups atualizados e testados regularmente garante que os dados possam ser restaurados rapidamente em caso de um ataque cibernético ou falha de sistema. A utilização de armazenamento em nuvem com criptografia forte pode oferecer uma camada adicional de segurança.
Colaboração com provedores de serviços gerenciados especializados em cibersegurança também pode ser benéfica. Esses provedores possuem expertise e recursos dedicados para monitorar e proteger os sistemas contra ameaças emergentes, permitindo que os hospitais e demais estabelecimentos de saúde foquem em suas operações principais, voltadas à promoção de cuidado ao próximo.
Por fim, manter uma comunicação transparente com pacientes e stakeholders durante e após incidentes de segurança é crucial. Informar sobre as medidas que estão sendo tomadas para resolver a situação e proteger os dados ajuda a manter a confiança e a tranquilidade de todos os envolvidos.
*Emerson Moises Dantas de Medeiros e Rafael Dias da Cunha, advogados em Toro Advogados & Associados.