Healthcare Hacking

Sempre fui fascinado por Tecnologia. Desde o primeiro contato até os dias atuais, fico impressionado como ela está embarcada em nosso cotidiano. Dentro de nossas casas, em nossos carros, em nossos escritórios e por aí vai. Na área da Saúde não é diferente. Certamente levaria muito mais que um breve artigo para citar diversos exemplos dessa revolução que está acontecendo em nossos hospitais e laboratórios, mas quero me prender a uma pequena porção dela.

Na última semana tive a grata oportunidade de participar do curso “Healthcare Ethical Hacking” promovido pela Faculdade Israelita Albert Einstein . Conheci um mundo até então inexplorado para mim. Claro que já estive em um hospital antes, mas vocês têm a ideia exata do quanto a Tecnologia está presente nesse ambiente? Não falo apenas de um prontuário eletrônico, mas também dos protocolos e normativas específicas dessa área. Conhecer um ambiente hospitalar e toda sua complexidade sob o ponto de vista de cibersegurança – conhecendo como funcionam os dispositivos IoT, MIoT, sistemas ePHI, entre outras especificidades do setor da saúde e suas principais ameaças – é algo muito interessente, para dizer o mínimo.

Aprendi, entre outras coisas, como acontece a comunicação de imagens digitais em Medicina, as principais soluções de PACS e Modalidades bem como um pouco da história do DICOM. Para quem não conhece, DICOM é um padrão desenvolvido pela American College of Radiology (ACR) e pela National Electrical Manufacturers Association (NEMA). Entre os principais objetivos estão promover a comunicação de informações de imagens digitais, independentemente do fabricante do dispositivo, facilitar o desenvolvimento e expansão de sistemas de comunicação e arquivamento de imagens (PACS) que também podem interagir com outros sistemas de informação hospitalar e permitir a criação de bases de dados de informações de diagnóstico que podem ser consultadas por uma ampla variedade de dispositivos distribuídos.

Além do planejamento, implementação e configuração de uma arquitetura com todas essas características não ser nada trivial, o componente Segurança é de extrema importância e não pode ficar de fora desse contexto. Ainda mais pelo fato de, em maior ou menor grau, estarmos tratando de vidas de seres humanos. E aqui entra um fator importante: o Risco. Com ligeiras variações em sua definição, o risco geralmente é representado pelo impacto ou probabilidade de uma ameaça explorar uma vulnerabilidade e todos os desdobramentos decorrentes disso.

Os riscos vão desde um ataque cibernético resultando no vazamento de informações até mesmo, em situações extremas, de perda de vidas, seja pela medicação em doses incompatíveis, seja por erros provocados em exames de alta complexidade. O fato é que o risco está presente e com uma alta probabilidade de ocorrer. Por isso a necessidade de capacitação, de troca de informações e experiências. De forma resumida, a boa e velha tríade PPT (Processos, Pessoas e Tecnologia): o treinamento para que as pessoas se integrem e compreendam plenamente os processos (buscando sua melhoria contínua) e fazendo uso da Tecnologia mais adequada.

Para mim valeu a pena esse primeiro contato e espero ansioso pelos próximos módulos. Desde já fica o meu agradecimento ao Diego Mariano pela coordenação do curso e para os instrutores Arthur Paixão e Valdir Martins , que compartilharam informação de qualidade durante esses dias de treinamento.

#learning #healthcare #hacking #dicom #pacs #research #malware #infosec #ciso #cso #threats