Assinatura Digital Proteção de Dados

Práticas recomendadas de segurança incluem certificados digitais na gestão de informações e registros médicos

As tecnologias aplicadas à saúde são essenciais para a prestação de cuidados aos pacientes, mas toda essa inovação apresenta riscos. Se essas ameaças não forem gerenciadas adequadamente, podem resultar em interrupções nas operações de assistência médica, violações dispendiosas de dados e danos aos pacientes.

Às vezes, o gerenciamento de certificados digitais pode ficar fora do radar das empresas ao discutir a segurança de dados de assistência médica devido a outras prioridades de segurança.

Mas não se engane! As ameaças à segurança interna são uma preocupação séria que merece ser observada. Dessa forma, é importante que a equipe de TI responsável por segurança, proteção de dados e privacidade impeça atividades que ofereçam ameaças, não fazer backups, certificados expirados, certificados revogados, entre outros, que podem prejudicar o atendimento causado por uma indisponibilidade.

Além da assinatura digital, assinatura eletrônica, criptografia e autenticação, o setor de TI deve oferecer às organizações de assistência médica certificados digitais válidos e gerenciáveis.

A importância da gestão dos certificados digitais na área da saúde

A motivação para ataques contra instituições médicas não precisa envolver intenção prejudicial, como uma guerra cibernética, ou mesmo retaliação contra um indivíduo específico.

O motivador mais forte dos crescentes ataques ao setor de saúde é o valor financeiro das informações. No segmento de saúde o custos dos mais diversos com o prontuário eletrônico do paciente vão desde o custo da busca, que é basicamente encontrar o registro em um galpão ou dentro do sistema caso tenham sido assinado digitalmente, além de custos de armazenamento, seja físico (papel) ou lógico (assinado digitalmente), além de custos de indenizações no caso de vazamento de dados. Enfim, são riscos que existem e precisam se gerenciados e mitigados.

Para se ter uma ideia, de acordo com o relatório de 2015 do Instituto Ponemon sobre segurança de dados na saúde, o custo médio de uma violação de dados para o setor é estimado em mais de US$ 2,1 milhões e ataques criminais são a principal causa de violações de dados em serviços de saúde.

Aqui mesmo no Brasil hospitais tiveram seus serviços de TI interrompidos por falta de segurança quando foram atacados, o que gerou um custo enorme de indisponibilidade para esses hospitais, assim como normalizar a operação não deve ter sido uma tarefa fácil.

As identidades médicas roubadas podem ser usadas para qualquer coisa. Ou seja, desde a tentativa fraudulenta de obter autorização para procedimentos médicos ou internações, até fraudes executadas pelo crime organizado. Afinal não é de hoje, nem da era digital que há fraudes envolvendo “falsos médicos”, que uma vez identificados, denunciados e condenados são presos. Agora imagine na era digital o impacto pode ser ainda maior.

A segurança de dados na saúde

Os certificados digitais usados na área da saúde são semelhantes aos utilizados em outros segmentos do mercado e incluem uma chave pública, armazenada no seu certificado e publicada em um repositório seguro, e uma chave privada, armazenada no seu computador, ou em um token de hardware pessoal, ou em smartcard, HSM, ou mesmo na nuvem.

Criptografar essas chaves é importante, mas se atualizar sobre as credenciais também é de fundamental importância. As principais falhas de segurança associadas à gestão de certificados e chaves privadas são as seguintes:

  • Não alterar chaves privadas e senhas quando um administrador sai da organização;
  • Usar a mesma senha em vários keystores (repositório de chaves);
  • Não alterar senhas de keystore regularmente;
  • Muita responsabilidade dada a um único administrador no gerenciamento de chaves. Isso facilita a ocorrência de falhas no processo de gerenciamento de chaves e certificados;
  • Chaves privadas distribuídas entre grupos sem um controle adequado.
  • Alta quantidade e complexidade na gestão de chaves;

Medidas preventivas no gerenciamento de certificados digitais

Privacidade, segurança de dados e consentimento do compartilhamento de dados estão integralmente unidos na saúde, tanto para proteção quanto conformidade.

Utilizada por profissionais da saúde e de gestão das instituições médicas, a assinatura eletrônica equivale judicialmente à assinatura manuscrita. Ela pode ser tão básica quanto um nome digitado; uma credencial, como uma senha por exemplo; ou uma imagem digitalizada da assinatura manuscrita. Há também as assinaturas eletrônicas com chancela da instituição que elevam esse nível de segurança.

Assinatura digital usa métodos criptográficos, certificados digitais e metadados críticos pertencentes a uma assinatura eletrônica para criar uma “impressão digital”. Assim, ela garante a autenticidade do assinante, fornece responsabilidade, protege dados confidenciais e evita adulterações indevidas. Ainda mais se foram ICP-Brasil.

Além disso, o crescente uso de dispositivos móveis, bem como a subsequente coleta de dados dos pacientes, traz uma nova ênfase à importância do gerenciamento de certificados. As infraestruturas de chave pública e privada estão em risco.

A importância das melhores práticas

Com o que analisamos anteriormente, vemos que uma instituição de saúde, por meio de seus responsáveis, deve estar ciente de que a integração de assinaturas digitais, assinaturas eletrônicas e certificados digitais autenticam o indivíduo que assina o procedimento informado, garante que o arquivo de origem é seguro e verificável, e pode ser usado como um método para proteger os dados dos pacientes durante procedimentos médicos e administrativos.

Por isso, é fundamental adotar as melhores práticas para realizar o gerenciamento de certificados:

  • Crie um inventário de certificados e analise-os com base na conformidade e com as políticas da empresa;
  • Compile e mantenha informações de propriedade para cada certificado e/ou chave;
  • Monitore trilhas de auditoria e valide os acessos;
  • Gerencie matrículas em tempo real;
  • Otimize e proteja o provisionamento de certificados e chaves;
  • Conscientize as partes interessadas sobre os riscos envolvidos.

Além dessas complexidades, a interoperabilidade de várias autoridades de certificação apresenta desafios adicionais.

A confiança na infraestrutura depende do conhecimento da autoridade certificadora (AC) sobre as medidas apropriadas para vincular as credenciais de assistência médica de um indivíduo à sua identidade. Isso está incluído na política de certificado.

Se uma determinada infraestrutura emprega várias abordagens ou políticas, diminui a confiança.

A responsabilidade pela proteção e privacidade de dados dos pacientes é de todos 

Os profissionais de saúde normalmente não estão preocupados com o gerenciamento técnico da infraestrutura de TI. Mas eles são responsáveis ​​pela proteção de dados dos seus pacientes, independentemente de onde os serviços de dados estejam hospedados: localmente, no data center de sua organização ou na nuvem. Dessa forma, cada profissional deve entender melhor como sistemas e aplicativos médicos podem impactar na privacidade e segurança dos pacientes.

Assim, as preocupações com o paciente permanecem no centro da questão do compartilhamento de dados. Isso aumenta à medida que o uso de dados pessoais nos negócios continua a evoluir. Há, inclusive, a crescente fidelidade nos dados sobre uma pessoa que podem estar ligados à sua identidade.

Selecione e aplique as práticas e controles de segurança mais apropriados, administrativos (políticas e procedimentos) e técnicos (automação) que gerenciam o acesso aos dados e são integrados aos fluxos de trabalho normais em torno desses dados.

Os métodos para proteger as informações, incluindo criptografia, anonimização, mascaramento e tokenização, precisam ser avaliados frequentemente e uma verificação de onde e quando aplicá-los deve ser feita.

Embora nenhum método seja perfeito, uma implementação com uso de certificados digitais pode limitar a exposição ao profissional de saúde e a sua instituição se ocorrer uma violação de segurança.

A variedade de ameaças existentes atualmente afetam todos nós, não apenas médicos, pesquisadores e demais profissionais ligados ao setor de saúde. Analisando o crescimento de ameaças avançadas, vemos que os cibercrimes serão impulsionados pela invasão dos aplicativos e sistemas mais usados em nosso dia a dia.

Enfim, o objetivo final é atingir um alto nível de confiança e se atualizar sobre segurança e gerenciamento de certificados digitais, que auxiliam a percorrer o longo caminho em direção a esse objetivo.

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.