Cibersegurança é condição para destravar potencial da saúde com 5G

Bilhões de dispositivos conectados, coletando e compartilhando informações em tempo real, de modo que o mundo possa ser mensurado, compreendido e gerenciado de forma mais inteligente, ágil e sustentável. Tudo isso será, em breve, parte do nosso cotidiano com o 5G. Aplicada à área de saúde, essa tecnologia tem o potencial de trazer grandes melhoras em qualidade de vida para milhares de pessoas.

Este artigo pretende explicar de forma clara quais são os potenciais para o futuro da saúde com o 5G e quais cuidados imprescindíveis devem ser tomados agora para garantir sua segurança cibernética e viabilidade.

O potencial do 5G

O 5G é a quinta geração das redes celulares. Ele pode ser até cem vezes mais rápido que o 4G, tem uma latência muito menor -- ou seja, menos tempo entre a emissão e a recepção de um dado – e a banda comportará uma quantidade de dados muito maior. Além disso, o 5G também consome menos energia e permite maior cobertura.

Quadro 1

Essa velocidade é maior porque as redes 5G usam bandas de rádio de frequência maiores que do 4G. Elas têm capacidades maiores para transportar dados e permitem maior densidade de conexão.

Quadro 2

O espectro eletromagnético é a gama completa de radiação eletromagnética no universo – ondas de energia em diferentes comprimentos de onda ou frequências.

Junto de outras tecnologias em pleno desenvolvimento atualmente, como IoT, computação em nuvem, inteligência artificial e advanced analytics, essas características do 5G devem contribuir para revolucionar vários aspectos das nossas vidas dentro dos próximos anos.

Quadro 3

Na esfera mais cotidiana, o entretenimento poderá ser mais imersivo e a educação mais envolvente – as realidades virtuais (VR), aumentadas (AR) e estendida (XR) terão maior realismo, com dispositivos mais leves, e permitirão reuniões virtuais mais imersivas, tanto no trabalho quanto no ensino, ou até experiências sensoriais, como tato e olfato; a conectividade mais estável e confiável será possível até em um estádio lotado; espectadores remotos de eventos ao vivo poderão acessar novos ângulos e interações.

Para as indústrias, o 5G é uma alavanca essencial para aumentar eficiência, produtividade e sustentabilidade. Linhas de produção que reagem de forma autônoma à oferta e demanda; réplicas digitais que previnem falhas em máquinas reais; redes logísticas que direcionam mercadorias de forma autônoma com base em dados em tempo real, com rastreabilidade total de mercadorias em armazéns e portos; dispositivos de IoT na agricultura que aumentam a eficiência do cultivo. Novidades afins já fazem parte do cotidiano das melhores fábricas no mundo e estão sendo implantadas em um número crescente de indústrias.

O 5G tem também grandes potenciais de gerar impacto social. A tecnologia permitirá redes elétricas inteligentes que reduzem as emissões de carbono; veículos conectados a sistemas de tráfego que compartilham dados para evitar colisões e acidentes; sensores que poderão detectar e avisar sobre desastres naturais antes que eles ocorram; serviços de emergência mais ágeis, com apoio de drones para atender acidentes. E se o atendimento remoto já está revolucionando a medicina, será possível ir além. Os dispositivos de IoT devem agilizar o diagnóstico de pacientes e serviços que antes pareciam futuristas devem se tornar apenas mais uma modalidade – em março de 2019, empresas de tecnologia chinesas demonstraram uma cirurgia cerebral remota na China usando redes 5G.

Só nas áreas de mobilidade, saúde, manufatura e varejo, os casos de uso identificados pela McKinsey em um estudo de 2020 (em inglês) poderiam aumentar o PIB global em US$ 1,2 trilhão a US$ 2 trilhões até 2030. A maior parte desse valor pode ser capturada com conectividade avançada usando tecnologias que já estão disponíveis há algum tempo. Existe um enorme potencial disponível e ainda subutilizado – e que se deve, de modo geral, a cinco grandes desafios: coordenação da cadeia de valor, fragmentação de casos de uso, expectativas e incentivos desalinhados, complexidade de dados e condições que restringem a implantação. Se o impacto social tem grande potencial de revolucionar nossas vidas cotidianas, é também onde o desenvolvimento está mais incipiente – ainda há muito trabalho por ser feito. Estamos no momento de nos debruçar sobre os potenciais e riscos desses novos horizontes para traçar as regras que devem reger seu funcionamento e que definirão sua jornada de adoção futura.

O potencial da medicina digital

Embora a telemedicina e a medicina digital¹A medicina digital compreende diversas categorias, como aplicativos de celular, internet das coisas médicas, dispositivos portáteis, telemedicina e medicina personalizada já tivessem sido anunciadas há cerca de 15 anos como uma grande disrupção, sua adoção tinha sido mínima. Só com o isolamento social decorrente da COVID-19 que começaram a cair as barreiras estruturais que retardavam o investimento em dispositivos digitais integrados aos cuidados de saúde. Hoje está claro que a telemedicina traz melhorias significativas em termos de acesso, qualidade e custo-eficiência – os três principais fatores usados para avaliar a eficiência de um serviço de saúde; como exemplo, pessoas com doenças crônicas, mobilidade reduzida ou que vivem em regiões remotas tiveram um grande aumento de qualidade de vida com a telemedicina²www.cdc.gov/chronicdisease/resources/publications/factsheets/telehealth-in-rural-communities.htm³www.ncbi.nlm.nih.gov/pmc/articles/PMC8430850/⁴pubmed.ncbi.nlm.nih.gov/20302385/.

Além da telemedicina, observamos uma adoção crescente do cuidado digital e do uso de dispositivos de IoMT (Internet das Coisas Médicas) – que vão desde relógios e acessórios inteligentes, que monitoram sinais vitais, até dispositivos implantáveis, como marca-passo, que podem ser controlados de forma remota. Cerca de 98 milhões de pessoas no EUA usam algum acessório de monitoramento de saúde⁵www.ncbi.nlm.nih.gov/pmc/articles/PMC7600024/; e 88% dos provedores de saúde norte-americanos consideram os dispositivos de IoMT uma prioridade, dado seu potencial para reduzir os custos hospitalares.

Quadro 4

Quadro 5

Grandes poderes, grandes responsabilidades

Essa realidade futura dependerá de um amadurecimento das tecnologias 5G, Internet das Coisas (IoT), aceleração tecnológica via nuvem (cloud), inteligência artificial, data analytics e sensores de geolocalização. E implica em uma série de desafios de cibersegurança para proteger a segurança das redes e a privacidade dos dados.

No âmbito regulatório, ainda são poucas as leis no mundo que fiscalizam a privacidade do paciente e definem parâmetros para teste de novos equipamentos e softwares, definindo como é a integração entre IoT e os dispositivos médicos contra ameaças cibernéticas e vulnerabilidades. No Brasil, a LGPD – Lei Geral de Proteção de Dados Pessoais, de 2018 – foi um primeiro passo nessa seara. Promulgada para proteger os direitos fundamentais de liberdade e de privacidade, ela dispõe sobre o tratamento de dados pessoais, dispostos em meio físico ou digital englobando um amplo conjunto de operações. Na União Europeia existe o GDPR⁶Na União Europeia, o Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR) reconhece os dados relativos à saúde como uma categoria especial para fins de proteção; em maio de 2022, uma comissão da UE publicou um projeto de regulamento sobre o Espaço Europeu de Dados de Saúde, que visa criar um mercado único para os dados.; nos EUA, a HIPAA e a MARS-E⁷Nos EUA, existe o Health Insurance Portability and Accountability Act (HIPAA), a Lei de Portabilidade e Responsabilidade de Provedores de Saúde, lei federal de 1996 que exige a criação de padrões nacionais para proteger informações confidenciais de saúde de serem divulgadas sem consentimento ou conhecimento do paciente. Também nos EUA, os Centers for Medicare & Medicaid Services (CMS), agências federais norte-americanas responsáveis por programas de saúde públicos, publicaram em 2012 os padrões de risco mínimo aceitável para trocas (Minimum Acceptable Risk Standards for Exchanges, MARS-E). Este conjunto de documentos foi criado para atender aos mandatos da Lei de Proteção ao Paciente e Cuidados Acessíveis (Patient Protection and Affordable Care Act, ACA) e é baseado em padrões do Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology, NIST), estabelecendo os requisitos de segurança e conformidade para todos os sistemas, interfaces e conexões entre intercâmbios de saúde.. O FDA lançou recentemente um documento sobre cibersegurança de dispositivos médicos para orientar os fabricantes (em inglês).

Empresas de saúde lidam com uma quantidade gigantesca de dados pessoais extremamente sensíveis e que podem ser usados de forma discriminatória. Muitos setores que lidam com dados sensíveis estão sob intensa regulação de autoridades oficiais – é o caso do mercado financeiro, por exemplo, onde existem órgãos normativos, que desenvolvem normas e regras, e entidades supervisoras, que fiscalizam todos os atores para garantir que as normas e regras estão sendo devidamente aplicadas. Para o mercado de dispositivos de saúde conquistar a confiança de pacientes e do setor em geral, seria de grande auxílio a criação de uma estrutura normativa e fiscalizatória equivalente para definir os padrões de segurança esperada. Condições aquém do ideal certamente gerarão desconfiança e podem atrasar ou até estagnar a indústria.

E o cenário cibernético é bastante desafiador, pois ataques cibernéticos têm causado perdas expressivas e complicações para a reputação de inúmeras empresas. Quase um terço das organizações globais já sofreu ataques cibernéticos; na América Latina, são quase 60%. O Brasil é o quinto país que mais sofre ataques cibernéticos no mundo – foram 3,2 bilhões de tentativas em 2021, duas vezes mais que em 2020. Entre 2017 e 2018, quando a quantidade de ataques era menor, foram 80 bilhões de reais de prejuízo. Em 2021, 90% dos ataques foram de ramsomware, onde os dados são sequestrados e indisponibilizados. Só em 2020, os ataques de ramsomware custaram cerca de 21 bilhões de dólares às empresas afetadas, uma alta de 123% em relação ao ano anterior. Hospitais e empresas de saúde podem se tornar alvos preferenciais pois não podem perder o acesso aos registros dos pacientes – isso pode colocar vidas em risco. Só nos EUA, em 2021 os ataques expuseram dados de saúde confidenciais de 45 milhões de pessoas.

Em 2007, quando o então vice-presidente dos EUA Dick Cheney realizou uma cirurgia cardíaca, ele pediu à equipe médica que desabilitasse o acionamento sem fio da função desfibriladora do seu novo marca-passo, com receio de ataques terroristas. Embora pareça muito improvável, essa possibilidade é real – em 2017, o FDA fez o recall de meio milhão de marca-passos (em inglês) devido às condições ruins de cibersegurança do modelo, o que permitiria a um hacker esgotar as baterias do dispositivo ou até interferir no batimento cardíaco do paciente.

Do vazamento de dados sensíveis até cirurgias remotas hackeadas, são muitas as brechas possíveis. E a postura atual da indústria de saúde, de baixo investimento em cibersegurança, é temerária. O público e o mercado devem exigir uma nova postura, que avalie a possibilidade de cada caso acontecer, a relação investimento/risco para pacientes e para organizações e qual o risco de reputação para atores envolvidos direta e indiretamente.

Quadro 6

Quadro 7

Quadro 8

O tamanho do problema

Existem vulnerabilidades inerentes ao uso do 5G e de dispositivos de IoT: quanto mais dispositivos estão conectados, maior é a superfície de exposição e mais numerosas as portas possíveis para um ataque. Dispositivos de IoT têm uma capacidade menor de processamento para consumir menos energia – a consequência direta disso é um menor controle.

Outros fatores acrescentam mais camadas de risco à gestão de dados e de privacidade: com todos esses dispositivos coletando dados 24h, a quantidade de dados gerada é imensa; um número maior de dispositivos também gera uma quantidade maior de nós de comunicação, dificultando o controle de disponibilidade e integridade dos dados.

Vulnerabilidades exigem medidas protetoras que mitiguem os riscos, e essa gestão de vulnerabilidades pode ser bastante complexa. Cada geração de dispositivo tem as suas peculiaridades e, mesmo que um desenvolvedor consiga gerenciar a exposição dos seus próprios equipamentos, há ainda a interação do equipamento com outros.

Alguns dispositivos antigos nem podem ser atualizados, o que os deixa completamente expostos; pode levar dias ou até semanas para um fabricante de celulares soltar uma atualização que corrige uma vulnerabilidade – e esse é apenas um entre os muitos exemplos de brechas possíveis.

Situações afins, com dispositivos novos e antigos misturados, podem levar a uma situação onde um deles é hackeado, o ataque passa desapercebido e o dispositivo se torna um veículo de monitoramento para o hacker. Se esse dispositivo for, por exemplo, uma câmera de segurança, o hacker pode monitorar toda a atividade do local e reunir informações, como horários em que as pessoas entram e saem, quando realizam essa ou aquela atividade, entre outras. Com base nessas informações, ele pode conseguir pistas para acessar outros dispositivos, e daí em diante as possibilidades são inúmeras: ele pode desde travar dispositivos até ameaçar pessoas em troca de dinheiro, com ransonwares, ou vender esses dados na deep web – dados de saúde podem ser de dez até 50 vezes mais caros que dados bancários, pois permitem fraudes maiores, como em um seguro de vida.

Será necessário um esforço com múltiplas partes interessadas para realizar um patch management efetivo.

Por onde começar?

Para players que querem se engajar nessas melhorias, recomendamos aqui os próximos passos e principais pontos de atenção que CEOs de empresas de saúde e tecnologia devem atentar, junto com os CIOs, para pavimentar o caminho até um horizonte ideal.

A segurança cibernética em saúde pode ser pensada a partir de três grandes conjuntos de práticas:

• A primeira e mais fundamental é a cyber hygiene, ou higiene cibernética. Assim como existem práticas cotidianas de higiene, essenciais para prevenir ou mitigar problemas de saúde em um indivíduo ou comunidade, existem igualmente práticas rotineiras que mitigam riscos de cibersegurança em um sistema. Quando bem-estruturadas, elas permitem avaliar o nível de vulnerabilidade de uma empresa e até de parceiros com quem há dados compartilhados. Essas práticas incluem, por exemplo, inventariar todos os pontos de acesso a um sistema, todos os conjuntos de dados (classificados de acordo com seu valor), avaliar e administrar seu nível de vulnerabilidade, corrigir e atualizar softwares e aplicativos. Incluem também o uso de ferramentas de gerenciamento de identidade e acesso (Identity and Access Management, IAM) e de autenticação multifator (Multi-Factor Authentication, MFA), o que permite eliminar privilégios de acesso desatualizados e torna o processo de autenticação mais seguro, já que a autenticação não seria possível mesmo com o roubo da senha.
• O segundo grande conjunto de práticas é estabelecer um processo de desenvolvimento de software seguro. O termo DevSecOps, uma abreviação de “desenvolvimento, segurança e operações”, define uma maneira de desenvolver softwares no qual o aspecto de segurança é pensado desde o início e durante todas as etapas, e não apenas como uma etapa final ou um teste de qualidade realizado por uma equipe separada. Os problemas de segurança são abordados à medida que surgem, no momento em que são bem mais fáceis, rápidos e baratos de serem resolvidos. Os pilares de DevSecOps podem ser aplicados ao desenvolvimento de aplicativos, nuvem, dispositivos, inteligências artificiais e sensores, prevenindo brechas no desenvolvimento, posicionando controles de cibersegurança e impactando positivamente a proteção de dados.
• A terceira e mais avançada é a política de zero trust, que pode ser resumida na frase “nunca confiar, sempre verificar”. Um sistema com zero trust assume todo acesso como uma possível brecha, portanto nenhum acesso é lembrado, mesmo que seja de um dispositivo reconhecido. Cada identidade, cada dispositivo, cada acesso a documento ou software deve ser verificado, o que reduz o risco de acesso de pessoas desautorizadas, e a regra geral é sempre delegar o menor privilégio de acesso possível a cada conta. Quando cada elo de uma rede é conhecido e protegido, maior é o controle e mais informada se torna cada decisão sobre a segurança da rede.

A arquitetura de zero trust implementa os conceitos de zero trust na infraestrutura de rede virtual e física e nas políticas de controle de acessos. No entanto, quando há uma quantidade muito grande de dados e muitos nós dentro de uma rede, é preciso incluir também outros recursos, como criptografia, inteligência artificial e automação.

• Criptografia: em saúde, a quantidade de dados sensíveis é gigantesca; tais dados precisam ser encriptados tanto at rest, enquanto estão arquivados, quanto in transit, durante seu uso e transferência. Para tornar o trânsito destes dados mais seguro, é possível criar nós de comunicação, que exigem testes constantes.
• Automação: a necessidade de um grande volume de testes poderia tornar o zero trust impraticável. Com a automação, é possível instaurar tarefas rotineiras como análises de tráfego, inspeções de rede e identificar usuários desatualizados que oferecem ameaças de acesso, além de isolar informações sob risco.
• Inteligência artificial em cibersegurança: uma vez automatizadas, essas tarefas podem ser analisadas por uma ferramenta de inteligência artificial, que age como um fiscal constante da higiene da rede, revisando periodicamente a segurança dos dados e apontando movimentações atípicas.
Quadro 9


A tecnologia de 5G pode trazer avanços significativos para a área de saúde, acrescentando mais anos à expectativa de vida geral e mais qualidade aos anos vividos. Para isso se tornar realidade, todas as partes interessadas devem se engajar para garantir a segurança dos processos e dados sensíveis envolvidos. Do contrário, as brechas e os crescentes ataques à cibersegurança devem retardar a adoção da tecnologia e tornar esse avanço um horizonte distante.