Os dispositivos móveis tornaram-se ferramentas essenciais para a vida cotidiana, inclusive para a prestação de serviços de saúde. Ao mesmo tempo, tablets e smartphones no ambiente clínico representam riscos à segurança das informações de saúde protegidas e à conformidade com a HIPAA. Neste artigo de Roy Edroso na Part B News, o CEO do iLAB, Jethro Lloyd, junta-se a outros especialistas para comentar como os prestadores de serviços de saúde podem lidar com essa tensão por meio da tecnologia e de outras políticas.
Exija que os funcionários realizem a segurança dos dispositivos móveis ou tire-a de suas mãos
por: Roy Edroso Efetivo em 14 de março de 2019 As falhas na segurança móvel continuam sendo uma ameaça às suas informações de saúde protegidas (PHI) e deixam você vulnerável a violações da HIPAA. Os dispositivos móveis, como smartphones e tablets, já foram considerados uma proposta arriscada no ambiente da prática médica (PBN 15/6/15). Mas esse barco já partiu: Uma pesquisa de 2018 da Physician Practice mostrou que quase 76% dos entrevistados usam “saúde móvel (mHealth) em sua prática semanalmente”, e uma pesquisa de 2015 da Kantar Media revelou que 84% dos médicos usam smartphones por motivos de trabalho. “Os smartphones estão se tornando rapidamente uma tábua de salvação para muitos na comunicação relacionada a casos”, diz Mark Mele, vice-presidente e diretor de vendas da Casetabs em Los Angeles. Ao mesmo tempo, uma pesquisa recente da Verizon descobriu que, no setor de saúde, 25% dos usuários “sofreram uma violação de segurança envolvendo dispositivos móveis no último ano”. Isso não significa necessariamente uma violação da HIPAA, mas “qualquer incidente de segurança que tenha resultado em perda de dados ou tempo de inatividade do sistema”, de acordo com a Verizon. Essa não é uma notícia totalmente ruim – na verdade, a pesquisa do ano anterior da Verizon constatou que 35% dos entrevistados do setor de saúde relataram tais incidentes, o que representa uma melhoria significativa. Mas isso mostra que a ameaça persiste. “Espero que a tendência aumente à medida que mais usuários comecem a confiar mais em dispositivos móveis”, diz Richard Swaisgood, diretor de produtividade e automação em nuvem da Managed Solution em San Diego.
Não tenha medo do smartphone
Não há nada intrinsecamente errado em permitir que seus funcionários usem seus próprios dispositivos no trabalho para acessar PHI. O Escritório de Direitos Civis (OCR) do HHS responde especificamente a essa pergunta: “Os prestadores de serviços de saúde, outras entidades cobertas e associados comerciais podem usar dispositivos móveis para acessar informações eletrônicas de saúde protegidas (ePHI) em uma nuvem, desde que existam proteções físicas, administrativas e técnicas adequadas. As Regras da HIPAA não endossam nem exigem tipos específicos de tecnologia, mas estabelecem os padrões de como as entidades cobertas e os associados comerciais podem usar ou divulgar ePHI por meio de determinada tecnologia, protegendo a segurança do ePHI.” O OCR também oferece dicas sobre o uso de PHI em dispositivos móveis, incluindo senhas, criptografia e recursos de limpeza remota em caso de emergências de segurança, como a perda de um telefone que contenha PHI de fácil acesso. Os especialistas observam que, na prática, os dispositivos móveis geralmente se conectam a servidores em nuvem para acessar os dados. Isso pode parecer intuitivamente inseguro – a palavra “nuvem” soa insubstancial – mas se o consultório estiver usando uma rede privada virtual (VPN), não haverá problema: “A VPN tem um escudo de camada de segurança significativo para os serviços baseados em nuvem”, diz Jethro Lloyd, CEO da iLAB Quality em Indianápolis. E os servidores em nuvem têm suas próprias vantagens de segurança, como backups automatizados (PBN 9/10/18). E você deve realizar a segurança básica, assim como faz com sua rede interna (PBN 10/9/17).
Observe a falha do usuário
Um erro comum para usuários móveis que transportam informações confidenciais é a exposição a WiFi público, o que “significa exposição a malware, vírus e outros ataques”, diz Lloyd. Se um dispositivo for configurado incorretamente, ele poderá entrar em redes públicas ou em outras redes sem alertar o usuário, oferecendo aos hackers um meio de acesso. A Verizon relata que 81% dos entrevistados “admitiram usar Wi-Fi público, mesmo quando muitos disseram que isso era proibido pela política da empresa”. Isso reflete um problema mais amplo: os funcionários e os provedores nem sempre seguem as regras que você estabelece para eles. De fato, aqueles que ignoram os protocolos de segurança tendem a fazer isso várias vezes. Uma possível solução: Whitelisting, ou “limitar a capacidade de você se conectar ao WiFi público”, diz Doron Hetz, vice-presidente sênior de engenharia da Casamba, em Los Angeles. Isso é como a lista branca que às vezes é feita em sistemas de escritório, em que os usuários da Web e de e-mail só têm permissão para acessar determinados domínios – só que, nesse caso, “você limita os IPs que podem acessar seu ambiente”, diz Hetz.
Eliminação!
Isso exigiria que o funcionário concordasse com uma lista de permissões, mas como isso é apenas um inconveniente durante o horário de trabalho, pode ser aceito. O que pode causar resistência nos funcionários é uma política de limpeza e apagamento remoto, que daria à empresa a capacidade de “apagar remotamente sem consentimento” o dispositivo do funcionário quando ocorrer uma violação de segurança e for reconhecido que o dispositivo do funcionário está vinculado a ela, diz Lloyd. Felizmente, é possível criptografar seus dados de forma a impedir a cópia de dados do aplicativo para o restante do telefone, diz Swaisgood, o que “ajuda a manter os dados da empresa seguros e permite a rápida remoção dos dados quando uma violação é descoberta ou o dispositivo é perdido”. Você pode achar esses recursos de segurança úteis se um funcionário sair da empresa. Digamos que um assistente administrativo deixe o consultório com dados confidenciais em seu telefone, diz Joel Maloff, diretor de conformidade da Phone.com, que oferece uma solução compatível com HIPAA para dispositivos móveis. “Uma notificação de texto ou uma mensagem de voz gravada deixada no celular [the admin’s] de um paciente com quem ele trabalhou durante anos pode parecer inofensiva, mas essas comunicações são consideradas [PHI]. Se não houver segregação entre o [the admin’s] telefone e a PHI, há uma grande probabilidade de que as leis da HIPAA sejam violadas.” Swaisgood também aconselha o exame remoto regular dos dispositivos que acessam informações confidenciais em busca de vulnerabilidades de segurança. “A análise baseada em nuvem permite que você aprenda os padrões de uso dos seus usuários, possibilitando a descoberta de violações logo no início”, diz ele. “Um exemplo seria, se um usuário começar a acessar dados que normalmente não acessa ou se um usuário começar a excluir arquivos em massa” – isso seria um sinal de alerta de que algo está acontecendo, seja com o usuário ou com um hacker que entrou na conta do usuário.
Você tem tokens no futuro?
Suas opções podem se expandir nos próximos anos e talvez até meses: Hans Reisgies, cofundador da Sequent em Santa Clara, Califórnia, diz que está trabalhando para estender os serviços de segurança de tokenização que sua empresa fornece a empresas financeiras para o setor de saúde. “Tanto os processadores de pagamento quanto o setor de saúde têm um problema semelhante: os dados estão espalhados por muitas partes do ecossistema, como sites, terminais de pagamento, etc.”, diz Reisgies. “Quando dados confidenciais são expostos em tantos pontos de extremidade, isso cria uma grande área de ataque [vulnerable to]. O setor de saúde tem esse problema com a digitalização dos registros de saúde – uma grande quantidade de dados de pacientes está espalhada por todos os ecossistemas em laboratórios, clínicas, seguradoras etc.” A tokenização substitui materiais confidenciais, como PHI, por dados de token “que têm usabilidade mais limitada”, explica Reisgies. Os dados reais que o token anônimo substitui são armazenados em “cofres de dados”, diminuindo drasticamente a área de ataque, e são trocados quando necessário. Assim, se um hacker entrar nos registros de um dentista, “ele poderá ver quantos canais radiculares o paciente fez, mas não muito mais, e não poderá ver quem é o paciente”. Até lá, mantenha seus dados criptografados e fique atento ao uso do celular por seus funcionários.
Recursos:
- OCR em dispositivos móveis: https://archive.healthit.gov/providers-professionals/how-can-you-protect-and-secure-health-information-when-using-mobile-device
- “As regras da HIPAA permitem que os prestadores de serviços de saúde usem dispositivos móveis para acessar ePHI em uma nuvem?” OCR: www.hhs.gov/hipaa/for-professionals/faq/2081/do-the-hipaa-rules-allow-health-care-providers-to-use-mobile-devices-to-access-ephi-in-a-cloud/index.html
- Estudo de saúde móvel da prática médica: www.physicianspractice.com/mobile/state-mobile-health-todays-practice
- Pesquisa da Kantar Media: www.kantarmedia.com/us/thinking-and-resources/blog/professional-usage-of-smartphones-by-doctors-in-2015
- Índice de segurança móvel da Verizon 2018: https://enterprise.verizon.com/resources/reports/2018/mobile_security_index_2018.pdf
- Índice de segurança móvel: https://enterprise.verizon.com/resources/reports/mobile-security-index/#report
