Eu não estava pretendendo escrever esta semana sobre segurança da informação. Entretanto a quantidade muito grande se questões levantadas e a coincidência da aprovação da presença do Brasil na elaboração de uma norma internacional sobre Certificação de Segurança de Software em Saúde, com o nome de “Health informatics - Security and privacy requirements for compliance testing of EHR systems”, fizeram com que mudasse meus planos.
Vou então continur com os Alertas da semana passada, porém agora focado apenas na segurança, confidencialidade e sigilo da informação.
Para não ficar um post exageradamente extenso vou citar oito casos escabrosos que foram relatados nos últimos meses, todos eles de domínio público e com links onde será possível buscar detalhes a quem interessar:
1-Cracker sequestra dados médicos
Uma base de dados foi invadida de um site usado por farmacêuticos para monitorar o abuso de drogas do Estado da Virginia e seqüestraram registros médicos de mais de 8 milhões de pacientes.
Foi pedido um resgate de US$ 10 milhões pelas informações, segundo o site Wikileaks.org. que permite vazar documentos mantendo o anonimato, e publicou uma cópia da nota de resgate.
Os responsáveis pelo ataque deixaram uma mensagem no lugar do conteúdo original, alertando que o banco de dados havia sido armazenado dentro de arquivo criptografado, protegido por senha.
O site, junto com outras páginas do Departamento de Saúde do Estado da Virginia, está inacessível e a Justiça Americana mandou fechar o Wikileaks .
2-HealthTexas Provider Network, notifica pacientes de roubo de Laptop
Uma subsidiária da Baylor Health Care System anunciou que está notificando alguns pacientes sobre o recente roubo de um computador portátil que continha uma quantidade limitada de suas informações pessoais. A carta a ser enviada para pacientes afetados contém informações sobre medidas que podem ser tomadas para ajudar a proteger as suas informações pessoais.
O HTPN está enviando cartas para a notificação de aproximadamente 7.400 pacientes com informação sobre o seu computador portátil incluído números da Social Security e uma quantidade limitada de informações de saúde, como um código que indica um tratamento recebido. O HTPN também está notificando até 100.000 pacientes cujos registros continham informações de saúde, mas não continha números de Social Security.
O laptop foi roubado de um carro de um funcionário do HTPN em Royse City, Texas e desde então, os funcionários têm vindo trabalhar na sede da empresa para identificar os dados e não mais transportar equipamentos.
3-Saint Mary's adverte pacientes sobre comprometimento de dados
O Saint Mary's Regional Medical Center da cidade de Reno, Nevada, enviou cartas a cerca de 128.000 pacientes informando-lhes que suas informações pessoais podem ter sido comprometidas. Funcionários dizem que alguém pode ter acessado sem autorização um banco de dados que continham nomes, endereços e alguns números da Social Security.
4-Violação de Segurança expõe dados pessoais de pacientes da Greensboro Ginecology Associates
Ryan Vedantes informou que pacientes da clínica Greensboro Gynecology Associates, no estado da Carolina do Norte foram notificados por carta, de que suas informações pessoais - incluindo endereços e seus números da Social Security foram roubados de uma fita de backup da sua base de dados.
As cartas estavam datadas de 16 de junho, mas algumas tinham o carimbo de 09 de julho. Por outro lado a informação era de que a fita de backup foi roubada em 29 de Maio, por um funcionário que deveria transportá-la para outro local de armazenamento.
5-Grady Memorial Hospital informa roubo de prontuários de pacientes
O FBI está investigando o roubo de prontuários dos pacientes do Grady Memorial Hospital, de Atlanta na Georgia. A porta voz da Instituição Denise Simpson, dando poucos pormenores sobre o ocorrido, informou não saber ainda de que forma e quantos prontuários foram roubados ou afetados. Os. registros pertenciam aos médicos do “Grady” cujas notas eram transcritas por funcionários terceirizados e suspeita-se que um deles, sub contratado teria praticado o delito com o objetivo de vender as transcrições médicas.
6-Afiliado da Ohio University libera informações pessoais por engano
O CORE Centers for Osteopathic Research and Education, que é afiliado com a Ohio University anunciou que foi removida da Web um documento na semana passada, que inadvertidamente continha as informações pessoais de pacientes de várias de suas unidades, com informações confidenciais e programação de reabilitação.
O Ohio University College of Osteopathic Medicine é o núcleo central acadêmico do CORE que é um consórcio composto por entidades de ensino, hospitais, clínicas de treinamento e escola médica especializada em osteopatias.
De acordo com um comunicado, o CORE identificou 492 pessoas cuja informação foi acidentalmente libertada e além de estar enviando informações detalhadas e instantâneas, têm sido oferecido serviço de acompanhamento de crédito por um ano.
7-Roubados dados do Servidor do Veterans Health Care
Norman Draper informou no Star Tribune Minneapolis-St Paul Minnesota, que um servidor de backup foi furtado do Minneapolis Veterans Home contendo números de telefone, endereços de parentes próximos, informações gerais, datas de nascimento, números da Social Security e algumas informações médicas, incluindo os diagnósticos de Home Care de 336 pacientes. De acordo com um funcionário do Minnesota Department of Veterans Affairs.os ladrões invadiram as instalações no final de semana, possivelmente no domingo.
8- Prince of Wales Hospital anunciou um incidente de perda de unidade flash USB contendo arquivos hospital
Unidade flash USB contendo arquivos do Prince of Wales Hospital (Hong Kong) foi perdida, contendo dados pessoais dos pacientes, incluindo o nome, número de identificação, testes laboratoriais e vários outros itens. Funcionários do Hospital acreditam que aproximadamente 10.000 registros podem estar envolvidos. A polícia está investigando o assunto. O Hospital tem sido notificado da evolução do caso como também, está respondendo pelo incidente provocado, sendo que os agentes foram alertados para evitar o uso não codificado de unidade flash USB para armazenar ou fazer download dos dados de pacientes.
Eles também são obrigados a seguir o protocolo estabelecido em matéria de proteção de dados e a privacidade dos pacientes, o que parece não aconteceu.
Como se nota claramente, as questões de segurança, confidencialidade e sigilo são extremamente importantes e parece que o assunto está muito longe de ser tratado como deveria, apesar de rigorosos órgãos de controle, e se, como vimos em grandes centros do mundo as coisas não andam bem, o que então esperar desde nosso Brasil varonil?
Surpreendentemente nesta semana circulou uma excelente notícia na lista de discussão da SBIS, escrita por Luis Gustavo Kiatake, expert em segurança da informação e que está fazendo com muito esforço e dedicação, excelente trabalho na comissão de Informática em Saúde da ABNT, que passo a transcrever como recebi:
“A comissão de Informática em Saúde da ABNT propôs e aprovou, na reunião internacional do Comitê Técnico de Informática em Saúde (TC215) da ISO que aconteceu em Edimburgo, Escócia, de 26 a 30 de abril, com a participação de 17 países, a criação de um novo item de trabalho para elaboração de uma norma internacional sobre Certificação de Segurança de Software em Saúde, com o nome original “Health informatics - Security and privacy requirements for compliance testing of EHR systems” (Informática em saúde – Requisitos de Segurança e Privacidade para testes de conformidade de sistemas de registros eletrônicos em saúde). Esse trabalho será liderado pelo Brasil, em cooperação com o Canadá e Itália, com suporte de experts de mais de dez países, incluindo Estados Unidos, Reino Unido, Finlândia, Suécia e Japão.
A proposição brasileira levará a experiência do processo de certificação de software da SBIS/CFM do Brasil para o mundo, fortificando e aperfeiçoando esse processo, demonstrando a tendência e necessidade internacional. Para os desenvolvedores de software, isso poderá viabilizar a ampliação do mercado para a exportação, de forma que vários países se basearão no mesmo conjunto de requisitos, e os cidadãos poderão se beneficiar na medida em que exista interoperabilidade entre as instituições de saúde que utilizam softwares certificados”.
Talvez seja esta mais uma oportunidade de mostrarmos que podemos contribuir de forma eficiente e competente, sem qualquer nível de desigualdade, com nações mais desenvolvidas, para não só elevar o status da Tecnologia da Informação em Saúde no Brasil, como também talvez, pensarmos um dia poder falar que “NUNCA ANTES NESTE PAÍS...”
Nenhum comentário:
Postar um comentário