Ataque de ransomware a um fornecedor de EHR: o que é que isto diz sobre a concentração na TI dos cuidados de saúde?

O recente ataque de ransomware a um importante fornecedor de software (ChipSoft) no sector dos cuidados de saúde neerlandês expôs novamente uma questão sensível: a dependência de um pequeno número de partes para infra-estruturas digitais críticas. Neste caso, tratava-se de um fornecedor de registos electrónicos dos doentes (EHR), cujos sistemas foram temporariamente desligados para limitar os danos e permitir investigações.

De acordo com vários relatos dos meios de comunicação social e questões que foram entretanto levantadas na política, está a ser investigada a medida em que os dados dos doentes podem ter sido capturados e o impacto nas unidades de saúde que dependem destes sistemas. O incidente não é isolado, mas faz parte de uma tendência mais ampla em que as TI dos cuidados de saúde são cada vez mais alvo de ataques informáticos.

Concentração do mercado: eficiência versus risco

Nos Países Baixos, o mercado dos sistemas informáticos de gestão dos cuidados de saúde está altamente concentrado. Um pequeno grupo de fornecedores fornece software à grande maioria dos hospitais e instituições de saúde. Um interveniente frequentemente mencionado é a ChipSoft, que tem uma quota de mercado de cerca de 76% no sector hospitalar, de acordo com as estimativas do mercado.

Esta concentração tem vantagens, como a normalização, as economias de escala e a rápida implementação de processos de saúde digitais. Ao mesmo tempo, cria uma forma de dependência que também acarreta riscos. Quando uma parte dominante sofre uma perturbação, esta afecta imediatamente uma grande parte da cadeia de cuidados de saúde. Outro fator é que partes da infraestrutura se apoiam frequentemente em plataformas tecnológicas externas, como os serviços de nuvem e de software de grandes fornecedores como a Microsoft, pelo que quaisquer vulnerabilidades nessa cadeia podem afetar indiretamente a disponibilidade e a segurança dos sistemas de saúde.

Em TI, este fenómeno é frequentemente referido como vendor lock-in: as organizações estão tão técnica e contratualmente ligadas a um fornecedor que a mudança é complexa e dispendiosa.

Inovação sob pressão?

Um debate recorrente no sector das TI para os cuidados de saúde é se um mercado consolidado acelera ou inibe a inovação. Os defensores dos grandes fornecedores apontam para a estabilidade e o desenvolvimento contínuo num único ecossistema. Os críticos contrapõem que uma posição de quase monopólio pode reduzir o incentivo à inovação.

Além disso, a interoperabilidade desempenha um papel importante. Várias fontes e relatórios de investigação criticaram anteriormente a limitada permutabilidade entre sistemas de diferentes fornecedores. Este facto pode ter consequências práticas nos cuidados de saúde: quando os sistemas não comunicam bem, existe o risco de as informações sobre os doentes estarem incompletas em momentos cruciais.

A cibersegurança como um risco estrutural

Os recentes incidentes de ransomware mostram que a informática no sector da saúde não é apenas uma questão funcional, mas também uma questão de segurança. Os dados relativos aos cuidados de saúde são extremamente sensíveis e, por isso, atractivos para os criminosos. Além disso, a dimensão e a complexidade dos sistemas de gestão de recursos humanos tornam-nos vulneráveis: grandes conjuntos de dados, muitos utilizadores e estruturas de acesso complexas aumentam a superfície de ataque.

Os especialistas em cibersegurança há muito que salientam que a segmentação dos dados e um controlo de acesso mais rigoroso são importantes para limitar os danos em caso de ataque. De facto, em alguns sistemas, o amplo acesso dos funcionários pode significar que uma conta comprometida pode ter consequências graves.

O que é que isto significa para o mercado?

Assim, o debate está a mudar cada vez mais de "qual o software que funciona melhor" para "como organizar um ecossistema resiliente". Neste contexto, parece haver espaço para actores mais pequenos e mais especializados. Não necessariamente como substitutos das grandes plataformas de EHR, mas como complementos num cenário mais modular.

Os intervenientes mais pequenos podem, em alguns casos, inovar mais rapidamente, desenvolver mais especificamente e integrar-se mais facilmente com os sistemas existentes através de arquitecturas API modernas. Isto torna-os mais ágeis numa indústria que está a mudar rapidamente, tanto em termos tecnológicos como regulamentares.

Organizações como a Webcamconsult, activas em aplicações digitais de cuidados de saúde e na comunicação com os doentes, operam no âmbito desse movimento mais amplo em direção a uma TI dos cuidados de saúde híbrida e mais distribuída. Não como uma alternativa aos grandes EHR, mas como parte de um ecossistema em que a colaboração e a interoperabilidade são cada vez mais importantes.

Conclusão

Isto faz com que o ataque de ransomware a um grande fornecedor de software de cuidados de saúde seja mais do que um incidente. Aborda questões fundamentais sobre a estrutura do mercado, a dependência e a resiliência digital nos cuidados de saúde.

Um mercado altamente concentrado pode ser eficiente, mas também apresenta riscos sistémicos. O desafio para os próximos anos consiste em encontrar um equilíbrio entre escala, segurança e inovação, sem que os processos cruciais dos cuidados de saúde se tornem dependentes de um número demasiado reduzido de elos da cadeia.

Fontes

• Security.nl, Parliamentary questions on ransomware attack on EHR provider ChipSoft
• NU.nl, Hacked patient records software provider takes systems offline
• NU.nl, Ransomware attack on patient records software provider