Jaime Chanagá, Field CISO para América Latina, Caribe e Canadá da Fortinet, esteve esse mês em São Paulo para alinhar relacionamentos com diversos clientes brasileiros, entre eles, o setor de Saúde. Segundo o executivo, que participou de palestras em organizações médicas de ponta no país, as tecnologias emergentes não tardarão a alcançar essa vertical de negócios, o que deve ensejar novos olhares sobre como esse assunto é endereçado pelas companhias.
De acordo com Chanagá, o cenário reconhecidamente deflagrado de ameaças cibernéticas nacionais e internacionais não demonstra sinais de recuo no longo prazo. E com a chegada de inovações como IA Generativa, Computação Quântica e medicina personalizada, a superfície de ataque das corporações tende a aumentar drasticamente.
Assim, os próximos passos da Cibersegurança ativa em clínicas e hospitais deve focar em seguir evoluindo o seu papel na defesa dos ativos sensíveis dos pacientes. Além disso, participar diretamente das discussões de implantação de novas tecnologias também é um passo a ser dado. O CISO ainda reforça o papel de criticidade da Saúde entre as infraestruturas sociais de um país, e como tal, não pode correr riscos de paralisação devido a incidentes cibernéticos.
Cenário Cyber em Saúde
Security Report: Como você analisaria o cenário atual de ameaças no mundo, focado especialmente em Saúde?
Jaime Chanagá: A indústria de saúde está sempre no foco dos adversários, especialmente pelo alto nível de digitalização que ela tem passado. Hoje, clínicas e hospitais tem adotado cada vez mais tecnologias para atender os pacientes da melhor forma, e quanto mais sofisticados se tornam os equipamentos, mais sofisticadas precisam ser as infraestruturas de TI e de Segurança da Informação. Isso porque a superfície de ataque cresceu para as instituições médicas, e o cibercrime percebeu o valor dos dados dos pacientes e a falta de estruturas apropriadas para defendê-las. O ambiente é bastante propício para essa piora no cenário.
SR: Nesse caso, se pensarmos no que vem surgindo de inovação tecnológica no mercado, dá para imaginar uma perspectiva de melhora no futuro?
JC: Tendo a achar que não. Tenho o privilégio, como Field CISO, de ter contato direto com organizações médicas em toda a região latino-americana, caribenha e do Canadá, além de posicionamentos dos próprios governos. De fato, com a chegada de tecnologias como IA Generativa, teremos um mundo muito diferente daqui a cinco ou dez anos, com mais dados em circulação e sendo gerados diariamente.
Isso significa que haverá mais ativos em circulação na rede com potencial de serem expostos e, em contrapartida, mais possibilidades de ataques cibernéticos. Portanto, não apenas em Saúde, mas em todo o Mercado, o cibercrime pode ter um crescimento efetivo de roubo de dados e paralisação de operações.
SR: Mesmo assim, podemos imaginar que a Saúde enfrentaria riscos bem mais críticos, considerando o tamanho do impacto que esse setor gera na vida das pessoas?
JC: Definitivamente. Há estudos que detectaram maiores complicações médicas dos pacientes quando a instituição está lidando com um ataque, e da mesma forma, a mortalidade dos pacientes também pode crescer. Mesmo a estadia do paciente em tratamentos intensivos tende a aumentar, facilitando a fila de tratamentos críticos.
Existem inúmeras consequências graves que podem surgir de um ataque cibernético de grande porte contra um hospital, pois não estamos falando de apenas criptografar um ambiente para paralisar uma operação comercial. O impacto na vida de um paciente pode ir muito além do que o comprometimento de dados sensíveis, o que já é grave o suficiente. Por isso, precisamos reconhecer que o papel cumprido da Segurança Cibernética nunca é suficiente.
Cibersegurança nas inovações de Saúde
SR: Diante desse ambiente cada vez mais crítico, devemos considerar que as tecnologias emergentes devem ser consideradas parte da superfície de risco?
JC: Essa é a melhor abordagem a se fazer, pois evidentemente a inovação não será freada dentro dos meios de negócio, e nem é recomendável que isso ocorra. Portanto, se as tecnologias emergentes serão inclusas nos meios hospitalares para melhora no atendimento do paciente, é ideal que os times de Cyber enderecem essas implementações depressa e o mais cedo possível.
O melhor exemplo é justamente a tendência do momento, a Inteligência Artificial. Essa tecnologia já está sendo usada para orientar diagnósticos médicos de ponta, como forma de agir de forma eficiente e veloz em qualquer comorbidade que o indivíduo possa ter. Por isso, os líderes de Cibersegurança precisarão aumentar sua abordagem sobre essa tecnologia, para orientar quais linguagens de IA poderão ser usadas e como será esse uso. Apenas isso já será um passo importante para traçar novas estratégias de controle da tecnologia.
SR: Em relação à IA, como o controle de dados dos clientes poderia ocorrer, dado o nível de criticidade dessas informações?
JC: Para a Inteligência Artificial funcionar, ela precisa de dados, como fonte de treinamento e funcionamento correto. Assim, podemos esperar que ela, ao mesmo tempo, funcionará como consumidora e geradora de dados, e considerando a minha estimativa anterior de cinco ou dez anos, podemos ainda esperar uma enorme transformação a partir da união da IA com Computação Quântica, revolucionando a forma de processar informações.
Portanto, o cuidado com os dados de fato se tornará cada vez mais crítico às clínicas e hospitais pelo mundo. Para atuar com precisão, a IA dependerá de informações precisas, o que exige um controle maior contra envenenamento de dados e possíveis alucinações da máquina. Esses riscos somente podem ser endereçados enquanto o CISO estiver participando da implementação desde o início.
SR: Sobre a Computação Quântica que você menciona, essa já é uma demanda no horizonte da Saúde? Quais impactos ela pode gerar para o setor?
JC: Com certeza. Considerando como a medicina personalizada está avançando – com periódicos médicos respeitados já falando de clonagem de órgãos para transplantes mais eficientes – não há dúvidas de que a Saúde do futuro precisará do processamento quântico que algumas vendors tem prometido. Assim, essa também será uma tecnologia a entrar no radar dos times de SI, pois comprometer essa aceleração dos tratamentos médicos impactará diretamente a vida de um paciente.
Por ser ainda muito incipiente, não se sabe ainda quais demandas a Computação Quântica terá em relação à Cibersegurança, mas é certo que ela se tornará ponto central de muitos negócios dos próximos anos. É importante, portanto, manter atenção a essas possibilidades de uso e risco para que a Cibersegurança possa acompanhar não só o movimento da IA mas também do Quantum. Isso deve ser feito não como forma de atrasar seu uso, mas viabilizá-lo com Segurança desde o início.
CISOs e o futuro da Saúde
SR: Ouvindo seus comentários a respeito das novas tecnologias, é visível que o papel do CISO mudará bastante nesse período. Podemos dizer que, hoje, os hospitais e clínicas já entenderam o papel da Cyber na continuidade das operações?
JC: Eu acredito que essa percepção, se ainda não surgiu em algum lugar, ela surgirá cedo ou tarde, e esperamos que ela surja sem precisar ser pelo medo. Nos próximos anos, líderes corporativos como o CIO e o CISO assumirão papéis cruciais na transformação geradas pelas novas tecnologias, pois eles serão chamados a listar oportunidades e ameaças que essas inovações podem oferecer.
Hoje, tecnologias como IA também estão sendo incorporadas por agentes hostis internacionais. Então muito embora essas tecnologias continuam nos primeiros passos de apresentar os melhores casos de uso, o fato é que elas já estão entre os usuários, podendo ser aplicadas das formas mais variadas possíveis. Assim, apenas uma cooperação forte entre esses dois líderes de tecnologia será capaz de guiar o uso correto das tecnologias.
SR: Nesse quesito de evangelização do negócio, quais devem ser os próximos passos dos CISOs?
JC: A questão é que ainda falta muito a se fazer para evoluir a conscientização no nível clínico da Saúde. Profissionais que, evidentemente, não foram preparados para conhecer os meandros da SI precisarão passar por treinamentos desse tipo, pois são eles que estarão responsáveis por operar as inovações na ponta. Esse papel deve recair também para os Líderes de Segurança, em harmonia tanto com o CIO quanto com o board.
Em Saúde, como em diversas empresas diferentes, ainda falta compreensão correta de que Segurança da Informação é uma tarefa compartilhada para além dos times de Cyber, envolvendo negócios, alta gestão, marketing, e mesmo, nesse caso, profissionais da saúde. Conforme as tecnologias emergentes forem sendo implementadas para o bem do negócio, em paralelo os usuários devem ser preparados para aplicá-las corretamente, tornando-se a primeira e mais importante linha de defesa de um hospital.
