Em agosto, 465 mil norte-americanos foram notificados de que precisariam atualizar seus marca-passos, sob o risco de hackers invadirem as informações dos corações em tratamento. Os aparelhos, feitos pela St Jude Medical (que foi adquirido pela Abbott em janeiro de 2017), possuem conexão à internet, e envia dados por Wi-Fi para clínicas ou médicos que monitoram os pacientes. Os sistemas, no entanto, tinham brechas e precisavam ser atualizados. De acordo com a agência reguladora de medicamentos dos Estados Unidos, a Food and Drug Administration (FDA), essas falhas na segurança permitiam que hacker acessassem o sistema do equipamento, e “modifiquem comandos de programação, que podem resultar em danos ao paciente pela depleção (perda de sangue ou redução de alguma substância) rápida da bateria ou administração de estímulos inapropriados”. A FDA anunciou o recall dos marca-passos.

Os dispositivos médicos apresentam cada vez mais recursos para comunicação sem fio e sistemas de monitoramento remoto, que transmitem as informações clínicas dos pacientes. Por exemplo, muitos dispositivos cardíacos podem transmitir dados sobre a carga de arritmia e as métricas de insuficiência cardíaca com o mínimo de esforço do paciente. A tecnologia pode ser uma aliada e melhorar o atendimento ao paciente, mas também apresenta possíveis riscos para a segurança dos dados e a segurança do paciente.

À medida que o software e o monitoramento remoto se incorporem em mais dispositivos médicos, como por exemplo sistemas de gerenciamento de diabetes e dispositivos de apneia do sono, as preocupações com a segurança cibernética aumentarão, e consequentemente haverá um controle ainda maior sobre os pacientes. Por isso, é importante considerar as maneiras pelas quais os pacientes e os clínicos devem se preparar para tais eventos e as melhores maneiras para os fabricantes e a FDA envolver o público em torno desta área emergente de vigilância pós-comercialização.

Preocupações de Cibersegurança em marca-passos

Em 2016, relatórios mostraram que os marca-passos da Abbott e os cardioversores desfibriladores implantáveis (CDIs) poderiam ter vulnerabilidades específicas, relacionadas ao uso da telemetria de radiofrequência para comunicação sem fio. Nestes dispositivos, os dados do paciente para “estações-base” são conectados, por telefone ou internet, a portais na web gerenciados pelos fabricantes, que por sua vez fornecem informações aos clínicos. Os possíveis riscos identificados incluíram a possibilidade de que hackers pudessem drenar intencionalmente a bateria de dispositivos afetados ou usar a estação base doméstica, de forma a emitir comandos de programação maliciosos aos sistemas implantados dos pacientes.

Embora não tenha sido identificado qualquer relatório de danos reais ao paciente, a FDA descreveu essas vulnerabilidades em um comunicado de segurança em janeiro de 2017, ao mesmo tempo que anunciou que um patch de software para download seria aplicado automaticamente aos monitores domésticos dos pacientes. Assim, a correção ocorreu em grande parte sem envolvimento do paciente.

Para aprimorar ainda mais a segurança de dispositivos implantados, uma atualização de firmware foi desenvolvida pela Abbott e aprovada pela FDA em agosto de 2017 e incluída em todos os novos implantes de dispositivos a partir dessa data. Ao contrário de um sistema operacional como o Windows, o firmware é um tipo especial de software que fornece uma capacidade altamente específica em dispositivos distintos dos sistemas de computação doméstica. Esta atualização incluiu camadas de segurança adicionais para proteção contra ataques de tele mídia de radiofrequência e defesas contra o uso da estação base para enviar comandos para os dispositivos implantados.

Médico avalia os cuidados com a segurança virtual dos pacientes

Daniel Kramer, médico da Universidade de Harvard, avaliou o recall feito nos marca-passos pela FDA, e deixou sugestões para aprimorar o monitoramento de aparelhos possivelmente vulneráveis. De acordo com Kramer, não há confirmação se as vulnerabilidades descritas para os dispositivos da Abbott afetam os modelos de outros fabricantes, e a FDA, ao elaborar o recall, poderia ter alavancado a comunicação de segurança para identificar especificamente se há uma preocupação em toda a indústria e esclarecer os padrões de segurança estabelecidos para a aprovação de novos dispositivos. Esta orientação, de acordo com Kramer, tranquilizaria milhões de pacientes que têm marca-passos que não estão sujeitos a risco.

O médico também sugere como oportunidade de melhoria uma parceria entre a FDA e a indústria para pilotar formalmente a ação corretiva para adquirir dados clínicos e feedback dos usuários, permitindo a quantificação contínua da taxa de eventos adversos, tornando possível  que possíveis vulnerabilidades sejam solucionadas de maneira particular.

Kramer afirma que a FDA colaborou com especialistas em segurança cibernética em agências governamentais, academias e indústria ao longo dos últimos anos para ajudar a identificar e caracterizar ameaças à segurança cibernética e fornecer orientação para ações pré-comercialização e pós-comercialização. No entanto, a experiência com este aviso de marca-passo deve servir de lembrete para a comunidade clínica, porque o mau funcionamento dos dispositivos médicos provavelmente se tornará cada vez mais comum. O médico alerta que pacientes e clínicos precisam avaliar esses riscos de dispositivos conectados comprometidos.

Para o Instituto ECRI, cibersegurança é a principal questão de segurança do paciente para 2018

O ransomware (software nocivo que infecta computadores e cobra um valor para reestabelecer o acesso do usuário) e outras ameaças à segurança cibernética para a prestação de cuidados de saúde são o principal risco de segurança do paciente para 2018, de acordo com o Instituto ECRI, uma organização de pesquisa sem fins lucrativos baseada nos EUA.

No ambiente de saúde, o ransomware e outros tipos de ataques de malware são mais do que apenas um pesadelo de tecnologia da informação (TI), de acordo com o ECRI. “São potenciais crises de segurança do paciente que podem perturbar as operações de prestação de cuidados de saúde, colocando os pacientes em risco. Várias fontes de ransomware e outras variantes de malware infectaram organizações de saúde, bem como outras organizações públicas e privadas em todo o mundo”, diz uma nota do instituto.

A estratégia contra estes perigos cibernéticos se dá pela ação de vários setores. “A proteção contra ataques de malware requer uma abordagem proativa envolvendo setor de gerenciamento, engenharia clínica, TI e outros setores em toda a organização”, diz o ECRI em seu relatório.