A maioria dos dados do laboratório relacionados com pacientes, equipamentos e finanças se encontram dentro de um servidor físico no laboratório. Para falar em Segurança dos dados, e explicar como se proteger de ataques e erros mais comuns, convidamos o Dr. Mateus Fucks.
Fucks explica que existe uma falta de conhecimento por parte dos gestores dos riscos e da tecnologia da informação (TI) como um todo, fazendo com que investimentos ou precauções nessa área sejam insuficientes, tanto a nível de software como hardware.
Com a palavra, Dr. Mateus Fucks:
Quando falamos em hardware (computadores, HDs, Pen Drives) o investimento em equipamentos de qualidade e próprios para o uso são fundamentais. Um servidor deve ser realmente um servidor, e não um computador qualquer usado para este fim.
Sobre a maior fonte de ataques cibernéticos, ele responde:
Nos softwares encontramos a maior vulnerabilidade para os crimes cibernéticos, que colocam os dados em risco. O mau uso da internet é a principal causa desses crimes, pois você precisa dar acesso ao seu computador, seja clicando em links suspeitos, abrindo anexos, visitando páginas maliciosas, ou baixando arquivos contaminados, entre outros. Uma vez instalado, ele se aproveita das falhas de segurança e vai agir no seu propósito.
Os malwares são softwares maliciosos que tentam infectar computadores e dispositivos móveis. Hackers podem extrair informações pessoais ou senhas, roubar dinheiro ou evitar que os proprietários acessem seus arquivos (laudos, dados de pacientes, resultados anteriores), solicitando até mesmo resgate. Sobre esse assunto Dr. Mateus esclarece:
Os malwares hoje são diversos, os famosos vírus são a minoria, os criminosos criaram novas táticas para lucrar neste mercado negro, como trojans, ransomware, worms, backdoors, keyloggers e inúmeros outros, todos com o objetivo comum de obter alguma informação do usuário infectado e ganhar dinheiro com isso.
Até o surgimento do ransomware o sequestro de dados em troca de um resgate era muito pouco provável. A maioria dos malwares roubam informações como senhas e dados bancários sem comprometer o acesso aos arquivos ou computador do usuário. Porém, com a criação das cryptomoedas, como o bitcoin, receber de forma anônima favoreceu em muito essa nova modalidade de crime cibernético, que hoje é a mais temida.
Dr. Mateus explica a importância de um trabalho especializado:
É imprescindível que o gestor conte com conhecimento ou um profissional para configurar e checar periodicamente a integridade de todos os recursos de computação utilizados. Existem empresas e free lancers especializados nisso, sem necessidade de onerar a empresa com encargos trabalhistas, mas obviamente que isso vai depender do porte dessa estrutura e do próprio laboratório.
Perguntamos à Mateus quais eram as consequências dos Malwares para os laboratórios, e ele responde:
Sem dúvida a pior consequência é você perder dados e documentos vitais para o funcionamento da empresa, pois patrimônio digital pode valer muito dinheiro e anos de trabalho. Não estou me referindo apenas a perda do histórico e resultados de pacientes, mas sim de todo o acervo documental que envolve a gestão do laboratório. Não consigo nem imaginar o que seria perder todas essas informações, é realmente uma tragédia e uma imensurável dor de cabeça para qualquer gestor.
Vale salientar que no caso de ataque por ransomware, por usarem uma criptografia muito forte, a tentativa de recuperação pode ter alto custo e nem sempre é possível reverter ou recuperar completamente os dados.
Para os laboratórios que tiverem seus dados sequestrados, Mateus dá um alerta:
O pagamento de resgate também não garante a recuperação dos dados, uma vez transferida a cryptomoeda para o criminoso você dependerá exclusivamente de sua boa vontade, as garantias são mínimas e a recomendação é que jamais se pague pelo resgate.
Além do sequestro de dados, geralmente realizado por Hackers estrangeiros, os donos de laboratórios podem ter o roubo físico do servidor ou danos em hardware. Por esse motivo, o uso de Backups, também chamados de cópias de segurança, é de extrema importância. Sobre o assunto, Mateus infere:
A perda do servidor e do backup simultaneamente é algo inconcebível, pois vejo como obrigatório manter cópias do nosso backup em diferentes destinos físicos. Não precisamos ser tão rigorosos como algumas empresas que fazem redundância geográfica, mantendo cópias em todos os continentes para o caso de catástrofes mundiais, mas temos que ter sim mais de uma cópia de backup. Usar o servidor em tarefas do dia-a-dia é outra negligência que acaba dando sorte para o azar, além de comprometer o desempenho, é inadmissível.
Na RDC 302, o item 6.3.8 nos diz: “As cópias dos laudos de análise bem como dados brutos devem ser arquivados pelo prazo de 5 (cinco) anos, facilmente recuperáveis e de forma a garantir a sua rastreabilidade.”
Veja bem, a RDC é clara quanto a responsabilidade do laboratório em garantir a recuperação de um laudo, tal como foi entregue ao paciente, além dos dados brutos. Sendo assim não há qualquer justificativa que minimize ou anule essa responsabilidade, uma vez que existem meios para garantir a segurança desses dados, com custo zero ou mais altos, dependendo o nível aplicado.
Perguntamos ao Dr. Mateus qual a periodicidade ideal para fazer backup no laboratório. Ele responde:
Quanto ao número de cópias eu recomendo pecar pelo excesso. Eu, por exemplo, realizo três rotinas diárias de backup no banco de dados do LIS, porém somente em uma delas, às 0h, é que o sistema envia para a nuvem, no meu servidor FTP.
As pastas que sofrem pouca alteração realizo backup semanal, outras menos importantes já passam para mensal. Utilizo dois destinos físicos no laboratório com criptografia e restrição de acesso a nível de usuário e mais um destino em nuvem. Tudo é feito automaticamente e faço verificações periódicas da integridade das cópias.
É importante ter sempre uma cópia de pronto uso, em pen drive, HD externo ou outro sistema de armazenamento. A cópia em nuvem hoje é a mais utilizada como última camada de proteção, acho fundamental, existem inclusive serviços específicos de backup, que garantem até redundância geográfica. Por fim, mantendo uma cópia física no laboratório e outra na nuvem você dificilmente terá falha nas duas instâncias a ponto de perder definitivamente seus dados.
No entanto, tão importante quanto as cópias redundantes do backup é saber como fazê-lo, não basta copiar a pasta do banco de dados (BD). É importante ter conhecimento de qual BD o seu LIS utiliza e pedir para a própria software house te orientar ou configurar. O backup correto do BD, como os baseados em linguagem SQL, irá gerar um arquivo, este por sua vez entrará na rotina de cópia juntamente com os demais documentos do laboratório.
Por fim, perguntamos sobre sistemas do laboratório em nuvem:
Se o banco de dados for hospedado e gerenciado pela própria software house fica a cargo dela garantir a integridade dos dados e manter todas as rotinas de backup, você deve exigir isso contratualmente. A segurança vai depender exclusivamente da seriedade e profissionalismo dessa empresa, que está suscetível aos mesmos riscos.
Mas não esqueça dos documentos importantes alocados nos computadores dentro do laboratório, eles igualmente merecem sua atenção.
Recomendações para se proteger de Riscos Cibernéticos
Por fim, Mateus Fucks nos deixa com 17 dicas para proteger o laboratório e garantir a integridade dos dados. Confira:
1. O servidor de arquivos deve ser um equipamento próprio para essa finalidade e de um fabricante confiável, o sistema operacional igualmente, como Windows Server ou Linux. O conjunto hardware/software correto e bem configurados garantem maior segurança e estabilidade.
2. Se a disponibilidade do sistema é fator fundamental, considere investir em recursos adicionais de redundância.
3. Utilize apenas programas originais, a utilização de cracks/loaders para aplicativos piratas normalmente vem acompanhada de códigos maliciosos que abrem portas para invasão.
4. Tenha a versão mais recente de todos os programas instalados, isso garante a correção de possíveis falhas de segurança.
5. Mantenha o sistema operacional sempre atualizado, principalmente as atualizações de segurança. Crie e tenha em mãos um disco de recuperação do sistema operacional.
6. Uma cópia espelho do HDD que contém o sistema operacional garante uma restauração imediata em caso de falha de hardware ou software. Existem programas gratuitos para essa finalidade.
7. Tenha instalado em todas as máquinas um bom anti-malware e mantenha-o sempre atualizado. Crie um disco de emergência e configure uma senha para acesso às configurações do programa, vários malwares acessam esta opção e se colocam como exceção para impedir sua remoção, a senha protege.
8. Um bom anti-malware verifica automaticamente todas as extensões de arquivos, bem como anexos de e-mails, unidades removíveis, arquivos baixados na internet e ainda oferecem proteção durante a navegação. Na versão servidor normalmente são pagos, não escolha o mais barato e sim o mais efetivo.
9. Mantenha o firewall ativo e verifique periodicamente os logs em busca de acessos maliciosos.
10. Desabilite a execução automática de mídias removíveis, pois é como os malwares que infectam pen drives se instalam.
11. A internet é a fonte de todos os problemas, considere a restrição de uso se for necessário, como por exemplo a utilização de um servidor proxy.
12. Treine sua equipe sobre segurança e boas práticas de uso da internet. Vírus, trojans, ransomware, keyloggers e todo tipo de ameaça normalmente se instalam no computador por culpa do usuário, que acessa sites não confiáveis, abre anexos e links de fontes desconhecidas ou mesmo de fontes conhecidas infectadas.
13. Use a conta de administrador do sistema somente quando necessário, a ação do vírus será limitada as permissões de acesso ao usuário.
14. Verifique periodicamente a integridade do sistema operacional e do hardware, existem rotinas a serem feitas via software e também físicas.
15. Não utilize o servidor de arquivos como computador do dia-a-dia. O ideal é que o servidor fique em um ambiente protegido, não sendo necessário monitor, teclado e mouse, o acesso para manutenção será feito remotamente quando necessário. A configuração deve ser feita por um profissional, existem diversos recursos para protege-lo.
16. Se não tiver conhecimento suficiente contrate uma empresa ou profissional de TI para monitorar todas as questões de segurança, atualização e integridade dos dados e hardware.
17. Por último e mais importante, mantenha backup atualizado de todos seus dados, com mais de uma cópia para garantir a recuperação em qualquer situação. Não se esqueça dos equipamentos analíticos, a rotina de backup é imprescindível naqueles que permitirem acesso ao software, em qualquer falha os dados brutos, protocolos e curvas de calibração podem ser facilmente recuperados.
--
Mateus Batista Fucks é farmacêutico bioquímico, Especialista em Microbiologia e Análises Clínicas. Sócio-proprietário do Laboratório Clinisul, com sedes em Santo Ângelo-RS e Laguna-SC. Ex-professor universitário e professor convidado de cursos de pós-graduação. Sua experiência em TI foi construída ao longo de 30 anos, quando teve seu primeiro contato com a tecnologia e desde então foi agregando conhecimento nas mais diversas áreas de aplicação.
Contato: mateus@labclinisul.com.br
