Dia nacional de combate ao Cyberbullying

07 de abril (6)

RESUMO EXPANDIDO INTOLERANCIA

 

Anúncios

ATAQUES DIGITAIS QUE MATAM

“Ataques digitais irão provocar eventos físicos causando desde distração até a destruição em potencial de ativos do mundo físico” (Leonardo Scudere)

E eu acrescento:

ATAQUES DIGITAIS VÃO MATAR

Indivíduo X, portador de problemas cardíacos para as quais a única solução para continuar a viver é implantar um marcapasso. Vida salva, vida nova, recuperação 100%. O que ele e a maioria de nós não sabe é que embora seu problema de saúde tenha sido contornado ele pode ter virado alvo de hackers (crackers, na verdade).

IMG_20180313_150137

Certamente não estamos acostumados a falar em crimes digitais contra a vida humana, e possivelmente imaginemos que um ataque desse tipo ocorreria numa usina nuclear, no setor energético ou mesmo nos equipamentos de uma UTI da unidade hospitalar, mas não, o que tenho para falar hoje é sobre o risco de ataques direcionados a uma vítima bastando para isso a condição de portadora de um equipamento médico habilitado para monitoramento remoto implantado em seu corpo.


Como assim Angela? Alguns modelos de marcapasso, muito comumente utilizados nos EUA permitem o acesso remoto (por bluetooth e wi-fi). Esse acesso remoto possibilita o monitoramento dos dados de saúde do paciente, evitando assim visitas desnecessárias ao médico, pois, é possível ajustar o equipamento à distância, de forma que qualquer sinal anormal possa ser identificado imediatamente. Não há dúvidas sobre quanto isso beneficia o paciente, contudo, como TUDO que está conectado pode ser invadido, esses equipamentos se tornaram um problema para a segurança dos usuários, pois da mesma forma que o ajuste pode ser feito para evitar a morte do paciente, um acesso de má-fé pode causar-lhe a morte.

Isso não ocorre somente com os marcapassos, há também os neuroestimuladores, bombas de insulina pré-programadas, implantes cocleares, ou seja, todo o tipo de equipamento que possa ser implantado no corpo humano e que aceite monitoramento remoto. Isso não seria um problema tão grande se o número de usuários fosse pequeno, entretanto, o número de pessoas utilizando esse tipo de equipamento já ultrapassa de longe a cifra de um milhão e tem aumentado muito anualmente (somente nos EUA esse número ultrapassa 300.000 novos usuários por ano) isso se deve ao fato de que a existência do monitoramento proporciona melhoria na qualidade de vida de portadores de doenças crônicas.

No Brasil, a portaria nº 26 de agosto de 2017 incorporou esse tipo de tecnologia no âmbito do SUS, o que certamente deve ampliar o número de usuários desse equipamento, essa liberação veio após muita luta de uma ONG que representa os interesses dos usuários de marcapasso e por isso uma conquista bastante comemorada.

O que preocupa quem entende um pouco sobre esse mundo hiperconectado é a precariedade de que se revestem as políticas de segurança da informação adotadas em nosso país, especialmente no que diz respeito ao setor da saúde. Para ratificar essa preocupação, ontem, dia 12/03/2018, a McAfee divulgou um relatório que mostra que no ano de 2017 houve um aumento em 211% no número de incidentes de segurança envolvendo tecnologia na área da saúde. Segundo o relatório a maior parte dessas invasões poderia ter sido evitada com cuidados básicos no desenvolvimento e na utilização dos softwares médicos. Esse relatório apenas comprova que o Brasil é um terreno fértil para o cibercrime, e como já escrevi anteriormente as informações médicas valem muito dinheiro no mercado negro. Para termos uma ideia informações de janeiro desse ano destacam que o Brasil é o segundo país que mais perdeu dinheiro em 2017 com crimes cibernéticos (estamos aqui falando de um valor de aproximadamente U$ 22 bilhões (vinte e dois bilhões de dólares) ) de acordo com relatório da Symantec. Somos alvo fácil ficando apenas atrás da China.


Há quem aposte que crimes como sequestro relâmpago possam migrar do mundo físico para o mundo virtual se utilizando, por exemplo, desses equipamentos que podem ser acessados remotamente para concretizar a prática. Por exemplo, o cibercriminoso invadiria o equipamento médico e com a vítima totalmente vulnerável ao seu comando exigiria transferência de valores e de bens, tal método também poderia ser empregado para realizar outros tipos de chantagens.

Parece tudo muito futurístico? Meio coisa de filme? Mas não é, ainda em 2012 um hacker americano comprovou que essa invasão é possível e totalmente factível. Nos EUA um processo que correu perante a FDA (Food and Drug Administration) uma fabricante de implantes cardíacos monitorados admitiu que vários de seus modelos de dispositivos médicos implantáveis estão sujeitos a ameaças de segurança cibernética (https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm). Essa foi uma das empresas que se manifestou, mas isso só ocorreu após um longo processo movido por um usuário de marcapasso que desconfiou da segurança do equipamento que portava. Mas e quanto aos demais fabricantes? Tem sido submetido algum processo de verificação da segurança de seus equipamentos? Há fiscalização em torno dos mecanismos de segurança disponíveis, e falo de segurança digital, não segurança física, em relação a essa a preocupação sempre foi grande.


É certo que diante dos fatos quando pensarmos em segurança digital para a área da saúde a preocupação deve ir muito além do que aquela que já motivei aqui sobre segurança dos dados, que nem de longe deve ser negligenciada visto que dados médicos relacionam-se diretamente com a dignidade humana, deve existir também preocupação com os equipamentos que são utilizados pois como foi possível perceber a falta de atenção com a segurança neles empregada pode custar a vida das pessoas. E vejamos que estou falando aqui somente daqueles equipamentos implantados, mas a ameaça se alastra também para equipamentos de quimioterapia, por exemplo, ou ainda aqueles utilizados para dosar medicamentos para o controle da dor, se estiverem conectados em uma rede vulnerável serão alvos fáceis.


Dentro da minha linha de estudo a pergunta que eu tenho me feito é: se alguém for vítima de um crime praticado através da invasão de um equipamento desses, qual será a responsabilidade penal do fabricante? E da casa de saúde? E do profissional que implantou o equipamento?

Quanto à responsabilidade civil ela é objetiva, fundamentada na Teoria do Risco, aqui não cabe muita discussão, bastando que se comprove que o incidente ocorreu através do equipamento o que certamente demandará a participação de um perito digital. Mais do que nunca nesses casos recorrer ao perito digital se faz primordial, a necessidade da coleta correta de provas é o diferencial para esclarecer o que de fato ocorreu no caso concreto e se for o caso estabelecer o nexo de causalidade entre o incidente ocorrido e o meio (equipamento monitorado) utilizado.


Encerrando eu deixo dois alertas:

Primeiramente para as casas de saúde e profissionais que utilizam o monitoramento remoto de pacientes a orientação é: invista em uma consultoria em segurança da informação para identificar quais os pontos falhos da segurança digital que podem ser encontrados em seu negócio para que possam ser sanados e assim evitar uma série de transtornos.

Por fim para os pacientes: informem-se antes sobre a marca do equipamento, procure informações sobre ele é seu direito como consumidor.


A conclusão quando tratamos de crimes cibernéticos é sempre a mesma:

No mundo hiperconectado em que vivemos a única certeza que temos é que uma hora nossos sistemas serão atacados, apenas não sabemos quando.

 Para saber mais sobre como adotar medidas preventivas entre em contato comigo.

Reportagens sobre o tema:


http://www.securityreport.com.br/destaques/saude-sofre-aumento-de-211-no-numero-de-incidentes-de-seguranca/#.WqfWr-zwZQI

https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm

https://canalcienciascriminais.com.br/dispositivos-medicos-eletronicos-na-mira-dos-hackers/

https://canaltech.com.br/hacker/perigos-da-tecnologia-e-possivel-hackear-um-marcapasso-e-matar-o-paciente-82795/

http://www.lex.com.br/legis_27481775_PORTARIA_N_26_DE_2_DE_AGOSTO_DE_2017.aspx

 

Dados médicos a venda. Quem deseja comprar?

A notícia no The Guardian é clara – “Nossos dados médicos estão à venda, um negócio que vale bilhões”

flying-2891745_1280

 

Confessionário, essa palavra poderia ser perfeitamente usada para descrever um consultório médico. Para muitos de nós o médico é quase um sacerdote para quem revelamos nossos segredos mais íntimos…

Agora você já pensou se imediatamente ao sair da consulta o médico começasse a gritar por todos os corredores tudo que contamos? Ou se ele entrasse em contato com nosso parceiro, nosso empregador ou nossos amigos e lhes contasse o resultado de todos nossos exames? Como nos sentiríamos? Qual o impacto que essa atitude teria em nossa vida?

Muitos podem dizer que não tem nada a esconder talvez até por nunca terem parado para refletir sobre algumas situações. Assim, façamos uma breve reflexão: como nosso parceiro reagiria se soubesse por outras pessoas que somos portadores de HIV? O que nosso empregador faria se fosse notificado por nosso médico sobre possuirmos algum tipo de doença que eventualmente nos afastaria do trabalho?  Como nosso plano de saúde nos trataria se nosso histórico médico anterior à contratação fosse revelado? Honestamente, a maioria de nós nem conseguiria tirar uma carteira de motorista porque uma das perguntas presentes no formulário da avaliação médica é se já tivemos alguma tontura ou desmaio.

O que ocorre é que pessoas portadoras de doenças, inclusive as que podem ser facilmente tratadas, são discriminadas. Nenhum empregador fica feliz quando apresentamos um atestado médico, assim como a seguradora de saúde também não dá pulos de alegria ao ter que pagar mais uma consulta ou bancar uma cirurgia, por exemplo. E por todos esses motivos que os nossos dados médicos são (ou deveriam ser sigilosos), é o que dizem os Códigos de Ética da área de saúde. Ou seja, o sigilo é direito do paciente e dever do médico. Vale lembrar que o médico goza da prerrogativa do sigilo profissional.

Porém (e tudo na vida tem um porém), hoje os resultados dos nossos  exames, as doenças que temos e o histórico familiar médico, os remédios que tomamos, além de nossos hábitos tais como a prática de atividade física, se bebemos ou fumamos, nossos traços genéticos (e que fique claro que não é preciso fazer um exame de DNA para isso), tudo isso consta no nosso PEP -Prontuário Eletrônico do Paciente – tudo digital, aquela ficha antiga guardada no arquivo do consultório ou do hospital é coisa do passado. A modernidade chegou no setor da saúde trazendo benefícios obviamente, hoje, nosso médico pode carregar o consultório no bolso, literalmente, porque é possível através do smartphone acessar os dados dos pacientes. E aí nos vemos às voltas com o problema da segurança digital, tudo porque com a digitalização de nossas informações médicas elas estão mais expostas e essa exposição desperta interesse nos criminosos porque dados médicos valem muito dinheiro. Para termos noção do valor monetário dessas informações elas são negociadas no mercado negro (Deep Web) por valores que variam entre quatro e seis vezes o valor pago por um número de cartão de crédito válido.

medical-563427_1280

Os altos valores atribuídos a esse tipo de informação se justificam por vários motivos, a título de exemplo, vou enumerar apenas três:

1 – golpes, pessoas de má-fé ao terem acesso às nossas informações médicas se passam por falsos médicos oferecendo produtos que milagrosamente curaram “qualquer doença”, ou ainda criminosos que se utilizam dessas informações para chantagearem os familiares se aproveitando do momento de fragilidade emocional;

2 – indústria farmacêutica – aqui o interesse é dúbio, se por um lado se utilizam dessas informações para pesquisas sobre novos medicamentos, por outro também atuam com interesses escusos ao explorarem essas informações para elaborarem seu marketing direcionado para um nicho específico da população;

3 – empresas de seguro saúde (planos de saúde) – que ao terem acesso a esses dados se negam a oferecer seu serviço para uma determinada pessoa, ou dificultam o acesso a determinadas coberturas;

Essas são situações mais palpáveis, mas tudo pode ficar muito pior se considerarmos que essas informações poderiam chegar ao conhecimento do empregador. E aqui sejamos honestos, quem contrataria alguém doente? Ou ainda pior, já chegando numa espécie de “teoria da conspiração”, que empresa contrataria alguém que pelo perfil traçado nos exames médicos tem altas chances de ser portador (embora ainda não saiba) de uma doença degenerativa? Stefano Rodotà trata um pouco sobre essa questão em sua obra “A vida na sociedade da vigilância”.

Aqueles com maior conhecimento tecnológico podem alegar que existem formas de anonimizar (desvincular o nome do paciente dos dados médicos, tratando essas informações apenas como estatística), contudo, essa promessa apresenta falhas, e é o que defende Adam Tanner em seu livro Nossos corpos nossos dados (em tradução livre). Se há um algoritmo que consegue separar nome e dados médicos, existem algoritmos que conseguem cruzar os dados “anonimizados” obtidos de uma ficha de saúde com os nossos dados pessoais que estão em nossas redes sociais e emails e tornam possível a repersonalização de qualquer paciente. Importante aqui lembrar que ao falarmos de Internet estamos falando de uma grande rede onde basta a utilização de alguns algoritmos para que tudo se interligue.

A pergunta que fica é: como dados que são sigilosos vão parar na Internet?

A exposição indevida ocorre principalmente de duas formas:

  1. ataques cibernéticos como os ocorridos no ano passado (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/apos-ciberataque-hospital-de-cancer-de-barretos-estima-5-dias-para-normalizar-atendimentos-em-todo-o-pais.ghtml)
  2. ou porque algum colaborador da empresa de saúde copia os dados e os repassa.

Por estarmos tratando de uma situação tão delicada com dados extremamente sensíveis e diante da qual a impotência do paciente é absoluta, compete exclusivamente às casas de saúde trabalharem para minimizar os riscos. Digo minimizar porque quando se trata de segurança digital sempre haverá uma brecha e a eliminação total do risco é tarefa praticamente impossível.

A regra de ouro é atuar de modo preventivo. Investir na qualificação dos colaboradores de forma que entendam as consequências dos seus atos, investir em uma boa política de segurança da informação de forma a garantir que cada pessoa acesse somente aqueles dados que são necessários para a realização do seu trabalho e por fim em ambientes digitalmente seguros: redes isoladas, firewall, atualização do sistema operacional utilizado nas estações de trabalho associados a bons antivírus diminuem substancialmente o risco.

Pelo lado jurídico a utilização correta e integrada desses mecanismos preventivos pode proporcionar uma boa tese de defesa culminando com o afastamento da responsabilidade civil em caso de ações de reparação de danos motivadas pelo vazamento desses dados sigilosos.  Considerando ainda que a relação jurídica estabelecida entre o estabelecimento de saúde e os pacientes é de consumo ensejando, portanto, responsabilidade civil objetiva, e que segundo o Marco Civil da Internet a correta guarda dos dados é responsabilidade de quem os coleta, armazena e trata, é prudente que o profissional/estabelecimento de saúde opte por adotar todas as precauções possíveis por se tratarem de dados com alta carga valorativa monetária e também emocional.

Uma observação final, uma regra que vale para a coleta, armazenamento e tratamento de qualquer dado no caso se pretender utilizá-los, utilizar a regra do consentimento do paciente, de forma clara e inequívoca, por escrito, deixando detalhadamente especificado para quais finalidades eles serão utilizados.

Link para a reportagem completa clique aqui.

 

“Quem fala o que quer, paga o que não quer!”

Uma adaptação do ditado popular “quem fala o que quer, ouve o que não quer!” pode ser utilizada no nosso mundo digital. Ofender na rede mundial de computadores está ficando caro.

A internet que une as pessoas e encurta distâncias é a mesma que possibilita o ato de escrever abertamente nossa opinião e posicionamento em diversos sites, sejam eles de redes sociais ou de portais de notícias, por exemplo. Esta facilidade permite que cada um escreva o que vem à cabeça e esteja ao alcance dos dedos. Toda essa liberdade remete para outro ditado popular: “O seu direito termina onde começa o do outro”.

Ofender pessoas (calúnia, difamação e injúria) é crime conforme artigos 138, 139 e 140 do Código Penal e quando feito através da rede mundial de computadores configura ainda causa de aumento de pena prevista no artigo 141, inciso III. Há ainda um comportamento que é corriqueiro e que muitos ignoram que é crime previsto no artigo 71 do Código de Defesa do Consumidor, que é a cobrança de dívidas de modo público de forma a constranger o devedor. Todas essas situações permitem também a responsabilização civil do autor tanto no mundo real quanto no virtual.

sadness-2581083_1280
https://pixabay.com/pt/tristeza-ataque-%C3%B3dio-2581083/

Um exemplo recente foi o caso envolvendo o cantor e compositor Chico Buarque e sua família que foram ofendidos na rede Instagram,  ação esta que resultou na condenação do autor da ofensa em R$100.000,00 de indenização.

Quem quiser ver a notícia: http://www.migalhas.com.br/Quentes/17,MI273468,31047-TJRJ+aumenta+para+R+100+mil+indenizacao+a+Chico+Buarque+e+familia+por

Outro exemplo envolve o também cantor e compositor Dudu Nobre que foi acusado, em uma rede social, por não efetuar o pagamento de serviços a uma publicitária. Ação que resultou em indenização de R$25.000,00 em favor do autor da ação.

Notícia na íntegra: https://tvefamosos.uol.com.br/noticias/redacao/2018/02/06/publicitaria-e-condenada-a-indenizar-dudu-nobre-em-r-25-mil.htm

As decisões citadas demonstram que o posicionamento do sistema judiciário está  mudando com o passar do tempo de modo que os valores concedidos como indenizações por danos morais em casos que envolvem a rede mundial de computadores tem aumentado substancialmente.

flying-2891745_1280
https://pixabay.com/pt/voar-d%C3%B3lares-moeda-neg%C3%B3cios-2891745/

Ocorre que quando brigamos com um vizinho, onde os gritos alcançam apenas algumas pessoas, o ato ofensivo pode até ficar na memória de alguns mas não assume a dimensão de quando um fato semelhante é registrado na internet. Nesse último caso a exposição é infinitamente maior alcançando um número incontável de pessoas agravando assim o dano ocasionado à vítima.

Assim, recomendo que se você está sendo vítima de ofensas na internet procure um advogado que atue na área de direito digital para que o que tiver lhe prejudicando seja retirado da rede e se for caso de dano que você busque a reparação do mesmo.

E se porventura em algum momento pensar em  fazer algum comentário desagradável sobre alguém, esfrie a cabeça, evite discussões, busque conciliação, não havendo possibilidade de acordo procure um advogado que lhe ajudará se o caso for de caráter judicial, mas nunca torne seu desagrado público com a intenção de denegrir a imagem de alguém porque você pode acabar tendo grandes prejuízos.