Como engenheiro clínico e pioneiro em cibersegurança hospitalar, acredito em um princípio fundamental: a tecnologia segura é construída desde a origem. E é justamente na etapa de aquisição que a maioria dos riscos cibernéticos tem início.
Enquanto hospitais investem em firewalls, redes segmentadas e servidores robustos, muitos se esquecem de que o elo mais vulnerável pode estar na UTI ou no Centro Cirúrgico. O próprio equipamento médico, frequentemente adquirido sem critérios mínimos de segurança digital, pode ser a porta de entrada para ataques.
Equipamentos com firmware desatualizado, autenticação fraca ou sem um plano de atualização claro expõem não apenas o paciente, mas o hospital inteiro e sua rede assistencial. Esse é um debate não só necessário, mas urgente e inovador.
Por que esse tema é estratégico e inovador?
Porque ele exige que as equipes de engenharia clínica, TI e suprimentos trabalhem juntas desde a fase de planejamento. Essa abordagem intersetorial é um pilar da nova RDC nº 848/2024, que reforça a obrigatoriedade da rastreabilidade e gestão de riscos desde a aquisição até o descarte de dispositivos médicos, especialmente aqueles que transmitem, armazenam e processam dados.
A RDC nº 657/2022 também trouxe diretrizes claras sobre requisitos de software embarcado, interoperabilidade e mitigação de riscos em produtos médicos. Tudo isso está diretamente ligado à cibersegurança como uma premissa para a qualidade e segurança do paciente.
Checklist para aquisição segura de equipamentos conectados
A seguir, apresento um checklist técnico desenvolvido por engenheiros clínicos e utilizado para a aquisição segura de equipamentos conectados:
1. Certificação em cibersegurança: O equipamento deve ter certificações que atestem sua segurança digital.
2. Plano formal de atualização (patch management) com SLA: É essencial que o fabricante forneça um plano de atualizações de segurança com prazos bem definidos.
3. Controle de acesso: O equipamento deve ter autenticação robusta, seja multifator ou por biometria, para impedir acessos não autorizados.
4. Logs compatíveis com SIEM: A capacidade de gerar logs compatíveis com sistemas de gerenciamento de eventos e informações de segurança é vital para a auditoria técnica.
5. Cláusula contratual de mitigação cibernética: O contrato de compra deve incluir um plano de resposta a incidentes cibernéticos.
Na EngeHosp, avaliamos os riscos cibernéticos como parte do nosso processo de engenharia clínica. Nosso foco é garantir o compliance regulatório, a segurança do paciente e a sustentabilidade da operação tecnológica, assegurando que cada nova aquisição fortaleça a segurança da rede, em vez de se tornar uma vulnerabilidade.
Qual desses critérios ainda não faz parte do processo de compra no seu hospital?
