Tecnologia com blockchain melhora privacidade em sistemas de dados da área da saúde

Após aumento de ataques nos últimos anos, estudioso desenvolve pesquisa que ajuda na prevenção e identificação de usuários maliciosos

[Crédito: TheDigitalArtist/Pixabay]

Há sempre usuários maliciosos à espreita de oportunidades para a realização de ataques em todos os lugares, até mesmo em sistemas de dados na área da saúde. Nos últimos anos, houve um aumento das ocorrências de ataques e vazamentos de dados no segmento. Segundo pesquisa da IBM Security X-Force, o sistema de saúde ocupava a 10º posição de indústria mais atacada em 2019, passando para a 7ª colocação em 2020. De acordo com relatório desenvolvido pela IBM, o custo para a violação de dados no campo da saúde é uma das mais altas, atingindo o valor de US$ 7,13 milhões globalmente. 

Casos desse tipo vêm crescendo, ficando mais recorrentes e presentes na mídia. Em dezembro de 2020, uma falha no Ministério da Saúde expôs aproximadamente 243 milhões de dados de brasileiros na base cadastral. Uma semana antes, um funcionário do Hospital Albert Einstein publicou uma planilha em um site aberto com dados de 16 milhões de pessoas que passaram por tratamentos ou testes relacionados à Covid-19. 

Compreenda as possíveis razões de ataques aos sistemas de saúde

Um ponto a ser considerado no aumento das violações é o próprio preparo do sistema em questões de segurança e privacidade. O doutorando no Instituto de Ciências Matemáticas e Computação da Universidade de São Paulo (ICMC-USP), Erikson Aguiar, relata que não há, muitas vezes, um olhar cuidadoso para a construção de um sistema seguro. “Na saúde, são sistemas que têm dados sensíveis com uma vulnerabilidade maior do que alguns outros que já foram preparados para isso. Os sistemas financeiros, em sua concepção, já estão mais preparados pensando em segurança”, comenta Aguiar.

Além disso, o especialista nas áreas de segurança e privacidade, aprendizado de máquina e processamento de imagens, ressalta sobre a falta do uso de recursos de proteção de alguns sistemas. Em certos ambientes, cria-se a ideia que a segurança não é um elemento essencial e torna-se um “artigo de luxo”, abrindo oportunidades para riscos a ataques.   

Aliado a isso, outro ponto que Aguiar destaca na discussão, e que pode contribuir para a quantidade de ataques existentes, é a complexidade das máquinas em funcionamento nos hospitais, por exemplo. A arquitetura complexa dos equipamentos pode resultar em vulnerabilidades e, dessa forma, abrir várias possibilidades para invasões. 

No contexto da pandemia, a situação fica ainda mais preocupante. Para aqueles que trabalham remotamente, as organizações da saúde não contavam com VPNs preparadas para acesso a esses dados de forma segura. A utilização de computadores pessoais faz com que a própria organização não tenha controle ou ofereça segurança no momento do acesso. “Uma coisa é você utilizar a máquina dentro de uma organização, que já tem tudo preparado. Quando eu utilizo minha máquina pessoal, tenho muitas possibilidades de sofrer ataques”. Abrir arquivos maliciosos no computador ou acessar sites indevidos são atividades que podem apresentar altos riscos de invasão. 

De acordo com Aguiar, o objetivo principal do usuário malicioso é ganhar dinheiro. Com dados pessoais de pacientes em mãos, é possível utilizar essa informação para atacar outros sistemas, como o financeiro. Assim, a pessoa pode ter seu sistema invalidado ou roubado. Além do dinheiro, os atacantes também têm como foco desafiar seus próprios limites para ver até onde conseguem chegar nesta prática.

Privacidade no compartilhamento de dados

Com base nesta problemática de segurança digital, o pesquisador Erikson Aguiar desenvolveu sua dissertação de mestrado com foco no uso da tecnologia blockchain, muito comum no mundo do bitcoin, para realizar a preservação da privacidade no compartilhamento dos dados de sistemas da área da saúde

A tecnologia baseada em blockchain tem diversas vantagens. A principal delas, e que motivou Aguiar, é a sua ajuda na auditabilidade dos sistemas. Com isso, qualquer tipo de alteração que ocorra com os dados ativa esta tecnologia que emite um registro e cria um alerta. O especialista comenta que essa ferramenta auxilia também na irretratabilidade, que atua na representação daquilo que foi adicionado ou adulterado. “Por exemplo, se eu adulterar um registro médico dentro do blockchain, ele tem uma ferramenta dentro dele que muda de valor, o que significa que alguém tentou mexer dentro da estrutura”, explica Erikson. 

Em sua proposta de framework, além do blockchain, a tecnologia conta com dois algoritmos de privacidade: o K-anonimato e o algoritmos de privacidade diferencial. O K-Anonimato é utilizado para dificultar a identificação do dado completo por meio de generalizações. Para entender essa técnica, Aguiar dá o exemplo de um paciente de 25 anos. Dentro de uma base de dados, a idade dessa pessoa pode ser generalizada para uma classe entre 20 e 30 anos. Já a privacidade diferencial é um modelo estatístico que aplica ruído aos dados, ou seja, informações “fabricadas” dentro de uma base para dificultar sua reidentificação. Estes são, inclusive, os métodos de anonimização utilizados pelo Google para proteger os dados.

A reidentificação é um tipo de ataque que consegue fazer a ligação dos atributos de um usuário, a partir de várias estratégias de exploração, a fim de identificar seus dados. Aguiar comenta que o invasor pode utilizar o framework OSINT (Open Source Intelligence) que consegue coletar informações públicas sobre sites, empresas e pessoas para realizar esse tipo de ataque. “Com essa técnica, eu consigo fazer a exploração de dados de um determinado paciente ou vazar dados do sistema de saúde para redes sociais e fazer várias ligações, descobrir dados sensíveis sobre o paciente, por exemplo, como o número de telefone e outros”, relata.

Em 2006, pesquisadores conseguiram identificar informações de usuários a partir de uma base de dados disponibilizada pela Netflix. A empresa privada criou o “Netflix Prize”, uma competição para melhoria de suas recomendações no site. O dataset que eles liberaram na época continha as avaliações de filmes de diversos usuários com o anonimato das informações dos participantes. No entanto, foi possível identificar grande parte dessas pessoas a partir de um cruzamento de dados disponíveis no IMDb, conhecido site de avaliações do cinema.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) elaborou uma série de conteúdos para que os usuários comuns não sejam vítimas de ataques, golpes, invasões e que saibam utilizar a internet de forma segura. Confira todo o conteúdo e fique por dentro dessas adequações em: https://cartilha.cert.br/.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*