Muitas pessoas não se dão conta da vulnerabilidade cibernética dos dispositivos eletrônicos médicos comuns, como as bombas de insulina e os marcapassos, mas esses aparelhos podem ser invadidos por hackers e estão sujeitos à falhas, disseram especialistas em uma reunião do Patient Engagement Advisory Committee (PEAC) da Food and Drug Administration (FDA) norte-americana realizada no início de setembro.
Médicos e outros profissionais de saúde podem não saber como informar os pacientes sobre esses problemas – se compartilharem informações de menos, é possível que os pacientes não saibam o momento de pedir ajuda para lidar com o dispositivo. E, se derem informações demais ou em uma linguagem complicada inacessível, os pacientes podem ficar desnecessariamente ansiosos.
Invasão por hackers, um problema sério
Na maioria das vezes, quando as pessoas imaginam alguém hackeando um dispositivo eletrônico, elas não pensam em um dispositivo médico, como uma bomba de insulina, mas pelo menos dois palestrantes que se apresentaram na reunião do comitê consultivo descreveram como foi simples invadir os próprios dispositivos por meio de engenharia reversa.
Um dos fatores é a forma como os dispositivos médicos mudaram ao longo do tempo. Muitos desses dispositivos, como sistemas cirúrgicos a laser, manguitos de pressão arterial, sistemas de diálise e aparelhos de ressonância magnética, antigamente eram “tecnologias autônomas aplicadas aos pacientes ou usadas em hospitais e clínicas para diagnosticar, tratar ou administrar problemas de saúde”, segundo um comunicado da FDA.
Agora, muitos desses dispositivos têm componentes de software e são interconectados via redes de acesso sem fio e outras redes. Esses fatores aumentam a funcionalidade dos dispositivos eletrônicos, mas também representam problemas, como a exposição de informações pessoais dos pacientes e a ocorrência de falhas das quais os pacientes não têm ciência, como a administração de uma dose errada de insulina.
“Em relação à vulnerabilidade cibernética dos dispositivos médicos, o risco geralmente está associado ao acesso de uma pessoa não autorizada (ameaça) ao(s) dispositivo(s) de um ou mais pacientes ao explorar alguma vulnerabilidade (como uma falha de segurança no software ou firmware do dispositivo). Os exemplos são: marcapasso produzindo estimulação ou choques desregulados ou bomba de infusão de insulina administrando a dose incorreta”, apontou o documento informativo da FDA.
Os membros do painel discutiram tipos de informação que os profissionais de saúde devem compartilhar com os pacientes, formas eficazes de compartilhar esta informação e quando e como relatar problemas com os dispositivos.
Experiência de usuário intuitiva é essencial
Os membros do comitê disseram várias vezes que muitos dispositivos (e as respectivas instruções) são complexos e difíceis de entender. São necessárias atualizações e reparos de software para corrigir certos problemas, mas as notificações para atualizar o sistema operacional de dispositivos, como telefones celulares, ocorrem com frequência, e alguns usuários ignoram essas notificações por saberem que provavelmente perderão informações importantes quando atualizarem o dispositivo.
Os profissionais de saúde devem usar uma linguagem culturalmente apropriada, que o paciente entenda, e, se necessário, devem lançar mão de um tradutor ou facilitador. As informações devem ser fornecidas aos poucos, para que os pacientes tenham tempo de processar e compreender o que está sendo dito. Quando possível, os profissionais de saúde também devem considerar o uso de imagens e demonstrações visuais no lugar de informações verbais.
O fato de ser impossível prever os tipos vulnerabilidade cibernética de um determinado dispositivo médico pode ser um empecilho para os profissionais de saúde estabelecerem conversas produtivas sobre riscos e benefícios de cada dispositivo, mas muitos pacientes preferem receber o máximo de informações, afirmou um dos participantes.
O momento de oferecer a educação médica é tão importante quanto o método de transmissão destas informações, disseram vários participantes. Por exemplo, muitas pessoas não se lembram das informações que lhes são dadas ao despertarem de uma anestesia ou quando estão estressadas, com medo ou sentindo dor.
Além disso, a preferência dos pacientes com relação às formas de comunicação varia: alguns preferem um telefonema tradicional, outros gostam de receber mensagens de texto ou e-mails e outros preferem receber cartas pelo correio. Saber a forma de comunicação preferida do paciente ajuda a dar notificações e alertas sobre o dispositivo quando necessário e garante que o paciente os leia.
Outro fato a ser considerado é que pessoas que moram em áreas rurais podem ter acesso limitado a internet, novas tecnologias telefônicas e provedores de telefonia.
Vigilância permanente
Nem sempre é possível prever eventuais problemas ou defeitos dos dispositivos, porque alguns fatores relacionados com a vulnerabilidade cibernética são desconhecidos, disseram vários participantes do painel, portanto, é necessário estarmos sempre atentos aos problemas, além de informar sobre as vulnerabilidades cibernéticas aos usuários de dispositivos médicos de forma oportuna e eficaz.
O fator mais importante da resposta a uma invasão, como a ransomware WannaCry, que ocorreu em maio de 2017, é o planejamento. No entanto, fazer um planejamento apenas para situações específicas muitas vezes é ineficaz, disse Natashia Tamari, diretora associada de Cybersecurity Incident Response da Becton Dickinson.
“Podemos criar estratégias para cenários muito específicos, mas isso não vai fazer diferença; precisamos de fato criar estruturas, considerando como nos comunicamos uns com os outros, quem não pode deixar de estar presente e como esta articulação deve funcionar, porque isto será fundamental para combater este tipo de vulnerabilidade”, explicou Natashia.
Ações da FDA
Ao avaliar se deve ou não emitir um aviso sobre a vulnerabilidade cibernética dos dispositivos médicos, a FDA considera vários fatores, como a probabilidade de o dispositivo ser invadido com êxito; a possível velocidade deste tipo de invasão e até que ponto isto poderia afetar os pacientes; e o tempo que levaria para iniciar uma contramedida eficaz.
“Por esses motivos, a abordagem de comunicação da FDA com relação à vulnerabilidade cibernética dos dispositivos médicos tem sido antecipatória, agressiva e proativa, dado que os pontos vulneráveis são identificados e verificados antes do abuso, quando há possibilidade de mitigação, em vez de esperar que um sinal ou uma indicação de dano apareça”, diz o documento informativo da FDA.
Vários participantes enfatizaram o papel da FDA na proteção dos pacientes e em contactar todos os usuários de dispositivos médicos que venham a apresentar problemas.
“As estratégias de comunicação são tão importantes quanto a proficiência”, disse na reunião Paul T. Conway, presidente do Patient Engagement Advisory Committee da American Association of Kidney Patients, Patient Advocacy.
Tão importante quanto a comunicação imediata é quando acontece a identificação das preocupações com vulnerabilidade cibernética dos dispositivos médicos; a FDA não quer divulgar essas preocupações prematuramente, porque não quer prover informação a indivíduos que possam usá-la para causar danos.
Mais informações sobre vulnerabilidade cibernética e dispositivos médicos, incluindo documentos de orientação sobre segurança cibernética de dispositivos médicos antes e depois da entrada no mercado estão disponíveis no site da FDA.
Fonte: Medscape