Lisboa acolhe esta quarta-feira pela primeira vez a conferência da Agência Europeia para a Segurança das Redes e da Informação (ENISA) sobre cibersegurança nos sistemas de saúde. A SPMS – Serviços Partilhados do Ministério da Saúde, o organismo responsável pelas compras, logística e tecnologias de informação no SNS, é o parceiro nacional do encontro e o presidente Henrique Martins faz um balanço da revolução em curso. O que faz falta? Uma população melhor preparada para tirar proveito das facilidades da tecnologia, defende, o que passa pela promoção da literacia digital e formação da população mais idosa. Mas também mais divulgação por parte do pessoal administrativo, que leve as pessoas a confiar que não é preciso andarem com cartas e papelinhos na mão para serem atendidas.
O tema da conferência é “Proteção do Hospital do Futuro”. Os nossos dados, resultados de exames e análises, estão seguros nos hospitais portugueses?
Os nossos dados estão seguros mas os riscos vão aumentando. Diria que os dados dos portugueses não estão mais inseguros do que noutros países. Agora a questão é: vamos continuar como estamos ou temos de melhorar? Claramente temos de melhorar.
Tem havido muitos ataques informáticos no SNS? Noticiámos um ataque ao Hospital Garcia de Orta no fim de 2016, que levou o Ministério Público a abrir um inquérito.
Temos tido notificação de incidentes numa média de um a dois por mês. São sobretudo situações de emails que as pessoas recebem a convidar para descarregar ficheiros infectados e não necessariamente situações que puseram em risco a informação dos doentes ou sistemas dos hospitais. Mas não deixam de ser situações de risco e ainda bem que cada vez os hospitais as notificam mais. Na conferência, uma das novidades será a apresentação de uma plataforma de notificação de incidentes precisamente para termos mais informação.
Hoje já é obrigatório notificar ataques.
Sim, foi a primeira iniciativa da tutela num despacho publicado este ano. Agora passará a ser mais fácil notificar e ao mesmo tempo teremos mais estatísticas sobre este fenómeno.
Pode explicar melhor os ataques que têm acontecido?
Estamos a falar sobretudo do “phishing”. Recebemos um email normalmente sugestivo, às vezes mascarado com o nome de uma pessoa que conhecemos e que diz qualquer coisa como “enviei-te este ficheiro, vê se queres corrigir”, ou por exemplo um documento para pagamento. Quando as pessoas clicam nesse anexo, muitas vezes está infetado e tem o chamado ransomware, que condiciona o uso do computador.
É aí que é pedido um resgate para desbloquear o sistema?
Sim, daí o nome ransonware. Há muitas outras formas de ataque, problemas com rede wifi pouco protegidas. Para ajudar prevenir isto tudo estamos a enviar esta semana um flyer a todos os colaboradores do SNS com algumas dicas e que explica os vários tipos de ataque e como é que as pessoas se podem defender.
Quando houve ataques internacionais a SPMS pediu aos funcionários do SNS para não consultarem o email. Como está a cultura de segurança dentro dos serviços?
Na conferência vamos apresentar um estudo com base num inquérito às mais de 600 pessoas que se inscreveram no evento e o que se verifica é que há pessoas que, mesmo estando interessadas nesta área, não sabem o que é o ransonware. Temos noção de que há um trabalho de ensino a fazer. É por isso também que vamos criar no Centro Hospitalar Universitário e Coimbra (CHUC) uma sala só dedicada à formação em cibersegurança. Uma outra iniciativa que estamos a desenvolver com as faculdades na área da saúde é garantir que, no último ano dos curso, haja quatro ou seis horas de formação em cibersegurança. Vamos começar com um protocolo com a Universidade da Beira Interior mas estamos também em contacto com as Ordens. Queremos passar a mensagem de que a cibersegurança na saúde é uma matéria de todos, não é um matéria só dos informáticos.
Existe algum balanço do prejuízo causado pelos ataques no SNS?
A situação do Garcia de Orta foi a mais emblemática mas resolveu-se com sucesso e não houve perda de dados clínicos.
Mas foi pago o resgate?
Isso não lhe posso responder.
Os peritos defendem que não se devem pagar os resgates, pois incentiva novos ataques. É isso que recomendam?
Sim, claramente não se deve pagar o resgate. O segredo é ter a informação noutro servidor e utilizar o backup para repor os dados. É esse o caminho: não ceder à chantagem dos atacantes. Para isso o essencial é trabalhar na melhoria dos data centers dos hospitais e dos centros de saúde e na redundância. Não é uma questão de ser mais seguro usar-se ou não uma cloud, como por vezes se discute, mas sim ter os procedimentos de segurança corretos.
Em termos de prejuízo não há então um número?
Não tivemos até à data nenhuma situação irreparável.
E dados clínicos roubados?
Não tenho conhecimento. Mas esta situação é um pouco como o erro na medicina: temos consciência de que existe uma subnotificação e daí ser necessário esta campanha de sensibilização com o lançamento da plataforma. É mais importante que as pessoas falem sobre o problema do que fingirem que não existe problema. Quando as entidades não nos dizem nada, não sabemos quais são mais frágeis nem como ajudá-las.
Diz-se que a saúde é o setor mais atacado por hackers. É porque as bases de dados dos hospitais são valiosas para entidades externas ou é por ser informação crítica que as instituições fazem tudo para recuperar?
Provavelmente é uma mistura das duas coisas. Em Portugal estamos num acelerado processo de transformação digital, é uma das metas do governo. Isto significa que as instituições cada vez mais dependerão desta informação, mas isto deve fazer com que tenham o cuidado igualmente de ter planos de redundância e contingência. No fundo, uma forma de proteção é não desaprenderem de como tratar da saúde dos portugueses sem a tecnologia porque vai sempre haver problemas relacionados com a disponibilidade do sistemas.
Por vezes temos essa queixa dos médicos, de dificuldades informáticas que consomem demasiado tempo.
Os profissionais de saúde, como todos os profissionais, gostam de ter ferramentas ágeis, que tudo funcione bem. Estamos numa fase de mudança. O debate desta quarta-feira é mais centrado na área hospitalar e hoje os hospitais ainda estão em patamares muito diferentes. Há hospitais que ainda estão muito papel e outros que já estão muito no digital. Os que estão pior são os que estão no meio, nesse processo de transição em que os profissionais ainda não conseguem fazer tudo no computador mas também não podem fazer no papel.
Um exemplo do arcaico ao futurista?
Por exemplo o hospital de Ovar já tem gabinetes de consulta sem papel e sem impressora: o doente sai sem papel da consulta. O mais arcaico talvez seja um problema que ainda temos na oncologia. O IPO de Lisboa há um ano deu um salto muito grande, estava praticamente em papel e hoje os registos são quase todos eletrónicos. O IPO de Coimbra também quer evoluir.
Nessa área há sempre algum receio de que os dados dos doentes sejam desviados, de que podem ser vendidos a seguradoras, à banca…
Acho que o perigo na obtenção de dados no caso português está mais no comportamento de algumas pessoas que podem indevidamente aceder a dados dentro das organizações – até com passwords corretas e legitimidade de acesso mas fazendo-o para fins indevidos – do que propriamente num hacker.
Está a dizer que há pessoas a desviar dados no SNS?
Estou a dizer que o risco disso acontecer é maior do que propriamente as redes não serem seguras ao exterior.
Mas já houve casos desses, de profissionais de saúde que tenham acedido a dados de doentes portugueses para os facultarem a entidades externas?
Que nós tenhamos conhecimento, não. O facto é que há pessoas que se preocupam com isso e querem saber quem acedeu aos seus dados.
No portal do utente já é possível pedirmos para saber quando alguém acede à nossa informação. Foi por isso que criaram essa funcionalidade?
Exatamente. A nossa visão é que cada vez mais os softwares permitam essa funcionalidade, em linha com o Regulamento Europeu de Proteção de Dados que entra em vigor no próximo ano. Sempre que há um acesso ao registo de saúde eletrónico ou ao testamento vital, hoje já pode pedir para receber uma mensagem e queremos que isto aconteça com todos os sistemas. Isto não é considerado pelos teóricos uma questão de segurança mas de privacidade, mas para as pessoas comuns, os doentes, são temas que se misturam.
Mas voltando à oncologia, os receios da Comissão Nacional de Proteção de Dados, que foi colocando reticências ao Registo Oncológico Nacional – que deverá avançar agora em janeiro de 2018 – pareceram-lhe exagerados?
Em relação ao Registo Oncológico Nacional, penso que temos a legislação que foi a possível na atual conjuntura mas que talvez seja securitária, demasiado conservadora. Se esse é o receio, hoje as seguradoras têm muitas formas de conhecer as pessoas, muitas vezes são os próprios a responder a inquéritos. Creio que não foi por isso ou medo das seguradoras, até porque não queria discriminar entidades, mas porque de facto falta ao Estado uma entidade que possa gerir os dados em saúde e que possa ser inspecionada e que seja o garante destas matérias de segurança e privacidade.
Como assim?
Hoje os investigadores têm de solicitar dados a diferentes instituições, o mesmo se passa com as seguradoras. Quando alguém quer fazer uma investigação sobre cancro, os dados não estão só nos IPO ou nos hospitais, vão estar nos softwares de receitas, no sistema de informação de óbitos. A informação está espalhada e era melhor, mais seguro, que houvesse um quadro legislativo homogéneo e uma entidade responsável por determinar as condições de segurança, de acesso e até partilha de informação. Se partilharmos os dados de forma protegida, garantindo privacidade, vai haver menos tendência a tentar-se obter informação de forma indevida. Temos defendido uma lei de dados em saúde e acredito que é esse o caminho.
Uma das questões que vão debater é a interoperabilidade dos sistemas, que continua a ser um problema no SNS.
É um desafio em todos os países. Temos publicadas regras técnicas e estamos a ligar todos os softwares ao Registo Nacional do Utente (RNU), que hoje está completamente atualizado. Há cinco anos tínhamos 12 milhões de inscritos…
Quantas pessoas já tinham morrido?
Milhares de pessoas, mas entre mortos e duplicados tínhamos dois milhões de utentes a mais. Hoje em dia quando é emitido o certificado óbito, no circuito de vida do cartão de cidadão, essa informação chega ao serviços de notariado e todos os sistemas dos ministérios passam a dar a pessoa como falecida. Mas portanto estamos a instalar uma plataforma de interoperabilidade em todos os sistemas de saúde e já temos vários projetos como a carta de condução, em que a plataforma da saúde comunica com a plataforma do Instituto de Mobilidade e Transportes. Isto é um puzzle complicado, alguns softwares têm mais de 20 anos mas estamos a ligá-los.
E nesse processo, que incongruências têm encontrado? Há pouco tempo o ministro da Saúde dizia que hoje os doentes podem estar inscritos em mais de um médico de família, logo inscritos para consulta em mais de um hospital…
Quando ligamos pela primeira um hospital ao RNU é normal que haja alguns registos de pessoas que, tendo morrido fora desse hospital, continuam no sistema. A partir do momento em que os sistemas estão em comunicação, a informação passa a circular, por exemplo libertando consultas que ficam disponíveis para outras pessoas.
Nos últimos anos houve uma série de medidas de desmaterialização, das receitas às credenciais que deixaram de ser impressas. Além do eventual conforto, qual foi a poupança?
As receitas sem papel permitiram poupar largos milhares de euros, não só em papel mas na conferência de faturas. O centro de conferência de faturas que é operado pela ACSS viu o contrato prolongado quase por um ano porque não se tinha gasto todo o orçamento.
Está a falar de horas de trabalho que não tinham sido usadas?
Sim, a conferência de faturas em papel é um processo muito mais moroso. Mas diria que a área em que se poupa mais dinheiro é nas deslocações dos portugueses. Há muitas pessoas que já telefonam ao seu médico e recebem um sms com a receita.
Isso deve ser só para quem tem médico de família e disponível…
Há muita gente com o telefone do médico de família, do cirurgião. No setor público todos os dias há mais de 8000 pessoas que adquirem receitas só com o sms.
O Estado foi atrás do privado nessa facilidade de os doentes poderem ligarem aos médicos?
O contacto direto entre o doente e o profissional sempre existiu no público e no privado. No privado parece mais óbvio mas não sei se numericamente é verdade que é mais comum. Sou médico e lembro-me perfeitamente de dar o meu telemóvel. E não conheço nenhum cirurgião que não facilitasse o seu telemóvel no período pós cirúrgico ou um pediatra. Tem mais a ver com a prática de cada profissão do que com o segmento em que trabalha. Dito isto, o Estado tem um problema no contacto com os cidadãos e é por isso que foi feita agora uma aposta grande no Centro de Contacto do SNS [antiga linha de Saúde 24] para resolver este problema que existe, que é eu tentar ligar para um hospital e às vezes não conseguir falar com ninguém.
Mas já podemos ligar para o centro de contacto e pedir para falar para o nosso centro de saúde?
Ainda não, mas vamos trabalhar nesse sentido. Mas já pode telefonar e pedir para agendar uma consulta.
E o pessoal no call center passa horas à espera de resposta, não?
Fazem as marcações no software, lá está mais uma questão de operacionalidade. Marcam na agenda do médico.
E quem não tem médico de família tem de ficar com a primeira consulta disponível, não pode escolher hora… É o que acontece quanto tentamos marcar online.
Temos as mesmas limitações. Enquanto não houver médicos de família para todos os portugueses teremos sempre dificuldades. Mas a partir do momento em que gerimos num call center centenas de chamadas por dia, damos mais espaço para que as pessoas no terreno possam trabalhar. Outra iniciativa que estamos a promover para os médicos de família que o pretendam é que os doentes possam interagir com eles por email.
Este ano?
No início de 2018. Hoje em dia já é possível enviar um email para o centro de saúde na área do cidadão no portal do SNS e queremos uma maior proximidade. Vamos começar com um projeto piloto e temos 700 médicos de família que se mostraram interessados em receber mensagens diretas dos doentes. Claro que hoje em dia já há pessoas que partilham imagens e ficheiros com os seus médicos, mas fazem-no de forma não segura, usam o WhatsApp, emails pessoais. Queremos que os cidadãos interajam com o sistema mas sobretudo que isto seja rastreável e auditável, que a informação circule nos servidores do Ministério da Saúde e não em servidores nos Estados Unidos. É preciso encontrar um equilíbrio entre o que é cómodo e moderno e o que é seguro.
A ideia de marcar consultas pela televisão quando arranca?
Vamos lançar o concurso público e, se tudo correr bem, esperamos no próximo ano por esta altura já ter essa ferramenta.
Mas será no menu onde está a Netflix?
Não lhe sei responder nesta fase. O concurso será para um canal SNS.
Que terá também conteúdos?
Sim, queremos ter um canal que responda a essa necessidade de comunicarmos mais com as pessoas. Queremos as duas coisas, um canal de conteúdos e usar a ligação da televisão à internet para aceder a uma página que permita marcar consultas. Queremos sobretudo segurança, mais vale usar tecnologias seguras do que ir correr atrás da última app.
O que destaca do programa da conferência?
Acho que vai ser interessante ver como estas questões são tratadas noutros países. Vamos também dar a conhecer um protocolo com a Associação Nacional das Farmácias para a cibersegurança e por último dar a nota de que isto não é só uma coisa de computadores: dispositivos médicos, ventiladores, pacemakers, também são objetos de preocupação. Têm software que, no limite, também pode ser atacados. É tão importante como a segurança da informação clínica.
Quando olha lá para fora, o que causa mais inveja?
Falta-nos um povo mais preparado para o digital.
Temos uma população envelhecida.
Temos de resolver esse problema, informatizar as pessoas mesmo as mais velhas. Os meus pais têm 70 e muitos anos e aprenderam a usar o WhatsApp.
É uma questão de estímulo?
Acho que sim. Não devemos desistir das pessoas por serem mais velhas e não podemos desistir da literacia digital. Neste momento temos muitas soluções digitais, melhores que muitos países mais ricos da Europa, mas o cidadão comum não está preparado para as usar, quer dizer que o Estado não está a tirar o máximo benefício do investimento feito.
Mas em termos práticos o que pode ser feito?
Temos tido algumas iniciativas com câmaras municipais e universidades seniores. Podem promover iniciativas de formação sobre como se usam os portais. Mas é preciso chegar ao cidadão nos espaços de atendimento, mostrar-lhes que dá para recorrer ao digital em vez de ficar à espera da carta, do papelinho.
Mas as pessoas parecem continuar a confiar mais em levar um papel.
É uma questão de tempo. As companhias aéreas começaram a emitir bilhetes eletrónicos há 20 anos e hoje ainda há pessoas que levam o papel impresso em mão, vão com medo de que alguma coisa falhe e não tenham voo. É uma questão de confiança.
Há razão para confiar no SNS? As pessoas podem pensar que se forem só de telemóvel ainda as mandam para trás…
Há de tudo. Mas tem razão, além dos cidadãos terem vontade de usar, os próprios serviços têm de ser promotores dessa mudança, por exemplo pedirem o email aos utentes. O número de pessoas com email no SNS está a aumentar mas ainda é uma percentagem baixa, não mais de 10%. É um trabalho que está a ser feito mas a um ritmo algo lento.
Há pouco falou de compensar o investimento. Existe uma estimativa do investimento feito nesta área?
Entre orçamento central e orçamento espalhado pelas instituições estamos a gastar 180 milhões de euros por ano, o que é pouco dinheiro. As pessoas dizem que no setor da banca está tudo online: a média hoje é gastar-se 3% a 5% do orçamento em tecnologias de informação. Se fizermos as contas no SNS, estamos a gastar menos de 2% do orçamento nesta área. Há ainda um trabalho de investimento grande a fazer se queremos seguir este caminho do digital.
Qual é o perigo?
Ficarmos para a historia como um sistema antiquado. Não há futuro que não passe pelo digital.
Mas quando ouvimos queixas de equipamentos médicos obsoletos, esta área pode não ser uma prioridade.
Com certeza, mas o risco é a informação perder-se, as pessoas chegarem para ser consultas ou para terem uma cirurgia e os computadores estarem todos desligados como já aconteceu em Inglaterra porque tinha havido um ataque e não houve capacidade para resolver o problema em tempo útil.
