Prontuário eletrônico do paciente: roubo de dados por hackers ainda é possível

Berlim/Hanôver. Pouco antes da virada do ano de 2024/25, o clima de tranquilidade entre os responsáveis ​​pelo prontuário eletrônico do paciente (PEP) chegou a um fim abrupto: hackers do Chaos Computer Club (CCC) demonstraram, na conferência anual do clube, como o novo sistema digital poderia ser invadido – de forma a potencialmente conceder acesso a milhões de registros. Como resultado, a implementação do PEP foi inicialmente adiada e cerca de cinco por cento dos segurados se opuseram ao seu uso.

O prontuário eletrônico do paciente (ePA, na sigla em inglês) foi oficialmente implementado e, desde 1º de outubro, tornou-se obrigatório para os profissionais de saúde. Nos últimos meses, também foram feitas melhorias significativas nas medidas de segurança: a Gematik, agência federal para medicina digital, implementou diversos aprimoramentos após denúncias do Chaos Computer Club (CCC). Embora invadir o ePA seja mais difícil hoje em dia, não é impossível.

Os especialistas em TI do CCC criticam um detalhe em particular que ainda torna a ferramenta recém-introduzida vulnerável. Segundo a Gematik, uma solução está a caminho, mas não antes do ano que vem.

Finalmente chegou: o prontuário eletrônico do paciente já está em funcionamento. Mas muitos pacientes ainda têm dúvidas: como acessar o prontuário? Quem decide quem pode ver o quê? E: quão seguros são os dados sensíveis?

Para entender o problema, é preciso compreender como funciona o prontuário eletrônico do paciente (ePA). Atualmente, qualquer pessoa que deseje acessar o prontuário de um paciente precisa do cartão de identificação da clínica e, em segundo lugar, dos dados completos do segurado. Especificamente: o número do cartão, o número do plano de saúde, o endereço e a data de início da cobertura. A Gematik já resolveu essa questão: a combinação anterior de número do cartão e número do plano de saúde, por si só, não é mais suficiente para o acesso. Além disso, após críticas do Chaos Computer Club (CCC), os desenvolvedores limitaram o número de acessos possíveis.

Os obstáculos para um ataque, portanto, tornaram-se significativamente maiores, mas não intransponíveis. Dados como endereços podem ser obtidos por meio de vazamentos de dados , e outras informações por meio de phishing. Na conferência anual do CCC, os especialistas em TI Bianca Kastl e Martin Tschirsich também demonstraram como obtiveram cartões de seguro saúde fazendo ligações para empresas de seguro saúde – e até mesmo carteiras de identidade de médicos explorando uma vulnerabilidade de segurança. Em abril, os hackers demonstraram novamente como o prontuário eletrônico do paciente (ePA) pode ser atacado por meio do chamado procedimento de certificado substituto. Posteriormente, a Gematik também corrigiu essa falha de segurança.

No entanto, isso ainda não é totalmente satisfatório para os hackers: a forma como a agência lida com as vulnerabilidades de segurança é "claramente aprimorável", disse Kastl à RedaktionsNetzwerk Deutschland (RND). Para minimizar efetivamente o risco, o especialista em TI gostaria de ver implementado um procedimento muito específico para o prontuário eletrônico do paciente (ePA).

Todas as pessoas com seguro de saúde obrigatório podem ler e gerenciar seu prontuário eletrônico em seus smartphones. No entanto, poucas realmente o fazem. É importante, por exemplo, bloquear documentos confidenciais.

“Atualmente, tudo o que é necessário para acessar um prontuário eletrônico do paciente (ePA) é uma grande quantidade de informações: números de cartão, números do plano de saúde, endereço e a data de início da cobertura do seguro”, explica Kastl. “O problema poderia ser resolvido lendo apenas os dados assinados e autênticos do cartão do plano de saúde. Isso permitiria a verificação criptográfica, sem qualquer dúvida, de que um cartão emitido por uma operadora de saúde está sendo lido – uma tecnologia segura, portanto, já existe há algum tempo, mas ainda não foi utilizada para o ePA.”

Segundo a Gematik, um procedimento exatamente desse tipo está previsto para o próximo ano, conforme informado pela agência à RND. Trata-se de um procedimento de "Comprovação de Presença do Paciente" (PoPP). Questionada sobre a proposta do CCC para uma assinatura criptográfica digital, a agência declarou: "Sim, um procedimento desse tipo está planejado com o PoPP". No entanto, ele ainda está em desenvolvimento, portanto, nenhum detalhe pode ser fornecido.

Tecnicamente, o processo deve funcionar da seguinte forma: o paciente insere seu cartão do plano de saúde no dispositivo no consultório médico, como antes. No entanto, em vez de simplesmente ler os dados do cartão, um processo de desafio-resposta é executado em segundo plano. O serviço PoPP – parte do sistema de segurança – gera um número aleatório e o envia para o cartão do plano de saúde. O cartão criptografa o número e envia o resultado de volta. Somente se o número aleatório tiver sido criptografado corretamente é que o cartão é considerado genuíno e fisicamente presente. As autoridades não especificaram inicialmente uma data de início precisa para 2026.

Até lá, pelo menos um risco residual permanece. Especialistas em TI apontam repetidamente para os perigos que podem surgir de medidas de autenticação inadequadas nos registros eletrônicos de pacientes (ePA). Kastl cita um caso de Singapura: "Em 2018, os dados de saúde de 1,5 milhão de pessoas foram acessados . O alvo era também a lista de medicamentos do primeiro-ministro." Dados com essa sensibilidade tornam esses vazamentos "um risco para nações inteiras", pois possibilitam ataques a outras infraestruturas críticas ou a políticos, explica o especialista.

Kastl cita como outro caso a violação cibernética ocorrida na Bitmarck, uma provedora de serviços de TI para seguradoras de saúde públicas e fornecedora do prontuário eletrônico do paciente (ePA) em 2023. Nessa violação, dados como nomes, datas de nascimento e o número de registro médico exclusivo do cartão do plano de saúde de aproximadamente 300.000 clientes online de diversas seguradoras foram comprometidos. Na época, especialistas em TI também identificaram medidas de autenticação inadequadas como uma das causas da violação .

Para indivíduos, esses ataques podem ter consequências graves. Na Dinamarca, um país com uma infraestrutura digital muito mais desenvolvida, criminosos obtiveram acesso às informações mais pessoais de dezenas de milhares de pacientes por meio de um consórcio de clínicas médicas, incluindo prontuários médicos. Allan Frank, especialista em segurança de TI da Agência Dinamarquesa de Proteção de Dados, declarou à RND na época que esses dados íntimos poderiam ser usados ​​para tentativas de extorsão – afinal, pouquíssimos dos afetados desejariam que seus tratamentos se tornassem públicos.

Na Alemanha, a maioria dos pacientes aparentemente se sente bastante segura com seu prontuário eletrônico (ePA, na sigla em inglês) – apesar de suas deficiências. Algumas semanas atrás, a Gematik publicou dados atualizados sobre o uso. Esses dados mostraram um aumento ainda maior durante as primeiras quatro semanas, período em que consultórios médicos, farmácias e hospitais deveriam utilizar o ePA para todos os pacientes.

Na última semana de outubro, foram registradas 17,4 milhões de solicitações de listas de medicamentos. Na última semana de setembro, esse número foi de 12,6 milhões. O número de registros de pacientes também está aumentando: 10,6 milhões de documentos foram carregados somente em outubro. O total desde o lançamento do prontuário eletrônico do paciente (ePA) é de 37 milhões.

A proporção de pessoas que se opuseram ao prontuário eletrônico do paciente (ePA) permanece relativamente baixa. Conforme informado pela Associação Nacional de Fundos de Seguro Saúde Estatutários (GKV-Spitzenverband) à rede de notícias RND, a taxa de objeção permanece em aproximadamente cinco por cento.