Sistemas seguros para um futuro saudável


Quando Karen Sandler, advogada e ativista de software livre, era jovem, descobriu que teria que passar a vida fazendo tratamento para o coração e para evitar uma possível morte súbita, seu médico recomendou a implantação de um desfibrilador. “Meu coração é três vezes maior que um coração normal, é um problema genético e tenho alto risco de morrer subitamente, cerca de 23% a mais que pessoas que possuem um coração normal”, contou Karem durante sua apresentação na Campus Party Brasil 2017.

Após alguns anos, e as recorrentes idas ao médico para acompanhamento surgiu uma dúvida em Karem, que questionou seu cardiologista sobre qual sistema operava no dispositivo médico implantado capaz de salvar sua vida. De acordo com a advogada, nem o médico, nem o especialista responsável pela manutenção do desfibrilador souberam responder a pergunta, a única resposta que teve é que o sistema era segura e não havia com o que se preocupar.

Karen S
Karen Sandler: Os sistemas embarcados em dispositivos médicos não passam por nenhuma agência reguladora.

Foi então que ela começou a fazer pesquisas sobre segurança da informação em dispositivos médicos e descobriu que os sistemas desses equipamentos não são revisados pelas agências reguladoras, a responsabilidade por esses sistemas fica a cargo da empresa e após implantado, não há nada que a empresa ou o paciente possam fazer. “Além de ter um equipamento em meu corpo, eu teria também um software do qual eu não sabia se ele era seguro”, conta a advogada.

Muitos desses dispositivos, como o implantado em Karem, possuem comunicação via wi-fi e são facilmente hackeáveis, fazendo com que eles se tornem armas letais, ou até mesmo fontes de informação facilmente acessíveis.

Em 2015, o pesquisador de segurança, Billy Rios, revelou a descoberta de uma vulnerabilidade em bombas de infusão de medicamentos que permite a hackers alterarem o sistema e controlarem a dosagem, injetando até quantidades letais do remédio. O problema foi encontrado em dispositivos fabricados pela empresa norte-americana Hospira, que também comercializa esse equipamento no Brasil. Ao ser questionada pelo especialista a companhia não se posicionou.

Outro exemplo, foi a descoberta, em 2016, de vulnerabilidades nos sistemas de marcapassos e desfibriladores da Jt. Jude Medical Inc., fabricante de implantes cardiacos, após um paciente, Muddy Waters, contratar uma empresa de segurança para testar a vulnerabilidade de seu marcapasso. Indignada com o ato, a St. Jude negou os fatos afirmando que seus sitemas eram seguros e processou Waters.

Campus Party Brasil 2017
Campus Party Brasil 2017

Karem afirma que, esses softwares estão em IoT, ou seja, todos se comunicam, e consequentemente estão vulneráveis. Quanto mais um equipamento interage com outro, mais importantes e vulneráveis eles são. Isso significa que há consequências muito graves no caso de equipamentos médicos que estão conectados e muitas vezes o paciente não sabe dessa vulnerabilidade.

A advogada e ativista defende que uma possível solução para tornar esse segmento mais seguro para indústria e, principalmente, pacientes é a utilização de sistemas com código aberto. O software livre entra basicamente em um campo maior, onde pode ser adaptado para diferentes utilizações ou programas,sendo uma ferramenta como o kickhead e compartilhamento de códigos.

“Não sabemos se os softwares que as grandes empresas estão produzindo são realmente seguros, pois não temos acesso ao código deles. Com softwares abertos podemos ter essa noção. Ao todo, no mundo existem mais de 6 milhões de marcapassos implantados. Todos conectados e com pacientes sem acesso a esses sistemas.”

Karem finaliza dizendo que, em um futuro próximo, todos teremos algum dispositivo médico implantado no corpo, seremos cyborgs, e teremos sistemas rodando nesses dispositivos, ou seja, as empresas precisam mostrar ao paciente o acesso ao software para que tenhamos certeza de que são seguros. Uma alternativa apontada por ela é justamente manter o codígo aberto, para que usuários e comunidades de desenvolvedores trabalhem de maneira colaborativa em prol da segurança.

 

Artigo Anterior Pesquisadores da EPM/Unifesp desenvolvem técnica inovadora para examinar vasos sanguíneos em 3D
Próximo Artigo Gestores de saúde implementam lei de repasses de verbas e aumentam fiscalização da sua execução