Escrito por Jan Sismans
Os aplicativos de terapêutica digital (DTx) tornaram-se parte integrante da saúde, oferecendo soluções inovadoras que combinam mudança comportamental e tratamento medicamentoso. À medida que estas aplicações se tornam mais populares, o risco de ataques cibernéticos aumenta, ameaçando os dados dos pacientes e os serviços de saúde.
O aplicativo DTx é essencialmente uma ferramenta para ajudar os pacientes a promover o autocuidado e prevenir o agravamento de sua condição. No entanto, as informações contidas no aplicativo o tornam um alvo fácil para os cibercriminosos. Para os criadores de aplicativos, demonstrar cuidado ao paciente não começa e termina apenas com o fornecimento do melhor tratamento. Isto também significa proteger os pacientes contra danos, incluindo ameaças móveis.
Por que os aplicativos DTx são direcionados?
Em toda a Índia, há evidências de que as organizações estão a implementar serviços móveis para melhorar os resultados de saúde dos pacientes. Notavelmente, startups como Amaha, Lissun e Clarity estão competindo para conquistar uma fatia do mercado indiano de aplicativos de saúde mental, que deverá crescer a uma taxa composta de crescimento anual (CAGR) de 15% nos próximos quatro anos.
Embora esta seja uma tendência encorajadora, o cenário de ameaças em constante evolução torna a segurança dos dados uma preocupação crítica. Os dados dos pacientes são totalmente digitais, por isso é importante protegê-los. Existem muitas regulamentações de privacidade e proteção de dados em todo o mundo que as organizações de saúde devem cumprir em relação às informações de saúde protegidas (PHI) e às informações de saúde protegidas eletrônicas (ePHI). Estes regulamentos foram concebidos para garantir que os registos de saúde eletrónicos (EHR) armazenados em aplicações mHealth permanecem confidenciais e não podem ser comprometidos, alterados ou roubados. Regulamentações como HIPAA nos EUA, PIPEDA no Canadá, GDPR na UE, DPA e CLDC no Reino Unido. A Índia lançou sua própria versão em agosto de 2023. Lei de Proteção de Dados Pessoais Digitais (DPDP).
Além de proteger os dados nos aplicativos mHealth e DTx, os fabricantes de aplicativos estão protegendo os profissionais de saúde da ameaça onipresente do ransomware, que pode impedi-los de acessar registros eletrônicos de saúde (EHRs) e atrasar o atendimento. Você também precisa proteger seus aplicativos.
A conclusão aqui é que os aplicativos DTx estão atualmente em uma encruzilhada. A sua segurança, ou a falta dela, não só coloca em risco as informações confidenciais dos pacientes, mas também pode colocar vidas em risco.
Navegando no cenário de ameaças móveis
Os desenvolvedores de aplicativos de terapia digital devem estar cientes e abordar esses cinco ataques móveis para fornecer uma experiência segura e agradável aos pacientes.
- Roubo e perda de registros médicos eletrônicos
Existem três elementos para garantir que os dados confidenciais dos pacientes não sejam comprometidos, perdidos ou roubados: (1) Certifique-se de que apenas usuários autorizados possam abrir o aplicativo. (2) criptografar todos os dados do aplicativo e (3) criptografar a conexão entre o aplicativo e o servidor back-end.
No mínimo, os fabricantes de aplicativos devem exigir que os pacientes insiram um nome de usuário e uma senha sempre que abrirem o aplicativo. Além disso, os pacientes devem ser desconectados automaticamente após um determinado período de inatividade. Os aplicativos também usam biometria ou autenticação multifator (MFA) para aumentar a segurança do acesso e proteger contra ataques que aproveitam falsificações profundas para contornar a biometria ou que podem interceptar e roubar tokens MFA. Devem ser protegidos.
O segundo elemento do armazenamento seguro de dados é a criptografia de dados (criptografia de dados em repouso). Os fabricantes de aplicativos móveis de saúde e DTx podem conseguir isso criptografando todos os dados armazenados em seus aplicativos usando o algoritmo de criptografia AES-256. Isso deve incluir não apenas dados do paciente na sandbox do seu aplicativo, mas também dados armazenados em strings, recursos e configurações no aplicativo.
Por fim, criptografar todos os dados em trânsito garante que os dados dos pacientes enviados e recebidos não possam ser interceptados por ataques baseados em rede, como o man-in-the-middle. Por fim, os fabricantes de aplicativos devem usar as melhores práticas para validar certificados digitais do lado do cliente e do lado do servidor.
2. Técnicas de jailbreak e root
O malware permite que invasores façam jailbreak ou root em seu dispositivo para obter privilégios administrativos. Conseguir isso facilita o roubo de informações armazenadas na sandbox do aplicativo ou no cartão SD, ou cria vulnerabilidades no sistema operacional. A integração de uma solução de jailbreak ou detecção de root pode ajudar os fabricantes de aplicativos a se manterem à frente dessas estratégias. Além disso, os fabricantes de aplicativos também devem incluir recursos que impeçam os invasores de ocultar ferramentas de root, como Magisk ou Zygist.
3. Spyware, keyloggers e malware móvel direcionados a dados de pacientes em aplicativos DTx
Para garantir a privacidade e a confidencialidade dos pacientes móveis, os desenvolvedores e profissionais de segurança devem proteger os dados dos pacientes e os registros e informações eletrônicas de saúde dos pacientes (EHRs) armazenados localmente em dispositivos ou aplicativos móveis contra acesso não autorizado ou roubo. Talvez a maneira mais fácil de fazer isso seja permitir que apenas pacientes aprovados acessem seus registros por meio de aplicativos mHealth. É um dispositivo móvel poderoso com autenticação adequada para aplicativos mHealth e medidas de prevenção contra perda de dados, como prevenção de ataques de sobreposição de aplicativos, prevenção de keylogging e prevenção da funcionalidade de copiar e colar de aplicativos e criptografia de aplicativos. Isso pode ser alcançado por meio de uma combinação de proteção contra malware. prancheta.
4. Versão falsa do aplicativo DTx
A engenharia reversa permite que hackers criem uma versão falsa de um aplicativo que se assemelha a um aplicativo legítimo. Esses aplicativos são distribuídos aos usuários e permitem que invasores roubem dados pessoais, redirecionem para sites maliciosos ou induzam os usuários a comprar produtos falsos ou de baixa qualidade por meio de anúncios falsos.
As organizações de saúde podem combater essas táticas implementando soluções de proteção de aplicativos e ofuscação de código que tornam difícil para os invasores reembalarem o conteúdo do aplicativo. As organizações também devem incluir recursos de prevenção de emuladores que bloqueiem tentativas de invasores de estudar e imitar a funcionalidade de um aplicativo.
5. Prepare-se para as novas ameaças de amanhã
Os fabricantes de aplicativos devem permanecer vigilantes e atentos a novas ameaças e ataques. Os aplicativos MHealth são altamente atraentes para hackers que buscam roubar informações confidenciais de pacientes ou modificar dados de pacientes com a intenção de causar danos. Hackers e atores mal-intencionados estão sempre em busca de novas maneiras de atingir seus objetivos. Portanto, os fabricantes de aplicativos não podem estar satisfeitos com as proteções existentes em seus aplicativos e devem ter flexibilidade para atualizar facilmente as proteções à medida que surgem novas ameaças.
O aplicativo DTx é uma forma inovadora para os profissionais de saúde prestarem atendimento aos pacientes, independentemente de sua localização. No entanto, os criadores de aplicativos devem tomar muito cuidado para garantir que os pacientes estejam protegidos contra ameaças móveis. Ao incorporar as defesas recomendadas em aplicativos DTx, os fabricantes de aplicativos podem proporcionar saúde e tranquilidade aos pacientes.
O autor é evangelista de segurança de aplicativos móveis na Appdome.
me siga TwitterFacebook, LinkedIn
