Por Ivan Marzariolli
Se os hackers atacam uma organização no setor de serviços financeiros, engenharia ou manufatura, os riscos são basicamente monetários. Mas no que diz respeito a cibersegurança em healthcare, além do risco financeiro, a saúde e bem-estar das pessoas também estão em perigo.
Nos Estados Unidos, de acordo com o Departamento de Saúde e Serviços Humanos, houve um aumento de quase 50% nas violações de dados de segurança cibernética de saúde entre fevereiro e maio de 2020, em comparação ao ano de 2019. Acredita-se que seja o resultado da pandemia causada pela COVID-19 que trouxe mudanças radicais necessárias e desviou o foco, causando uma pressão extra sobre as medidas de segurança cibernética já inadequadas. De acordo com Natali Tshuva, CEO e cofundador da Sternum, uma empresa de segurança cibernética de IoT – Internet das coisas, “os hackers sabem que o setor de saúde tem falhas em termos de segurança cibernética e isso os motiva a criar mais ataques”.
Se há algo que os hackers gostam é um alvo que é ‘leve’ e grande, por isso organizações complexas em setores que demoram a adotar tecnologias digitais seguras são os alvos preferidos. Essas organizações geralmente têm superfícies de ataque (conjunto de pontos no limite de um sistema) amplas e, em sua maioria, mal defendidas, ‘o que permite aos hackers muitas rotas de entrada para não apenas exfiltrar dados, mas também comprometer serviços e os sistemas de hardware.
No geral, segmento de saúde é um dos alvos mais visíveis e fáceis. Os ataques cibernéticos bem-sucedidos em hospitais geralmente causam problemas com os dados dos pacientes e a rotina de fluxos de trabalho, como agendamento de medicações, gerenciamento de recursos e outros serviços essenciais.
Como o healthcare lida com os riscos cibernéticos?
Um estudo da consultoria Independent Security Evaluators (ISE) descobriu que a indústria se concentra quase exclusivamente na proteção dos registros de saúde das pessoas e raramente aborda a proteção da saúde do paciente, a partir da perspectiva de uma ameaça cibernética. Com esse foco, as organizações percebem os atores de ameaças como ‘adversários não sofisticados’, como hackers individuais. O ISE acredita que estas instituições ignoram o potencial de ataques cibernéticos mais sofisticados a hospitais por grupos políticos de hackativistas, do crime organizado e terroristas que são altamente motivados e bem financiados e ‘como resultado diversas superfícies ficam desprotegidas e as estratégias de ataque que podem resultar em danos aos pacientes, não são levadas em consideração’.
Ataques cibernéticos e uma morte
Em setembro de 2020, o Universal Health Services (UHS), uma rede de hospitais e serviços de saúde com mais de 400 instalações nos EUA, Porto Rico e Reino Unido, foi atacado pelo ransomware russo ‘Ryuk’. Este não foi o primeiro ataque cibernético a um hospital da rede UHS. A empresa de segurança, Advance Intel por meio da plataforma de inteligência Andariel, relatou que o malware trojan infectou o Universal Health Services no decorrer de 2020.
A rede UHS não confirmou os detalhes do ataque, mas relatórios de funcionários do UHS indicam que o ataque foi resultado de uma expedição de phishing bem-sucedida. O ataque desativou computadores e sistemas telefônicos e forçou os hospitais a voltarem a usar sistemas manuais, em papel, para continuar as operações. Também tiveram que redirecionar ambulâncias e mover pacientes cirúrgicos para outras instalações não afetadas.
No geral em organizações grandes e complexas, limpar e restaurar o sistema não é algo simples ou rápido. Um comunicado de imprensa do UHS, em 12/10/2020 anunciou “… não tivemos nenhuma indicação de que os dados de qualquer paciente ou funcionário foram acessados, copiados ou utilizados indevidamente”. Afirmou ainda que as operações voltaram ao normal após um total de 16 dias. Esse tempo de inatividade custou mais de US$ 1.000.000 por dia ou mais, o que representou um sério golpe nas finanças do UHS. Não se sabe se a instituição pagou o resgate.
Um ataque cibernético sempre traz consequências às organizações, mas quando um ransomware atinge o segmento saúde, há um risco real de morte. No caso do UHS houve rumores não confirmados de que quatro pacientes morreram porque os médicos tiveram que esperar os resultados de exames laboratoriais entregues por mensageiros, em vez da entrega eletrônica. Embora esses sejam rumores, há um caso conhecido de um paciente que morreu devido a um ataque de ransomware em um hospital na Europa em setembro de 2020.
A nota entregue pelo ransomware mostrou que o alvo pretendido não era de fato o hospital, mas sim a Universidade Heinrich Heine. A polícia contatou os hackers por meio das instruções na nota de resgate deixada pelo malware e explicou o erro, após o qual os hackers retiraram sua solicitação e forneceram a chave de descriptografia. Porém, um paciente com doença grave encaminhado a outro hospital distante, faleceu.
Proteção aos sistemas críticos é fundamental
A chave para proteger seus sistemas contra malware e phishing é monitorar e examinar todas as comunicações de rede. Agora que a criptografia está se tornando a norma para todas as comunicações pela Internet, observar “dentro” dos fluxos de mensagens requer novas abordagens e tecnologias para que as ameaças incorporadas sejam detectadas e tratadas antes que possam se transformar em desastres, principalmente em segmentos essenciais que envolvem a saúde das pessoas.
*Ivan Marzariolli