Hospitais, assim como órgãos e empresas vinculadas ao setor de saúde, têm se destacado como os principais alvos para os cibercriminosos. Em um cenário como o atual, um ataque cibernético a um hospital pode ter consequências ainda mais severas. Para compreender essa situação, a ESET, empresa especialista em detecção proativa de ameaças, explica as razões que fazem o setor de saúde ser atrativo para os criminosos virtuais.
No mês de abril, a INTERPOL emitiu um comunicado alertando sobre um crescimento significativo de ataques de ransomware direcionados a hospitais de diferentes países. Nos Estados Unidos, o FBI publicou um alerta em decorrência do aumento de golpes dirigidos a organizações de saúde e entidades governamentais. Também foi lançado um alerta que fazia referência a e-mails de phishing dirigidos a provedores do setor de saúde americano. Além disso, a principal agência de cibersegurança da República Tcheca publicou uma advertência manifestando preocupação frente a uma possível investida em grande escala, especialmente dirigido a hospitais e ao setor de saúde em geral.
Neste contexto, o Laboratório de Pesquisa da ESET explica os pontos que ameaçam o setor de saúde:
- Temas de interesse da população em geral geralmente se tornam alvos de ataques: Várias empresas têm alertado, nas últimas semanas, sobre o aumento de campanhas maliciosas que tentavam tirar proveito da preocupação pelo avanço da pandemia de Covid-19 e, também, do interesse em particular pelo setor de saúde como alvo de ameaças. Um exemplo disso foi o importante aumento que as campanhas maliciosas que tentam aproveitar o tema do Coronavírus para fazer vítimas e comprometer dispositivos nos últimos meses;
- Um setor crítico: O setor de saúde está em evidência e por isso, vem sofrendo ataques de ransomware, já que a interrupção da continuidade dos serviços pode ter um impacto significativo para a comunidade. A necessidade de resolver, com urgência, qualquer tipo de incidente é um ponto a favor na negociação para um cibercriminoso. Outros aspectos que o fazem um alvo de interesse são a falta de capacitação em segurança dos profissionais da saúde, a existência de múltiplas vulnerabilidades pelo uso de softwares obsoletos, a multiplicidade de dispositivos IoT que se utilizam ou a sensibilidade da informação que gerenciam;
- Sensibilidade de dados e informação: Os prontuários médicos contêm informações privadas e pessoais que não deveriam cair em mãos indevidas. Os relatórios médicos integram informações sensíveis da indústria, como o desenvolvimento de novas drogas e tratamentos, dados de pesquisas médicas, resultados de tratamentos experimentais, entre outros. Neste contexto, um ataque de ransomware, por exemplo, deixaria um médico sem acesso a registros de saúde em meios eletrônicos e sem a possibilidade de usar métodos de avaliação digital devido ao incidente;
- Os ciberataques ao setor de saúde não são novos: As violações de dados e ransomwares que as organizações de saúde dos Estados Unidos sofreram em 2019 representaram um custo estimado em US$ 4 bilhões ao setor. Cinco organizações de atenção médica do país reportaram ransomwares em apenas uma semana de junho do ano passado, o que provocou, por exemplo, o fechamento de um centro de práticas médicas no Estado de Michigan depois da negação do pagamento de resgate aos criminosos. Em uma comparação feita com os setores de educação, atenção médica, finanças e serviços profissionais em geral, a porcentagem de ataques dirigidos a entidades de atenção médica representou 41%, sendo o mais alto entre os setores;
- Casos de ciberataques a hospitais e centros de saúde: Nos últimos anos, foi registrada uma grande quantidade de ameaças cibernéticas a hospitais, organizações e empresas do setor sanitário em diferentes países. Em relação a vazamento de dados, o laboratório clínico norte-americano Quest Diagnostics, que opera nos Estados Unidos, Reino Unido, México e Brasil, foi vítima de um vazamento em meados de 2019 que afetou quase 12 milhões de pacientes. Na França, um ataque provocou um apagão cibernético em 120 hospitais do país e, embora não tenha tido consequências para os pacientes, obrigou os profissionais a terem que recorrer ao lápis e papel. Algo semelhante ocorreu na Austrália e nos Estados Unidos na segunda metade de 2019, quando vários hospitais e provedores de saúde se viram afetados por ataques de ransomware que os forçaram a apagar parte dos sistemas e impossibilitaram o acesso a computadores comprometidos.
- Em janeiro de 2020, uma investida ao Hospital Universitário de Torrejón, em Madri, afetou a disponibilidade de vários de seus sistemas cibernéticos. Ainda que não tenham sido conhecidos os detalhes do incidente, é possível que tenha se tratado de um ransomware, já que o malware utilizado bloqueou os sistemas impossibilitando o acesso aos históricos clínicos dos pacientes e obrigando os profissionais a realizarem informes médicos de forma manual. Quase um mês depois do incidente, o hospital havia conseguido recuperar 80% dos sistemas.
- Ecossistema vulnerável: Outro aspecto que faz desse setor vulnerável é o uso de software desatualizado ou não compatível. Um informe publicado pelo Forescout em 2019 indicou que 70% dos computadores no setor da saúde estavam utilizando um sistema operacional sem suporte, com o Windows 7. Além disso, um estudo global, publicado em meados de 2019 pela empresa Armis, revelou que nos seis meses anteriores, 40% das instituições médicas (hospitais, clínicas, etc) foram impactadas pelo ransomware WannaCry, um código malicioso que causou estragos a nível mundial em 2017 a partir de uma vulnerabilidade que, dois anos depois, continua sem solução em múltiplos dispositivos em atividade nesse setor;
- Dispositivos IoT no setor de saúde, uma ampla superfície de ataque: O crescimento na integração de dispositivos médicos conectados à Internet supõe um risco para a segurança ao representar uma maior superfície vulnerável a ameaças cibernéticas. Na atualidade, existem milhões de dispositivos médicos utilizando IoT conectados a pacientes com informações dos seus estados de saúde. Porém, dados de uma enquete realizada pelo Irdeto em 2019 para profissionais de segurança que atuam no setor de saúde concluíram que, durante o último ano, 8 em cada 10 organizações do setor nos Estados Unidos sofreram ataques dirigidos a dispositivos IoT e que 30% deles comprometeram a segurança do usuário final.
“Estamos em um momento em que garantir o funcionamento normal das entidades de saúde se torna uma prioridade para lidar com a pandemia. É por isso que tudo relacionado à segurança cibernética não pode ser negligenciado, pois é um ponto crítico que, se não for gerenciado adequadamente, pode ser usado pelos cibercriminosos para impedir o funcionamento normal das entidades de saúde. A transformação digital chegou às entidades de saúde, e esse processo deve ser feito com segurança, cuidando da disponibilidade e privacidade dos dados”, finaliza o chefe do Laboratório da ESET na América Latina, Camilo Gutiérrez.
