Embora os hospitais, assim como as organizações e empresas ligadas ao setor da saúde, se destaquem há algum tempo por serem um dos principais alvos de ataques dos cibercriminosos, em um contexto como o atual no qual enfrentamos uma pandemia, um ataque digital a um hospital pode ter consequências ainda mais graves. Infelizmente, em vários países em que o sistema de saúde entrou em colapso, devido à alta taxa de infecções provocadas pela Covid-19, os ataques direcionados ao setor de saúde parecem não parar.
Neste mês, a INTERPOL divulgou um comunicado alertando para um crescimento significativo de ataques de ransomware contra hospitais em diferentes países do mundo. Nos Estados Unidos, o FBI, por sua vez, publicou recentemente um alerta como resultado do aumento de golpes direcionados a organizações de saúde e entidades governamentais. Nessa mesma semana, o FBI lançou um novo aviso referente a e-mails de phishing direcionados a prestadores do setor de saúde nos EUA. Como se isso não bastasse, a principal agência de cibersegurança da República Tcheca publicou um alerta na semana passada, expressando sua preocupação com um possível ataque em larga escala contra hospitais e o setor de saúde em geral.
Para entender melhor esse cenário, analisamos os motivos que tornam o setor de saúde um alvo atrativo para os cibercriminosos.
Primeiro, é importante esclarecer que os cibercriminosos sempre se aproveitam de temas que sejam de interesse dos usuários para planejar seus ataques. Um exemplo disso foi o aumento significativo nos últimos meses de campanhas maliciosas que tentam se aproveitar da pandemia provocada pelo novo coronavírus para enganar os usuários e atacar seus dispositivos. Sem falar no interesse explícito dos cibercriminosos na clandestinidade da dark web para analisar formas de se aproveitar da situação atual do coronavírus para realizar ataques.
Um setor crítico
O setor de saúde desempenha um papel vital para o bem-estar de uma sociedade, pois trabalha com nada mais e nada menos do que com a saúde das pessoas. Isso torna este setor um alvo perfeito para extorsão por meio de um ataque de ransomware, pois, como a interrupção na continuidade dos serviços fornecidos pode ter um impacto significativo na comunidade, gera a necessidade de resolver urgentemente qualquer tipo de incidente, sendo um ponto importante na negociação realizada por um cibercriminoso.
Mas, além do papel essencial do setor de saúde, outros aspectos o tornam um alvo de interesse, como a falta de treinamento em segurança digital para profissionais de saúde; a existência de múltiplas vulnerabilidades devido ao uso de software obsoleto; a multiplicidade de dispositivos IoT que são usados ou a sensibilidade das informações que eles administram.
Confidencialidade dos dados e das informações
"Os relatórios médicos dos pacientes contêm informações pessoais e privadas relacionadas a aspectos da vida das pessoas, o que pode levar a extorsão por cibercriminosos que tentam realizar ameaças com a divulgação dessas informações confidenciais”, explicou o Escritório de Direitos Civis dos Estados Unidos cerca de um ano atrás. Além disso, o escritório alertou sobre algumas práticas predominantes e emergentes dos cibercriminosos que o setor de saúde deve ter em conta para evitar ser vítima de um incidente de segurança.
Além dos relatórios médicos, devemos incluir outras informações confidenciais tratadas pelo setor de saúde: o desenvolvimento de novos medicamentos e tratamentos, dados de pesquisas médicas, resultados de testes de tratamentos experimentais, dados genéticos, entre outros.
Nesse contexto, um ataque de ransomware, por exemplo, deixaria um médico sem acesso a registros eletrônicos de saúde e sem a possibilidade de usar métodos de diagnósticos digitais devido ao incidente.
Os ataques cibernéticos ao setor de saúde não são de agora
Os vazamentos de dados e os ataques de ransomware sofridos pelas organizações de saúde, em 2019, nos Estados Unidos custaram ao setor cerca de US$ 4 bilhões. Cinco organizações de saúde nos EUA relataram ataques de ransomware em uma única semana em junho do ano passado, fazendo com que, por exemplo, um centro de prática médica no estado de Michigan fosse fechado após se recusar a pagar um resgate aos atacantes.
Em uma comparação realizada entre setores como educação, saúde, finanças e serviços profissionais em geral, o percentual de ataques direcionados a entidades de saúde representou 41%, sendo o maior entre os setores. Além disso, foi detectado que os ataques estão se tornando mais severos e sofisticados.
Casos de ciberataques a hospitais e centros de saúde
Nos últimos anos, houve um grande número de casos de ataques digitais a hospitais, organizações e empresas do setor de saúde em diferentes países. Com relação às brechas de dados, o laboratório clínico norte-americano, Quest Diagnostics, que funciona nos Estados Unidos, Reino Unido, México e Brasil, foi vítima de uma brecha de dados conhecida em meados de 2019 e que afetou quase 12 milhões de pacientes.
Em relação aos ataques de ransomware, o surto do WannaCry em 2017 infectou 700.000 computadores em 16 hospitais e centros de saúde no Reino Unido, impossibilitando o acesso de profissionais a computadores e fazendo com que fosse necessário cancelar as consultas dos pacientes. Mas, nos anos seguintes, vários ataques de ransomware também foram registrados e 2019 não foi exceção.
Na França, por exemplo, um desses ataques que ocorreram no ano passado causou um blecaute digital em 120 hospitais no país e, embora não tenha tido consequências para os pacientes, fez com que os profissionais tivessem que usar lápis e papel. Algo semelhante aconteceu em hospitais e serviços de saúde na Austrália e nos Estados Unidos no segundo semestre de 2019, quando vários hospitais e prestadores de serviços de saúde foram afetados por ataques de ransomware que os forçaram a desligar parte de seus sistemas e impossibilitaram o acesso aos computadores comprometidos.
Em janeiro de 2020, um ataque ao Hospital Universitário Torrejón, em Madri, afetou a disponibilidade de vários de seus sistemas de computadores. Embora os detalhes do incidente não tenham sido divulgados, o relatório parecia ser um ataque de ransomware, pois o malware usado bloqueava os sistemas, impedindo o acesso aos registros médicos dos pacientes e forçando os profissionais a produzir relatórios médicos manualmente. Quase um mês após o incidente, o hospital conseguiu recuperar 80% dos sistemas de computador.
Ecossistema vulnerável
Outro aspecto que torna esse setor vulnerável é o uso de software desatualizado ou não compatível. Isso é parcialmente explicado pela falta de um incentivo financeiro para reparar os dispositivos médicos dos pacientes e também devido à dificuldade de aplicar atualizações de segurança devido à complexidade operacional. Um relatório publicado pela Forescout no ano passado garantiu que, no início deste ano, 70% dos computadores no setor de saúde usariam um sistema operacional não compatível, como o Windows 7, para o qual a Microsoft parou de fornecer atualizações de suporte e segurança desde janeiro deste ano. O cenário é ainda mais preocupante se considerarmos que um estudo global publicado em meados de 2019 pela empresa Armis revelou que nos seis meses anteriores 40% das instituições médicas (hospitais, clínicas etc.) foram impactadas pelo ransomware WannaCry - um código malicioso que causou estragos globalmente em 2017 como resultado de uma vulnerabilidade que, dois anos depois, continua sem correção em vários dispositivos ativos neste setor.
Dispositivos IoT no setor de saúde: uma ampla superfície de ataque
Outro elemento que deve ser considerado é o crescimento da integração de dispositivos médicos conectados à Internet, uma tendência que deve continuar. No entanto, isso supõe um grande risco de segurança ao representar uma superfície vulnerável a ataques digitais. Hoje em dia, existem milhões de dispositivos IoT médicos conectados a pacientes que fornecem informações sobre seu estado de saúde. No entanto, dados de uma pesquisa realizada pela Irdeto em 2019 com profissionais de segurança que trabalham no setor de saúde mostraram que, no último ano, 8 em cada 10 organizações desse setor nos Estados Unidos sofreram um ataque destinado a Dispositivos IoT e 30% desses ataques comprometeram a segurança do usuário final. Apesar dos resultados da pesquisa mostrarem que as organizações de saúde sabem onde existem vulnerabilidades críticas em sua infraestrutura, os dados mostram que as instituições não contam necessariamente com tudo o que precisam para corrigi-las, explica um artigo publicado pela FierceHealthcare.
Consequências dos ataques cibernéticos ao setor da saúde
De acordo com um estudo publicado em setembro de 2019, produzido por pesquisadores da Universidade Vanderbilt e da Universidade da Flórida Central, nos Estados Unidos, que estudaram a taxa de mortalidade por ataques cardíacos em mais de 3.000 hospitais em todo o país (dos quais mais de 300 sofreram um vazamento de dados), é bastante real a existência de uma relação entre o aumento da taxa de mortalidade e ataques digitais.
Segundo a pesquisa, os hospitais que em anos anteriores sofreram uma brecha de dados como resultado de um ataque digital levaram em média 2,7 minutos a mais para fornecer um eletrocardiograma aos pacientes. Além disso, esses hospitais registraram 36 mortes para cada 10.000 ataques cardíacos, em comparação com os hospitais que não sofreram um incidente de segurança. Isso ocorre porque o atraso no tempo de tratamento não foi apenas uma consequência do vazamento sofrido, mas também devido às mudanças tecnológicas implementadas pelos hospitais com os quais o pessoal médico e os enfermeiros tiveram que lidar durante o processo de recuperação do vazamento de dados.
Com relação ao custo de um ataque digital a esse setor, um estudo da Frost & Sullivan destacou que, nos países da Ásia-Pacífico, um ataque cibernético pode representar um custo de mais de US$ 23 milhões para uma organização de saúde devido à razões diretas e indiretas. Além disso, além dos custos de recuperação, outra consequência dos ataques digitais direcionados a esse setor é a perda de clientes, o que também ocasionou a perda de empregos.
Covid-19 e ataques ao setor de saúde
Como mencionamos no início deste artigo, várias organizações alertaram nas últimas semanas sobre o aumento de campanhas maliciosas que estavam tentando se aproveitar da preocupação com o avanço da pandemia da Covid-19 e também sobre o interesse particular do setor de saúde como alvo de seus ataques.
Embora alguns dos grupos por trás das famílias de ransomware mais ativas nos últimos tempos, como é o caso do ransomware Maze, tenham comunicado que não atacariam hospitais, outros cibercriminosos continuam direcionando seus ataques ao setor de saúde durante a pandemia, como é o caso do ransomware Ryuk ou do recente ransomware Netwalker, também conhecido como Malito, que está realizando uma campanha maliciosa voltada especialmente para trabalhadores e organizações de saúde, destacaram autoridades na Espanha. De fato, em 10 de março, um ataque do ransomware Netwalker derrubou o site de uma agência de saúde pública do estado de Illinois.
Por outro lado, em 13 de março, o Hospital Universitário de Brno, na República Tcheca, onde funciona um dos 18 centros de testes de coronavírus do país europeu, foi vítima de um ataque cibernético, ao mesmo tempo que na noite de 15 de março, o site do Departamento de Saúde e Serviços Humanos (HHS) recebeu um ataque DDoS que aparentemente visava afetar as informações e enfraquecer a resposta dentro do contexto da pandemia. Outro exemplo ocorreu em 23 de março em um ataque mal direcionado contra hospitais de Paris.
Nesse contexto, os governos e as diferentes organizações e entidades que compõem o setor de saúde em diferentes países devem estar atentos e definir as medidas que serão tomadas para evitar sofrer um incidente de segurança. "Estamos em um momento em que garantir o funcionamento normal das entidades de saúde se tornou uma prioridade para lidar com a situação que enfrentamos com essa pandemia. É por esse motivo que tudo que esteja relacionado à segurança digital não pode ser negligenciado, pois é um ponto crítico que, se não for tratado adequadamente, poderá ser explorado pelos cibercriminosos para impedir o funcionamento normal das entidades de saúde. A transformação digital chegou às entidades de saúde, e essa transformação deve ser feita com segurança, cuidando da disponibilidade e privacidade dos dados. Embora esse processo represente um desafio adicional para esse tipo de entidade, ele deve ser enfrentado para garantir o uso seguro da tecnologia”, afirmou o responsável pelo Laboratório de Pesquisa da ESET na América Latina, Camilo Gutiérrez.
Algumas instituições, como o Departamento de Saúde e Serviços Humanos dos Estados Unidos, publicaram práticas de segurança direcionadas especialmente para o setor de saúde. Além disso, no WeLiveSecurity, você encontrará diversos guias práticos que respondem a muitas necessidades e serão úteis para abordar diferentes aspectos da segurança de uma organização.