O mercado de saúde é um dos setores mais atrativos para os hackers. Não só os hospitais e consultórios têm uma enorme quantidade de dados pessoais de pacientes, mas muitas organizações da área têm dados financeiros para facilitar cobranças.
Um dos mais contundentes ataques no setor da saúde aconteceu ano passado, quando o agora famigerado WannaCry afetou organizações em mais de 100 países.
De acordo com Trend Micro’s Securing Connected Hospitals report, este ransomware infectou o National Health System do Reino Unido, impedindo seus hospitais e outros departamentos de acessar dados de pacientes. O ataque uma situação em que hospitais infectados tiveram que redirecionar ambulâncias para outras instituições. Médicos chegaram a ter que cancelar consultas e reagendar cirurgias por conta do WannaCry.
Esta não é a primeira vez que o segmento da saúde é atingido por um ataque desta magnitude, e provavelmente não vai ser a última.
“Conforme os hospitais e outras instituições de saúde adotam novas tecnologias, passam a usar novos dispositivos e firmam novas parcerias, os pacientes recebem um tratamento melhor – mas a vulnerabilidade aos ataques aumenta”, aponta o relatório da Trend Micro. “Quanto mais conectado, mais atrativo é o alvo, pois ele tende a se tornar mais lucrativo para o invasor”.
Áreas de maior risco em cibersegurança
Como o surto do WannaCry demonstrou, um ataque baseado em infecção de sistemas pode ter um impacto significativo em uma instituição de saúde e seus pacientes. As três áreas de maior risco em termos de atividade digital maliciosa neste segmento incluem:
- Atividades cotidianas em hospitais: escalonamento de pessoal, sistemas de chamado, controles do edifício, inventário, folha de pagamento e atividades administrativas podem ser duramente ameaçadas em um ciberataque. Quanto mais automatizadas estas atividades, maior o risco;
- Privacidade PII: um dos elementos mais atrativos no segmento para os hackers é a chamada Informação Pessoalmente Identificável (PII em inglês), que pode conter dados financeiros, informação médica e outros dados confidenciais;
- Saúde do paciente: uma interrupção em atividades cotidianas ou o comprometimento de PII pode afetar a capacidade do hospital de oferecer cuidados à saúde do paciente e de garantir seu bem-estar.
Dispositivos conectados expostos
As áreas descritas acima podem ficar vulneráveis por conta de diversos fatores. Porém, como aponta o relatório, um dos problemas mais comuns são os dispositivos conectados, que podem servir como porta de entrada para hackers e programas maliciosos.
Instituições de saúde hoje têm mais sistemas de saúde conectados do que em qualquer outra época, incluindo recursos como:
- Recepção e postos de enfermagem: e-mail, relatório eletrônico de saúde (EHR em inglês) e outros sistemas administrativos;
- Quartos: controles HVAC, acesso ao EHR, sistemas de monitoramento e inventário;
- Pronto-socorro e centro cirúrgico: diagnóstico, cirurgia, monitoramento e diagnóstico por imagem;
- Laboratório: EHR e equipamento de análise;
- Salas de reunião: vídeo conferência, VoIP e outros recursos de comunicação;
- Farmácia: EHR e estoque.
Contudo, quando estas áreas ficam expostas e acessíveis via internet, elas põem em risco operações e atendimento ao paciente em risco. Algumas das situações que podem levar a esta exposição incluem:
- Acesso direto a serviços e sistemas: configuração incorreta de estrutura de rede e sistemas, que podem incluir o uso de senhas fracas ou padrão, o que facilita o acesso indevido à rede e suas plataformas;
- Requisitos de conectividade: quase todos os aparelhos hoje em dia precisam de uma conexão para operar plenamente, mas isso acaba gerando mais vulnerabilidades;
- Acesso remoto: acesso de profissionais remotos ou equipes de suporte externas, o que gera vulnerabilidade.
Como indicado pela pesquisa da Trend Micro, não é porque um dispositivo está exposto que ele está comprometido. Um dispositivo exposto simplesmente implica que o endpoint está conectado à Internet e, portanto, pode ser acessado externamente por meio de uma conexão pública.
A ameaça de Shodan
Um outro fator de risco relevante aqui é o Shodan. Ele é uma search engine que permite ao usuário descobrir dispositivos conectados, e serve como uma boa ferramenta para empesas identificarem vulnerabilidades desprotegidas e eventuais ativos guardados em seus sistemas.
Por outro lado, o Shodan também traz vantagens para hackers, que podem usar de seus recursos para conseguir informações sobre os aparelhos conectados e seus sistemas, a fim de ver oportunidades para atividades maliciosas.
“É por isso que o Shodan é considerado o Search Engine mais perigoso do mundo”, como destacado nas notas do estudo da Trend Micro.
O problema das portas expostas
Muito embora a conectividade seja essencial para as funções avançadas dos dispositivos e aplicativos atuais, ela é também fonte de risco para eles.
Uma questão importante levantada pela Trend Micro é o problema de portas expostas. Pesquisadores identificaram diversas portas expostas e visíveis nas empresas de saúde avaliadas, incluindo algumas que podiam oferecer sérios riscos:
- Network Time Protocol (NTP): um dos protocolos mais antigos ainda em uso. Como as conexões NTP entre servidores e computadores raramente são criptografadas, os hackers podem usar protocolos NTP para ataques em intermediários que podem impedir a atualização de sistemas;
- Teletype Network (Telnet): outro tipo de conexão raramente criptografada, em que os dados são enviados em arquivos de texto, que permite interceptação;
- File Transfer Protocol (FTP): este protocolo popular é padrão em muitos servidores e permite que hackers o utilizem para explorar servidores comprometidos, os quais servem de ponto de acesso para arquivos e de entrada para programas maliciosos que ajudam a ampliar o alcance do ataque.
Outras áreas expostas a serem monitoradas
Como nos mostra a pesquisa da Trend Micro, portas expostas e a habilidade dos hackers em explorar certos protocolos não são os únicos pontos de atenção – coisas como base de dados exposta e controles industriais também podem ser ameaças.
“Bases de dados são fontes de dados críticos/sensíveis/importantes, o que faz delas alvos atraentes”, afirma o relatório. “Comprometer mecanismos de automação expostos pode permitir ao invasor ‘parar tudo’ dentro de um hospital. Cenários apocalípticos como estes, infelizmente, não são impossíveis, e é necessário tomar todo cuidado para garantir que os instrumentos de controle do edifício nunca estejam expostos na internet pública”.
Protegendo dispositivos de saúde
Fica claro na pesquisa da Trend Micro que qualquer endpoint exposto – do diagnóstico ao equipamento cirúrgico, passando pelos registros médicos e protocolos vulneráveis – pode oferecer a oportunidade de que invasores precisam para interromper e impedir atendimento.
Por estes motivos, administradores e pessoal de TI precisam ter certeza de que equipamentos sensíveis e dispositivos em geral têm a proteção ideal, e que a conectividade de rede necessária não acaba expondo os dispositivos em ambientes públicos.
Para saber mais sobre dispositivos conectados e o mercado de saúde, leia o relatório completo da Trend Micro.