Os riscos da Bio-IoT

Bio-IoT_internetdascoisas_trendemicroBio-IoT: Internet das coisas aplicada a sistemas biológicos, como sistemas de entregas farmacêuticas, implantes médicos, próteses inteligentes, assistentes cirúrgicos e sistemas de monitoramento remoto de pacientes.

A IoT 2.0, com seus amplos recursos de processamento e rede em conformidade com o OIS, promete notáveis avanços na área da saúde. Um artigo recente do IEEE descreve o futuro brilhante do IoT (The Internet of Things for Health Care: A Comprehensive Survey, S. M. R. Islam et al., Digital Object Identifier 10.1109/ACCESS.2015.2437951, 4 de Junho, 2015 – sem, tradução). Contudo, sem as devidas medidas de segurança da informação, estes dispositivos podem expor pacientes a sérios riscos.

O ex-vice-presidente americano Dick Cheney desconectou seu marca-passo da internet por precaução. Um ato prudente. Embora a conexão com a internet oferecesse informações em tempo real para seus médicos, ela também abria espaço para ataques. No outono passado, a FDA fez um recall de 465,000 marca-passos que tinham justamente esta vulnerabilidade (https://www.engadget.com/2017/08/31/fda-pacemakers-abbott-hacking/).

Os dispositivos IoT são derivados dos sistemas de controle industriais (ICS na sigla em inglês). Os ICS seguem dois critérios básicos de design: segurança e confiabilidade. Segurança significa que eles mantêm o sistema estável mesmo quando falham, ou quando estão inativos. Confiabilidade significa que eles não dão informações imprecisas ou equivocadas mesmo quando apresentam problemas. Nenhum destes critérios tem a ver com segurança da informação.

O artigo recente “Protegendo Neutoestimuladores Sem Fio” do ACM (In Proceedings of Eighth ACM Conference on Data and Application Security and Privacy, Tempe, Arizona, EUA, 19–21 de Março, 2018 (CODASPY ’18), 12 páginas, sem tradução, disponível em https://doi.org/10.1145/3176258.3176310) analisa um ataque a um implante médico. Esses dispositivos altamente especializados são implantados no cérebro do paciente e oferecem um estímulo elétrico cuidadosamente dosado para controlar dores crônicas, assim como problemas de movimento como Parkinson. O autor alerta:

“Se não mecanismos de segurança não forem implementados, invasores podem enviar comandos maliciosos ao neuroestimulador, fazendo com que ele emita sinais elétricos indesejados ao cérebro do paciente. Por exemplo, invasores podem mudar os ajustes do estimulador para aumentar a voltagem do aparelho, o que pode causar paralisia ou mudez, além de danos irreversíveis ao cérebro, ou mesmo representar risco de morte.”

Solucionar esse problema requer o uso de segurança da informação. As funções primordiais desta disciplina (ISO 7498-2) são: identificação, autorização, confidencialidade de dados, integridade de dados e não-repúdio. Estas funções requerem poder de processamento, memória e banda larga de rede. No artigo, os autores propõe um sistema de criptografia que usa sinais biológicos como fonte para gerar números aleatórios que seriam usados de base para formar chaves privadas de criptografia. Nesse caso, a Bio-IoT usaria as informações biológicas do próprio paciente para protegê-lo.

Uma solução completa seria usar ferramentas de identificação para filtrar sinais piratas, autenticando o emissor para saber se há autorização para fazer modificações no aparelho (ao se logar nele), mantendo a confidencialidade de dados para preservar a privacidade do paciente, integridade de dados para garantir a proteção de sinais não criptografados e não-repúdio para validar transmissão e recebimento de comandos e respostas corretamente.

Somente ao combinar as diretivas dos ICS com as da segurança da informação é que conseguiremos cumprir as promessas da Bio-IoT, o que pode ser realizado com equipes híbridas e multidisciplinares – com processos maduros e colaboração.