Pesquisa explora o funcionamento e vulnerabilidade de dispositivos médicos conectados e o perfil do hacker que está atacando a indústria médica; operações hospitalares, privacidade de dados e saúde dos pacientes são as principais áreas de interesse dos cibercriminosos.

Pesquisa detalhada sobre cibersegurança hospitalar, nomeada “Securing Connected Hospitals” (PDF, inglês), produzida pela Trend Micro em parceria com a HITRUST, explora o funcionamento dos dispositivos e sistemas médicos conectados à Internet, tais como bases de dados e consoles administrativos hospitalares, bem como o perfil do hacker que ataca essa indústria.

De acordo com o levantamento, existem três grandes áreas de interesse, consideradas valiosas, por parte dos cibercriminosos:

Operações hospitalares

Isto inclui ciberameaças contra sistemas críticos diários, tal como bases de dados da escala de trabalho da equipe, sistemas de pagers hospitalares, controles prediais, folha de pagamento, administração, etc;

Privacidade de dados

Ataques virtuais contra diferentes tipos de dados, tais como informações pessoalmente identificáveis (PII), para ambos pacientes e funcionários do hospital, incluindo diagnóstico e dados de tratamento do paciente; informações financeiras e do seguro saúde; pesquisas e dados sobre teste de medicamentos e folhas de pagamento;

Saúde do paciente

Abrange ciberameaças contra dispositivos e sistemas médicos que são usados para o tratamento, monitoramento e diagnóstico dos pacientes, bem como ciberameaças contra o sistema de informações do hospital (HIS).

Padrões de segurança desatualizados

Uma das constatações é que as organizações hospitalares ainda se mostram desatualizadas quanto aos padrões de cibersegurança. Um exemplo são os hospitais da National Health Service (NHS) que foram afetados pelo ransomware WannaCry em maio de 2017.

O ataque conseguiu comprometer um total de 37 hospitais, indiretamente atingiu mais 44 deles, e infectou 603 clínicas e outras organizações do NHS – deixando todo o sistema de saúde do Reino Unido em total desordem por alguns dias.

Para o mapeamento dos dispositivos expostos em hospitais e clínicas, a Trend Micro usou o Shodan, um mecanismo de busca para dispositivos conectados à Internet.

Um dos sistemas monitorados foi o Digital Imaging and Communications in Medicine (DICOM) – ferramenta para digitalização de exames de imagens. Estes sistemas podem expor imagens para procedimentos, tais como imagens RM (ressonância magnética), ultrassom, raio-X, mamografia e endoscopia.

O estudo reuniu os 20 países com o maior número de dispositivos / servidores DICOM expostos. O Brasil ficou em terceiro lugar, atrás apenas dos Estados Unidos e da China.

Ao afirmar que um sistema ou dispositivo esteja exposto não significa necessariamente que ele esteja vulnerável. No entanto, o que não deve acontecer de forma alguma, é que imagens do sistema DICOM, estejam disponíveis para visualização pública e possam cair nas mãos de cibercriminosos.

Invasão a fornecedores terceirizados e softwares de gestão farmacêutica

Os sistemas expostos colocam em risco dados críticos, tais como informações pessoais dos pacientes e prontuários médicos. Outra informação surpreendente constatada no estudo foi a facilidade em encontrar interfaces de software de gestão farmacêutica.

Este software especializado é usado por farmácias para funções integradas, tais como gestão de medicamentos sem prescrição médica, rastreamento de narcóticos, histórico de prescrições do paciente, transações em pontos de vendas (PoS).

Também foi descoberto um sistema de consultas e agendamento que continha informações do diagnóstico do paciente.

Outro aspecto das redes hospitalares foram as ameaças aos fornecedores de bens e serviços dos hospitais. Ameaças deste tipo carregam riscos potenciais: um criminoso pode interromper as operações diárias, manipular dados, instalar softwares maliciosos, introduzir dispositivos adulterados e afetar a continuidade do negócio. Em 2016, 30% das infrações em sistemas healthcare tiveram como origem as violações de fornecedores terceirizados.

Fornecedores terceirizados têm credenciais que incluem logins, senhas e que podem dar acesso a registros físicos, dispositivos médicos e equipamentos de escritório.

Principais conclusões

Global e historicamente, o serviço de inteligência de ameaças na área da saúde é manual e demorado: o principal objetivo de um hospital é o cuidado com o paciente e é exatamente aí que a maior parte dos recursos são investidos.  Os investimentos na cibersegurança hospitalar são tratados como prioridade secundária.

Abaixo estão as principais razões para a defasagem na cibersegurança do sistema healthcare:

Credenciais padrão

Apesar de requisitarem autenticação para acesso, a grande maioria dos dispositivos médicos estudados pela Trend Micro, podem ser explorados para que o atacante tenha sucesso em seu ataque: foram encontrados sistemas com senha fraca ou usuários e senhas definidos pelo fabricante do equipamento (neste caso, nem o próprio administrador do dispositivo pode alterar estes dados) e sistemas sem atualização (o que permite exploração de vulnerabilidades conhecidas);

Política de cibersegurança

Os profissionais que acessam computadores hospitalares e equipamentos de diagnóstico (médicos, enfermeiros e técnicos), circulam regularmente pelo hospital. Isto dificulta muito a incorporação de políticas de cibersegurança e procedimentos de autenticação, especialmente se tais políticas atrapalharem as operações diárias;

Custo de manutenção

Equipamentos de diagnóstico são extremamente caros e os hospitais não podem custear que eles fiquem offline por longos períodos para manutenção. Em alguns casos, modificar as configurações do dispositivo médico ou atualizar o sistema operacional, tornarão inválidas a certificação, a garantia e a cobertura do dispositivo, assim, os dispositivos médicos permanecem intocados;

Atendimento exclusivo

Nem todos os hospitais têm uma equipe de cibersegurança exclusiva. Na maioria dos hospitais, a equipe de TI assume as duas tarefas: investigam e eliminam os incidentes de ciberataque, bem como fornecem serviços gerais de TI para o hospital. Este modelo tem a grande desvantagem da má distribuição de recursos para ambas funções.

É necessário que os hospitais sejam abastecidos por uma rede robusta para garantir a continuidade dos serviços aos pacientes e, por isso, a proteção às redes hospitalares e, do setor de saúde como um todo, contra ciberataques tornou-se uma necessidade crítica.

Veja o relatório “Securing Connected Hospitals: A Research on Exposed Medical Systems and Supply Chain Risks” (PDF, inglês) na íntegra, para saber mais detalhes sobre esse assunto.

Fonte: Security Report