As vulnerabilidades são um fator muito crítico no cenário da segurança cibernética e, como qualquer outra forma de empreendimento que depende de hardware e software para desenvolver suas atividades, as organizações de saúde precisam dedicar uma atenção constante para eliminar falhas de segurança, que fatalmente serão encontradas e exploradas por agentes maliciosos.

O principal objetivo da ação de cibercriminosos é o roubo de dados pessoais, pois essas informações possuem um alto valor no mercado negro. Atualmente, a indústria da saúde é alvo principal de ataques cibernéticos para violação de dados, pela quantidade de informações sigilosas envolvidas e pelo fato de que os criminosos perceberam que organizações desse setor não consideram a segurança dos dados como uma prioridade.

Um fato relevante que deve ser do conhecimento de todos os profissionais de TI da área da saúde é que a grande maioria das vulnerabilidades que são alvos de ataques cibernéticos já é conhecida publicamente.

Ataques sobre vulnerabilidades de dia zero são raras

Vulnerabilidades de dia zero, ou seja, aquelas que não são conhecidas publicamente antes de serem exploradas em um ataque são raras. Elas produzem grandes manchetes, mas desempenharão um papel de menos de 0,1% dos ataques cibernéticos em organizações privadas até 2020, de acordo com o Gartner.

A pesquisa “The State of Cybersecurity in Healthcare Organizations in 2018”, realizada pelo Ponemon com mais de 600 profissionais de TI da saúde revelou que:

• 71% tiveram um incidente de segurança nos 12 meses anteriores, atribuído à exploração de uma vulnerabilidade de software originada há mais de três meses.
• 66% tiveram um incidente no mesmo período atribuído a uma vulnerabilidade originada há menos de três meses.

A exploração de vulnerabilidades antigas de segurança foi a causa mais citada de incidentes de segurança na pesquisa.

Claramente, muitas organizações de saúde precisam melhorar suas práticas de gerenciamento de patches e mitigação de vulnerabilidades.

Vulnerabilidades x Realidade

Não existe uma resposta simples para resolver o problema generalizado de dispositivos legados não corrigidos.

A diversidade de sistemas em ambientes de assistência médica e a rápida adoção de tecnologia digital e registros eletrônicos de saúde, além de outros fatores, superaram a capacidade da maioria dos departamentos de TI de proteger a rede e manter os sistemas.

Restrições de recursos e conveniência podem agravar o problema

Um equipamento de ressonância magnética, por exemplo, pode custar até US$ 3 milhões, dependendo da sua capacidade, sem contar com um custo adicional de cerca de R$ 1,5 milhão em manutenção. Esse tipo de dispositivo geralmente é conectado em rede e controlado por um desktop. Se uma vulnerabilidade for descoberta na máquina e nenhum patch adequado existir, a organização provavelmente não considerará a falha e talvez tentará reduzir seus efeitos ou irá ignorá-la, muito antes do sistema poder ser substituído.

O ônus recai sobre a equipe de TI para “fazê-la funcionar”, talvez isolando o sistema da rede e aumentando a rigidez dos controles de acesso.

No entanto, até mesmo essas alternativas podem encontrar restrições. Ambientes médicos, especialmente em hospitais, dependem do acesso rápido e fácil aos dados para melhorar os resultados dos pacientes. Isso pode pressionar os departamentos de TI a “afrouxar” os controles de segurança e facilitar as restrições, aumentando potencialmente o risco de violação de dados.

Um equilíbrio entre segurança e conveniência deve ser atingido em todas as organizações e em todas as indústrias, mas as circunstâncias únicas na área da saúde podem tornar o equilíbrio especialmente difícil de manter.

Esses fatores e outros ajudam a explicar por que as organizações da área médica continuam confiando em sistemas desatualizados, conhecidos por apresentar graves falhas de segurança.

Segurança dos dispositivos médicos

Vulnerabilidades descobertas em dispositivos médicos, como scanners de tomografia computadorizada, marca-passos e bombas de infusão de drogas são uma preocupação crescente que os profissionais de saúde e até mesmo os legisladores têm que resolver.

Mais da metade (55%) dos profissionais de segurança de TI disseram que a segurança dos dispositivos médicos não faz parte da sua estratégia geral de segurança cibernética, de acordo com o estudo do Ponemon.

Felizmente, dentro deste grupo, 62% esperam resolver o problema nos próximos 12 meses. O tempo dirá se os planos se concretizarão.

Quando solicitados a escolher sua maior preocupação com a segurança de dispositivos médicos, 39% dos profissionais de segurança de TI da área de saúde citaram a segurança do paciente. Esse percentual é maior do que os apresentados para a violação de dados (26%) e a disseminação interna de malware (14%) como principal preocupação dos profissionais, de acordo com a 2018 Cybersecurity Survey da Healthcare Information and Management Systems Society (HIMSS).

Embora alguns dispositivos possam ser atualizados ou substituídos, isso nem sempre acontece. Em outra pesquisa, 15% dos profissionais de TI da área de saúde disseram que não podem atualizar esses sistemas ou não têm certeza se podem ou não. Em organizações com mais de 500 funcionários, o número saltou para 26%.

Felizmente, nem todas são más notícias. Para profissionais de TI capazes de atualizar os dispositivos, 57% deles corrigem as vulnerabilidades pelo menos uma vez por semana.

Priorizando os patches

As redes em hospitais, unidades de atendimento e outros ambientes da saúde geralmente são tão amplas e diversificadas que as equipes de TI não conseguem atualizar e administrar todos os sistemas regularmente. A atualização de patches é uma atividade crítica, que deve ser priorizada com base em atributos como a função do sistema, os dados manipulados, a exposição a ameaças externas, a gravidade das vulnerabilidades abordadas no patch e outros fatores.

Embora uma grande ênfase seja frequentemente colocada na prevenção de violações, limitar o escopo de uma violação bem-sucedida também deve ser uma prioridade. Uma infecção de ransomware em uma única estação de trabalho é muito menos preocupante do que uma em um servidor crítico.

Configurações incorretas

Configurações incorretas podem abrir falhas de segurança mesmo nos sistemas mais sólidos. Isso pode causar grandes vazamentos de dados, especialmente quando o sistema é um banco de dados aberto para o público.

Em 25 de janeiro de 2018, um profissional de segurança descobriu que um banco de dados de propriedade de uma clínica médica de Long Island, Estados Unidos, havia sido mal configurado e deixado seu acesso publicamente disponível.

Com isso, as informações médicas de mais de 42.000 pacientes foram reveladas, incluindo mais de 3 milhões de anotações feitas pelos médicos. Para acessar as informações foi necessário apenas conhecer o endereço IP do servidor.

Em março de 2018, um conglomerado de saúde sem fins lucrativos com sede em St. Louis notificou 33.420 pacientes que seus dados foram violados por um erro de configuração do servidor. O vazamento expôs publicamente imagens digitalizadas das carteiras de motorista dos pacientes, cartões de seguro de saúde e documentação médica.

Em abril do mesmo ano, a empresa de gerenciamento médico MedWatch notificou um número não revelado de seus membros que suas informações pessoais foram expostas nos mecanismos de busca por dois meses, no final de 2017. O vazamento foi causado pela configuração incorreta de um portal online.

A configuração adequada dos recursos de uma rede é essencial para manter a segurança.

Brechas causadas por processadores

Em 3 de janeiro de 2018, pesquisadores de segurança revelaram duas vulnerabilidades de segurança em processadores presentes em bilhões de sistemas em todo o mundo. Conhecidas como Spectre e Meltdown, essas vulnerabilidades estão entre as falhas de segurança de dados mais conhecidas.

Em resumo, as falhas estão relacionadas à forma sobre como a maioria dos processadores modernos manipulam dados. Quando explorados, eles podem permitir que um invasor ultrapasse os controles de acesso a dados e roube dados confidenciais, incluindo dados do kernel e de outros aplicativos.

Quando grandes falhas de segurança são anunciadas, os fornecedores de soluções de segurança se esforçam para fornecer informações claras e correções simples para resolver o problema.

Este não foi o caso com Spectre e Meltdown, que levaram algum tempo para serem corrigidas, mesmo depois de conhecidas. Independentemente da causa, as informações disponíveis nos dias após o anúncio não foram claras e os patches não estavam disponíveis imediatamente. Muitos profissionais de TI ficaram com grandes dúvidas e poucas respostas.

Evite os prejuízos de uma violação de dados

Dados violados destroem a imagem de uma instituição e podem gerar indenizações milionárias em juízo. O risco de vazamento de dados pode colocar as empresas do mercado de saúde no meio de uma verdadeira avalanche de ações judiciais promovidas por pacientes prejudicados, além da eventual aplicação de medidas administrativas punitivas e multas impostas por órgãos de fiscalização.

O mercado de saúde brasileiro ainda carece de uma lei específica de privacidade de dados, como a HIPAA (Health Insurance Portability and Accountability Act) dos Estados Unidos, porém nós temos leis abrangentes, que tratam da integridade da privacidade e o sigilo profissional, como a Lei Geral de Proteção de Dados, o Código do Consumidor, o Marco Civil da Internet e, para os médicos, o Código de Ética Médica nos artigos que tratam especificamente do sigilo profissional relativo às informações e documentos dos pacientes.

Para fazer frente a esse cenário de alto risco, que se configura em um ambiente propício para ataques cibernéticos que podem causar grandes problemas, procure o apoio de um fornecedor que entenda as características e as necessidades de segurança cibernética da área de saúde e que ofereça soluções que efetivamente protejam os dados sigilosos, que são insumos importantes e essenciais para o funcionamento da sua instituição.

Se o assunto Segurança para Indústria da Saúde te interessa, leia o artigo “O grande problema da cibersegurança na área de saúde”