Ciberataques aos cuidados de saúde: Como acontecem e o que pode fazer para proteger os seus dados
O sector dos cuidados de saúde constitui um alvo atrativo para os cibercriminosos devido à grande quantidade de informações sensíveis sobre os doentes que mantém. A extração bem sucedida desses dados é análoga à descoberta de um esconderijo de ouro para estes agentes maliciosos. Infelizmente, as consequências de tais ataques, tanto para as instalações médicas como para as pessoas afectadas, são terríveis, assemelhando-se a um sonho horrível.
É improvável que se possa descartar prontamente uma experiência negativa, no entanto, podem ser tomadas medidas para minimizar a probabilidade de ocorrência de novos incidentes ou mesmo evitá-los completamente.
O panorama dos ciberataques aos cuidados de saúde
Os ciberataques a instalações de cuidados de saúde não são novidade. Em 2017, o ransomware WannaCry quase tirou o tapete do Serviço Nacional de Saúde do Reino Unido. O ciberataque causou sensação, mas o NHS não era o alvo principal dos autores da ameaça. No entanto, os cibercriminosos parecem ter aprendido que as instalações de cuidados de saúde são frutos fáceis de apanhar. Em 2021, o Office of Public Affairs informou que um grupo de hackers lançou um ciberataque coordenado em mais de 1500 hospitais, escolas e empresas financeiras.
O phishing é uma técnica utilizada pelos cibercriminosos para obter acesso não autorizado a sistemas ou redes sensíveis, muitas vezes através do engano dos utilizadores para que divulguem informações confidenciais, como credenciais de login ou dados financeiros. O ransomware, por outro lado, é um tipo de software malicioso que encripta os ficheiros da vítima e exige um pagamento em troca do restabelecimento do acesso aos mesmos. Em muitos casos, estas duas tácticas são combinadas para maximizar o impacto de um ataque e extrair mais lucros das vítimas.
As instalações de cuidados de saúde podem ser mais susceptíveis a ciberataques do que outras organizações devido à natureza sensível da informação que possuem e ao potencial de tais ataques causarem danos significativos. Como resultado, estas instituições enfrentam frequentemente a pressão dos atacantes que antecipam que a direção responderá rapidamente para minimizar os danos causados pela intrusão.
Como ocorre a maioria dos ciberataques aos cuidados de saúde
O principal ponto de acesso dos cibercriminosos é através de e-mails de phishing enviados aos funcionários do sector dos cuidados de saúde. Embora os seus alvos preferidos sejam os que têm privilégios administrativos, praticamente qualquer funcionário é suficiente. O objetivo inicial é obter controlo sobre o dispositivo do indivíduo, induzindo-o a descarregar software malicioso ou a clicar numa hiperligação nociva incorporada na mensagem de correio eletrónico. Além disso, a mensagem de correio eletrónico pode conter uma página de início de sessão falsa, solicitando à vítima que introduza as suas credenciais de início de sessão, concedendo assim acesso não autorizado à sua conta.
Depois de o malware ter infetado o dispositivo do pessoal, o objetivo é propagá-lo por toda a rede das instalações. Isto ocorre normalmente quando o dispositivo comprometido estabelece uma ligação não segura ou insuficientemente protegida com outros dispositivos na rede através de meios como a rede local sem fios (WLAN), Bluetooth, protocolo de transferência de ficheiros ou ligando fisicamente uma unidade USB.
Após a entrada do software malicioso na rede da instalação, este executa a função pretendida e cria um sistema de comando e controlo que permite a comunicação entre o hacker e o dispositivo comprometido. Esta abertura actua como uma porta de entrada para o atacante progredir através do sistema e obter acesso a servidores adicionais, criando mais oportunidades para futuros ataques à rede.
Porque é que os piratas informáticos têm como alvo as instalações de cuidados de saúde
Em última análise, o cerne da questão prende-se com o ganho financeiro e a identificação individual. Os cibercriminosos não procuram saber mais sobre procedimentos dentários ou imagens radiológicas; o seu objetivo é obter informações sensíveis sobre a vida pessoal dos pacientes, incluindo, mas não se limitando a, nomes completos, históricos residenciais, detalhes de cartões de crédito/débito, números de segurança social, dados biométricos, certidões de nascimento e até certidões de óbito.
Com a aquisição de tais informações, torna-se viável para os indivíduos assumirem as identidades de outros e utilizá-las para obter empréstimos, abrir contas bancárias ou até mesmo representarem-se a si próprios como outra parte quando comunicam com prestadores de serviços. Além disso, os cibercriminosos podem utilizar documentos cruciais, como certidões de óbito, para perpetrar actividades fraudulentas relacionadas com benefícios públicos. Além disso, existem mercados negros em que partes sem escrúpulos procuram comprar informações sensíveis para fins nefastos.
A rentabilização dos dados roubados dos pacientes pode revelar-se um desafio, pelo que os cibercriminosos recorrem frequentemente a tácticas de extorsão. Estas incluem a encriptação de registos vitais e a recusa de acesso a dispositivos essenciais utilizados pelos profissionais de saúde para obter informações sobre os pacientes e ministrar tratamentos.
Nessas alturas, os executivos do sector da saúde são apanhados na correnteza. Têm de escolher entre pagar o resgate e possivelmente ser multados pelo governo (de acordo com o Tesouro dos EUA ) ou enfrentar acções judiciais dos doentes cujos dados foram divulgados. Não é raro que a administração capitule e escolha a opção que protege a sua imagem de marca e custa menos dinheiro.Muitas vezes, é a falta de dinheiro que faz com que as instituições de saúde não implementem medidas de segurança adequadas…
Como proteger os dados de saúde dos hackers
Os ataques de cibersegurança no sector da saúde tornaram os hospitais o alvo principal, mas espera-se que o âmbito se alargue para abranger empresas de tecnologia que recolhem informações relacionadas com a saúde através de dispositivos como smartwatches. Para mitigar estes riscos, os administradores, os profissionais médicos e os indivíduos que utilizam os serviços de saúde podem adotar determinadas medidas.
Atualização de hardware antigo e correção de software desatualizado
Muitas instalações de cuidados de saúde ainda utilizam computadores com versões antigas de sistemas operativos Windows, como o Windows 7 e o Windows XP. O suporte para sistemas operativos antigos terminou , o que significa que os piratas informáticos podem facilmente explorar as vulnerabilidades existentes. Mas mesmo os novos modelos de computador com a versão mais recente do sistema operativo Windows não são invencíveis. No entanto, são melhores porque têm suporte do programador. Pode esperar receber actualizações de segurança que corrigem as falhas, muitas vezes antes de os piratas informáticos as poderem explorar.
Além disso, muitos estabelecimentos dependem de organizações terceiras que fornecem aparelhos e software especializados. Esta multiplicidade de fornecedores resulta num aumento do número de potenciais pontos de acesso para os cibercriminosos, uma vez que todos estão interligados. É aconselhável apoiar as empresas que tenham demonstrado um empenhamento em melhorar as suas ofertas quando utilizam esses produtos ou serviços de nicho.
Em situações em que os recursos financeiros são principalmente dedicados à aquisição de bens consumíveis e ao pagamento de salários, pode ser difícil afetar fundos à atualização de equipamento de tecnologia da informação desatualizado, mas operacional. No entanto, dados os riscos significativos associados aos ciberataques, o investimento em tais actualizações é crucial para garantir a estabilidade do sistema e a segurança dos dados.
Contratar uma equipa azul ou vermelha
O departamento de TI das unidades de saúde tem como principal função manter o software clínico e resolver quaisquer problemas relacionados com hardware defeituoso. Estes departamentos têm muitas vezes falta de pessoal, com pessoal que possui conhecimentos limitados necessários para combater as ciberameaças. Como tal, pode ser prudente contratar uma equipa azul, vermelha ou roxa para avaliar a postura geral de cibersegurança de uma organização.
Os protocolos de encriptação implementados por uma equipa de analistas de cibersegurança podem tornar a informação confidencial ininteligível para utilizadores não autorizados, independentemente de terem violado o perímetro de segurança da rede.Além disso, estes especialistas podem utilizar tecnologia de engano para distrair e atrasar potenciais atacantes, dando assim uma oportunidade ao pessoal de TI para responder a quaisquer ameaças iminentes e evitar danos em sistemas críticos.
Seguir as melhores práticas de cibersegurança para proteger os dados
É aconselhável adotar medidas rigorosas de segurança dos terminais, em especial o acesso à rede Zero Trust e um controlo rigoroso do acesso às portas USB. Se as circunstâncias exigirem a utilização de dispositivos, como smartphones, que se ligam frequentemente à rede da organização, recomenda-se a manutenção de um dispositivo separado exclusivamente para uso profissional. Esta precaução ajuda a evitar a potencial transmissão de software malicioso do local de trabalho para redes pessoais.
É aconselhável ter cuidado ao utilizar aplicações móveis e partilhar apenas a quantidade mínima de dados necessária. Para reduzir a acumulação de dados por um dispositivo, considere selecionar uma opção em que as informações sejam armazenadas localmente em vez de serem carregadas para um servidor remoto. Ao utilizar ferramentas que permitam a monitorização remota da saúde por um médico, opte por dispositivos equipados com encriptação robusta de ponta a ponta para garantir a confidencialidade dos dados.
Qual é o futuro da segurança dos cuidados de saúde?
A tecnologia digital desempenha um papel crucial na prestação de serviços de saúde de elevada qualidade. No entanto, qualquer perturbação causada por ciberataques pode ter consequências significativas, semelhantes a uma perturbação num oscilador quando a matéria colide com ele. À medida que o número de profissionais de saúde que estão habituados a utilizar ferramentas tradicionais, como canetas, papéis e dispositivos analógicos, diminui devido à reforma, o impacto destes ataques pode intensificar-se num futuro próximo. No entanto, o reforço das medidas de cibersegurança pode ajudar a minimizar os potenciais riscos associados a estas ameaças.