Ciberataques aos cuidados de saúde: Como acontecem e o que se pode fazer
O sector dos cuidados de saúde representa um alvo atrativo para os cibercriminosos devido à riqueza de informações sensíveis sobre os pacientes que mantém. A extração bem sucedida desses dados é semelhante à descoberta de um esconderijo de ouro para estes agentes maliciosos. Infelizmente, isto pode ter consequências devastadoras tanto para os estabelecimentos de saúde afectados como para os seus pacientes, que podem sofrer as consequências dessas violações.
É pouco provável que alguém esqueça rapidamente uma experiência negativa, embora possam ser tomadas medidas para minimizar a probabilidade de novos ataques.
O panorama dos ciberataques aos cuidados de saúde
Os ciberataques a instalações de cuidados de saúde não são novidade. Em 2017, o ransomware WannaCry quase tirou o tapete do Serviço Nacional de Saúde do Reino Unido. O ciberataque causou sensação, mas o NHS não era o alvo principal dos autores da ameaça. No entanto, os cibercriminosos parecem ter aprendido que as instalações de cuidados de saúde são frutos fáceis de apanhar. Em 2021, o Office of Public Affairs informou que um grupo de hackers lançou um ciberataque coordenado em mais de 1500 hospitais, escolas e empresas financeiras.
O phishing é uma tática comummente utilizada pelos cibercriminosos, com a intenção de obter acesso não autorizado a servidores através de tácticas de engano. Entretanto, o ransomware é outra abordagem popular, em que os atacantes pretendem restringir o acesso a sistemas críticos e exigir o pagamento às organizações ou indivíduos afectados.
As instalações de cuidados de saúde são um alvo mais vulnerável a ciberataques do que as empresas de tecnologia que gerem dados valiosos dos clientes. Isto deve-se aos numerosos pontos de acesso disponíveis para os piratas informáticos e ao potencial impacto negativo significativo na vida das pessoas, caso um ataque seja bem sucedido. Os piratas informáticos prevêem frequentemente que a direção responderá prontamente a esses incidentes, facilitando assim a sua capacidade de realizar este tipo de ataques.
Como se processa a maioria dos ciberataques aos cuidados de saúde
Os e-mails de phishing são considerados o principal meio de infiltração dos cibercriminosos que pretendem penetrar nas organizações de cuidados de saúde. Embora prefiram visar indivíduos com privilégios administrativos, praticamente todos os empregados representam uma oportunidade atractiva. O seu objetivo inicial é violar o dispositivo da vítima através de tácticas enganadoras que a induzem a descarregar software malévolo ou a visitar sites falsos que solicitam informações de início de sessão.
Depois de o malware ter infetado o dispositivo do pessoal, o objetivo passa a ser a sua propagação por toda a rede das instalações.Isto ocorre frequentemente quando o dispositivo comprometido estabelece uma ligação não segura ou inadequadamente protegida com outros dispositivos na rede através de meios como Wi-Fi, Bluetooth, Protocolo de Transferência de Ficheiros ou inserindo fisicamente uma unidade USB.
Após a entrada do software malicioso na infraestrutura de rede da organização, este executa a função pretendida e configura um sistema de comando e controlo que permite o acesso remoto por parte do criminoso. Isto abre oportunidades para os piratas informáticos se espalharem lateralmente pela rede e comprometerem outros servidores, criando mais pontos de entrada para potenciais ataques informáticos futuros.
Porque é que os piratas informáticos têm como alvo as instalações de cuidados de saúde
Em última análise, o cerne da questão prende-se com o ganho financeiro e a identidade individual. Os cibercriminosos não procuram saber mais sobre procedimentos dentários ou imagens radiográficas; em vez disso, o seu objetivo é obter dados sensíveis relativos à vida pessoal dos pacientes, incluindo o seu historial médico, informações sobre cartões de crédito, números de identificação emitidos pelo governo, dados biométricos, certidões de nascimento e até a causa de morte.
Com os conhecimentos actuais, é possível assumir a identidade de outro indivíduo e utilizar essa informação para obter empréstimos, abrir contas financeiras ou mesmo apresentar-se como o verdadeiro proprietário quando comunica com prestadores de serviços. Além disso, os cibercriminosos podem utilizar registos vitais, como certidões de óbito, para perpetrar fraudes contra a segurança social. Quanto aos hackers que não procuram explorar os dados obtidos, existe uma procura no mercado clandestino, quer se trate do tradicional mercado negro ou da mais obscura “dark web”.
Obter ganhos financeiros através de dados de pacientes obtidos ilegalmente nem sempre é um processo simples. Por isso, os cibercriminosos coagem frequentemente os administradores das instalações de cuidados de saúde a pagar um resgate, encriptando remotamente ficheiros sensíveis e inutilizando dispositivos essenciais para aceder a informações críticas sobre os doentes e prestar tratamento médico.
Nessas alturas, os executivos do sector da saúde são apanhados na correnteza. Têm de escolher entre pagar o resgate e possivelmente ser multados pelo governo (de acordo com o do Tesouro dos EUA ) ou enfrentar processos judiciais dos doentes cujos dados foram divulgados. Não é raro que a administração capitule e escolha a opção que protege a sua imagem de marca e custa menos dinheiro.Muitas vezes, é a falta de dinheiro que faz com que as instituições de saúde não implementem medidas de segurança adequadas…
Como proteger os dados de saúde dos piratas informáticos
Os ataques de cibersegurança dirigidos aos hospitais constituem o ponto fulcral deste tipo de incidentes no sector da saúde, embora se preveja que o âmbito destes ataques possa alargar-se para abranger empresas de tecnologia envolvidas na recolha e armazenamento de dados médicos através de dispositivos como os smartwatches. Para mitigar este risco, existem várias medidas que os administradores, profissionais e utilizadores dos serviços de saúde podem tomar.
Atualização de hardware antigo e correção de software desatualizado
Muitas instalações de cuidados de saúde ainda utilizam computadores com versões antigas de sistemas operativos Windows, como o Windows 7 e o Windows XP. O suporte para sistemas operativos antigos terminou , o que significa que os piratas informáticos podem facilmente explorar as vulnerabilidades existentes. Mas mesmo os novos modelos de computador com a versão mais recente do sistema operativo Windows não são invencíveis. No entanto, são melhores porque têm suporte do programador. Pode esperar receber actualizações de segurança que corrigem as falhas, muitas vezes antes de os piratas informáticos as poderem explorar.
Além disso, muitos estabelecimentos dependem de fornecedores terceiros que fornecem hardware e software especializados. Esta multiplicidade de fornecedores resulta num aumento do número de potenciais pontos de acesso para os cibercriminosos, uma vez que todos estes sistemas estão interligados. Como tal, ao utilizar produtos ou serviços especializados, é aconselhável apoiar empresas com um historial de melhoria contínua das suas ofertas.
Apesar de as dotações orçamentais se centrarem predominantemente nos consumíveis e nas despesas de pessoal, é imperativo que sejam dedicados recursos suficientes à atualização de equipamento informático desatualizado, mas operacional, como medida preventiva contra as consequências adversas dos ciberataques.
Contratar uma equipa azul ou vermelha
O departamento de TI das unidades de saúde tem como principal tarefa a preservação do software clínico e a correção de quaisquer problemas relacionados com hardware defeituoso. Estes departamentos têm muitas vezes falta de pessoal, com funcionários sem a proficiência necessária para se defenderem de ciberataques. Como tal, pode ser prudente contratar uma equipa azul, vermelha ou roxa para avaliar a postura geral de cibersegurança da organização.
Os analistas de cibersegurança desempenham um papel crucial na proteção dos activos digitais contra o acesso não autorizado e as violações de dados. Podem sugerir e implementar métodos de encriptação robustos para tornar as informações sensíveis ilegíveis para os intrusos, mesmo que as suas redes tenham sido comprometidas.Além disso, estes especialistas podem empregar tecnologias de engano para criar alvos falsos e atrair potenciais atacantes para longe dos sistemas genuínos, proporcionando assim segundos ou minutos preciosos para que o pessoal de TI possa responder eficazmente.
Siga as melhores práticas de cibersegurança para salvaguardar os dados
É aconselhável implementar medidas de segurança do ponto final, em particular o acesso à rede de confiança zero e o controlo rigoroso do acesso à porta USB. Além disso, sempre que necessário, utilize dispositivos exclusivamente para fins profissionais e evite integrá-los demasiado nas redes pessoais, uma vez que isso pode resultar na transmissão de malware do local de trabalho para o ambiente doméstico.
É aconselhável ter cuidado ao utilizar aplicações móveis e partilhar apenas as informações necessárias. Para minimizar os dados recolhidos por um dispositivo, considere selecionar um que armazene informações localmente em vez de as carregar para um servidor de terceiros. Além disso, se depender de dispositivos de monitorização remota utilizados pelo seu médico, certifique-se de que estes possuem uma encriptação robusta de ponta a ponta para proteger os seus dados.
Qual é o futuro da segurança dos cuidados de saúde?
A utilização da tecnologia digital tornou-se parte integrante da prestação de serviços de saúde de alta qualidade. Uma perturbação causada por um ataque informático pode conduzir a um resultado catastrófico, semelhante ao impacto de um objeto num oscilador. À medida que o número de médicos familiarizados com ferramentas tradicionais, como canetas, papéis e dispositivos analógicos, diminui devido à reforma, prevê-se que a potência dos ciberataques aumente significativamente. No entanto, a melhoria das medidas de segurança cibernética pode ajudar a mitigar este risco.