Segurança

Segurança nos hospitais: um grande problema

Já faz vários anos que a imagem romântica do hacker foi substituída pela dos grupos profissionais. Parte deles são patrocinados por governos. Já outros são grupos criminosos na forma mais literal da palavra, dos que desbloqueiam celulares roubados para acessar aplicativos bancários às quadrilhas internacionais. De criminosos não se pode esperar muitos escrúpulos na escolha dos alvos. Os mais vulneráveis, aqueles com menos cultura e investimentos em segurança digital, acabam se tornando preferenciais. É o caso dos hospitais e serviços de saúde em geral.

Por muitos anos acreditou-se que as quadrilhas iriam focar tão somente nas instituições financeiras, e muitos segmentos deixaram de investir em segurança por não se ver como alvos. Para que, afinal, um hospital seria atacado? Essa visão equivocada ainda persiste, mas a realidade mostra outra coisa. Os relatórios variam, mas os números são sempre altos. A AAMC - Associação das Faculdades de Medicina dos Estados Unidos estima que uma em cada três empresas do setor sofreram ataques em 2020 e 2021. Já o Ministério da Saúde dos Estados Unidos contou mais de 600 ataques no ano passado.

O jornalista Brian Krebs revelou em artigo este mês que um dos mais conhecidos e agressivos grupos russos, o Ryuk, agora chamado Conti, usou a plataforma de malware Zloader para ataques contra hospitais e clínicas nos Estados Unidos. Instituições em 192 cidades de 41 estados além do distrito federal foram invadidas, de acordo com o H-ISAC - Health Information Sharing & Analysis Center. O Conti

reconheceu a autoria em 2022 de invasão bem-sucedida a laboratórios de câncer, centros cirúrgicos e uma empresa farmacêutica, entre outros. Os ataques se destinam a vazar dados confidenciais e a obter ganhos com o bloqueio dos sistemas, que, estima-se, ultrapassaram US$ 600 milhões somente em 2021. Mas, em hospitais, os danos vão sempre além das perdas financeiras. Entre os impactos relatados estão o cancelamento de cirurgias e atendimentos em geral, além da interrupção de serviços essenciais exigindo a transferência urgente de pacientes.

Do ponto de vista tecnológico, um hospital é uma grande rede OT, não muito diferente de uma indústria, na qual uma série de equipamentos médicos não informáticos são conectados a uma rede IP, os chamados IoMT Internet of Medical Things. A esses devemos somar uma miríade de outros dispositivos, como sensores de temperatura e umidade, câmeras de segurança, refrigeradores de vacinas e medicamentos, entre outros. Herda, dessa forma, todos os desafios de segurança que encontramos nas redes industriais, sobretudo de dispositivos com vulnerabilidades não corrigidas, agravado pela falta geral de cultura de segurança cibernética no setor. A análise pósataques acaba por confirmar a tese. Não foram, dessa forma, ataques extremamente complexos ou que usaram novas tecnologias. As técnicas mais utilizadas foram o roubo de credenciais e o phishing. O FBI apurou que este é aliás o método preferido do Conti, que embute scripts Powershell em arquivos Office anexos para iniciar o Cobalt Strike e depois baixar o Emotet.

Um relatório publicado este ano pela Cynerio, empresa norte-americana especializada em infraestrutura de saúde, mostra a extensão do desafio. Os equipamentos médicos (exames de imagem, por exemplo) usam diferentes sistemas operacionais, desde Linux a proprietários, que carecem de um processo padronizado de atualização, análise e correção de vulnerabilidades, que por sua vez já é impactado pela natureza do uso contínuo dos equipamentos. O relatório cita que 53% dos aparelhos pesquisados apresentavam vulnerabilidades de alto risco. O

Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.

cenário se agrava com os computadores a eles conectados, a grande maioria Windows, e desses, uma grande parte com versões antigas, algumas já descontinuadas. Como fazem parte do equipamento médico, não seguem os processos de atualização dos computadores da rede de TI dos hospitais. O relatório da empresa norteamericana cita especificamente as bombas de infusão, destinadas à administração controlada de medicamentos e nutrientes. Estes são a maioria dos equipamentos conectados, e três em cada quatro deles apresentavam pontos de fragilidade.

Os anos de pandemia trouxeram um desafio adicional, com potencial de agravar os riscos das redes hospitalares: a telemedicina e o trabalho remoto, não muito diferente do que outras empresas experimentaram. Sabemos que a VPN pode ser um tapete vermelho para um invasor, que pode facilmente roubar credenciais e ter acesso privilegiado a uma rede sem controles internos, aproveitando-se muitas vezes de computadores domésticos fora dos padrões da instituição ou compartilhados com familiares.

Felizmente, a estratégia de proteção não requer técnicas novas. Estudos e boas práticas para redes OT e trabalho remoto são aplicáveis e podem melhorar muito os níveis de segurança. Vejo como pilares a adoção de procedimentos regulares de atualização dos equipamentos IoT - Internet das Coisas conectados, médicos e não médicos, investimento massivo em conscientização dos profissionais de saúde e demais funcionários, autenticação segura através de múltiplo fator de autenticação, e segmentação de rede norte-sul e leste-oeste.

A segmentação é o que traz maior benefício. Por leste-oeste entende-se a comunicação entre equipamentos que compartilham o mesmo segmento de rede, seja física ou virtual. Através de tecnologias de microssegmentação tal acesso pode ser controlado a ponto dos dispositivos apenas se comunicarem com quem efetivamente precisam se comunicar. Assim câmeras de vigilância não teriam acesso a equipamentos médicos, que não teriam acesso a refrigeradores ou qualquer outro dispositivo. Além disso, da mesma forma que se recomenda em indústrias, as redes de escritório devem ser completamente isoladas das redes OT. Dessa maneira, mesmo sendo quase impossível evitar que um computador seja invadido, a extensão do ataque fica limitada. Isolam-se também equipamentos IoMT que possuem dificuldades de atualização para correção de vulnerabilidades. O problema é atualmente grande, mas há tecnologia e conhecimento para reduzi-lo. Essa é a boa notícia.

Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.