O especialista do time de pesquisa e análise globais (GReAT) da Kaspersky Lab, Sergey Lozhkin, realizou um estudo de campo em uma clínica hospitalar privada, com o objetivo de investigar falhas de segurança e aprender como solucioná-las. O pesquisador apresentou as vulnerabilidades encontradas e que podem ser exploradas por cibercriminosos para acessar dados de pacientes e, consequentemente, afetar o bem-estar destes.
As clínicas modernas hoje contam com sistemas hospitalares complexos com dispositivos médicos sofisticados e computadores funcionais com sistema operacional e aplicativos instalados. Em outras palavras, os médicos agora dependem dos computadores e todas as informações desses hospitais são armazenadas em formato digital. Além disso, as tecnologias na área de saúde estão conectadas à internet. Por conta disso, não é surpresa que tanto os dispositivos médicos quanto a infraestrutura de TI dos hospitais já tenham sido alvos de hackers. Os exemplos mais recentes desses incidentes foram os ataques de ransomware contra hospitais nos EUA e Canadá.
Mas os grandes ataques de malware são apenas uma forma pela qual cibercriminosos podem explorar a infraestrutura hospital atual. Outros potenciais alvos são as informações pessoais dos pacientes que podem ser roubadas ou os equipamentos caríssimos utilizados nos exames, que são difíceis de consertar ou substituir e que podem ser usados em extorsões.
Ataques bem-sucedidos contra organizações médicas
Um ataque cibernético contra organizações médicas pode usar diversas táticas e as consequências são diversas. Como por exemplo, o uso criminoso de dados pessoais de pacientes para revenda de informações a terceiros; exigência de um resgate financeiro para liberar o acesso às informações confidenciais sequestradas por um ransomware; falsificação intencional de resultados ou diagnósticos de pacientes; ou avarias nos equipamentos médicos, que podem causar tanto danos físicos aos pacientes quanto enormes prejuízos financeiros para a clínica. Sem falar no impacto negativo na reputação da organização que teve seus dados violados por um cibercriminoso.
Exposição na internet
A primeira ação que o especialista da Kaspersky Lab decidiu fazer durante a pesquisa foi tentar descobrir quantos dispositivos médicos ao redor do mundo estão conectados à internet. Esses equipamentos são computadores totalmente funcionais, dotados de sistema operacional, além da maioria possuir alguma conexão com a web. Ao invadi-los, os cibercriminosos podem interferir em suas funcionalidades.
Uma olhada rápida no mecanismo de pesquisa de dispositivos conectados à internet Shodan mostrou centenas de aparelhos registrados, de tomógrafos de ressonância magnética a equipamentos de cardiologia, aparelhos médicos radioativos e outros dispositivos relacionados. Esta descoberta leva a conclusões preocupantes — alguns desses dispositivos ainda funcionam com sistemas operacionais antigos, como o Windows XP, que não conta mais com pacotes para a correção de vulnerabilidades — e há até alguns que usam as senhas padrão do fabricante, que são facilmente encontradas nos manuais disponíveis publicamente. Os criminosos podem usar essas vulnerabilidades para acessar a interface dos equipamentos e alterar seu funcionamento. E golpes deste tipo já são uma realidade! No Brasil, golpistas usam as senhas padrões dos fabricantes de roteadores para controlar o acesso à internet das vítimas e redirecioná-los para sites falsos, quando estes vão usar o Internet Banking.
Dentro da rede local das clínicas
O cenário que descrevemos acima foi uma das formas como os cibercriminosos conseguiram acessar a infraestrutura crítica da clínica onde o estudo foi realizado. Porém, a maneira mais óbvia e lógica seria tentar invadir a rede local. Durante a análise conduzida por Lozhkin, ele descobriu uma vulnerabilidade na conexão Wi-Fi da clínica, que permitiu acesso à rede local por causa de um protocolo de comunicação fraco.
Explorando a rede local, o especialista da Kaspersky Lab observou que alguns equipamentos médicos já tinham sido vistos no Shodan. Contudo, dessa vez, para obter acesso ao equipamento, não era necessário fornecer qualquer senha, pois a rede local aparecia como uma rede confiável para usuários e aplicativos de equipamentos médicos. Dessa maneira, um cibercriminoso teria acesso livre a todos os dispositivos médicos.
Continuando a investigação da rede, o especialista descobriu ainda uma vulnerabilidade no aplicativo de um dispositivo médico. Foi implementado na interface do usuário uma interface de linha de comando que permitia o acesso dos criminosos a informações pessoais dos pacientes, inclusive seu histórico clínico e informações de exames médicos, assim como seus endereços e detalhes de identificação. Além disso, todo o dispositivo controlado por esse aplicativo poderia ser comprometido. Por exemplo, entre esses dispositivos poderia haver tomógrafos de ressonância magnética, equipamento de cardiologia, radioativo e cirúrgico. Primeiro, os criminosos poderiam alterar a forma como o dispositivo funciona e causar danos físicos aos pacientes. Depois, poderiam danificar o próprio dispositivo, com custos enormes para o hospital.
“As clínicas não são mais formadas apenas por médicos e equipamentos médicos, eles contam agora com serviços de TI. A segurança interna de uma clínica afeta a proteção dos dados de pacientes e a funcionalidade de seus dispositivos. Os engenheiros de software e fabricantes de equipamentos médicos investem muito na criação de dispositivos capazes de salvar e proteger a vida das pessoas, mas, às vezes, esquecem completamente de protegê-los contra o acesso externo não autorizado. Quando se trata de novas tecnologias, os aspectos de segurança devem ser resolvidas na primeira fase do processo de pesquisa e desenvolvimento (P&D). As empresas de segurança poderiam ajudar nessa etapa para resolver os problemas “, destaca Sergey Lozhkin, pesquisador sênior do GReAT da Kaspersky Lab.
Recomendações dos especialistas da Kaspersky Lab às clínicas
A Kaspersky Lab recomenda algumas medidas de segurança a fim de diminuir a vulnerabilidade de clínicas médicas e hospitais. Por exemplo, usar senhas fortes para proteger todos os pontos de conexão externa; atualizar as políticas de segurança de TI, fortalecendo o gerenciamento de correções e as avaliações de vulnerabilidades oportunas; proteger aplicativos de equipamentos médicos na rede local usando senhas fortes para evitar o acesso não autorizado à área confiável; proteger a infraestrutura contra ameaças, como malware e ataques de hackers, com uma solução de segurança confiável; fazer backup das informações críticas regularmente e manter uma cópia de backup offline.