Dados da empresa de cibersegurança S21sec indicam que o setor de saúde, que é essencial e crítico para o funcionamento da sociedade, dado lidar com informações de teor confidencial, muitas das quais protegidas pela legislação nacional e europeia, não está a investir em cibersegurança para garantir com eficácia a segurança dos dados.
Os dados dos cartões de crédito/débito têm pouco valor em comparação com os dados de saúde, o que explica o facto dos cuidados de saúde estarem a tornar-se um alvo de ciberataques para a obtenção de lucros pessoais ou benefícios políticos.
Várias famílias de ransomware, a nível internacional, exploram os sistemas de Tecnologias de Informação do setor da saúde, havendo, inclusivamente, algumas que se dedicam principalmente a atacar este setor, como é o caso do ransomware Royal.
A S21sec apurou que o setor da saúde é já um dos cinco mais atacados e recomenda que qualquer incidente ou indisponibilidade de serviços deve ser gerido rapidamente, de forma a minimizar o impacto, a curto, médio ou longo prazo, que pode causar. Nestes ataques a verdadeira vítima é sempre o paciente, quer seja em questões financeiras, reputacionais ou mesmo ao nível da sua própria vida.
Vetores de ataque à cibersegurança
A S21sec descreveu as diferentes tipologias de ciberataques conhecidos que o setor dos cuidados de saúde enfrenta:
■ Ataque remoto ou online: todos os ataques que utilizam a rede ou os serviços online para atingir o seu objetivo. É uma das tipologias mais comuns, na qual os atacantes se podem ocultar com mais segurança e garantir pouca exposição. Estes ataques tornam-se especialmente sensíveis nos cuidados de saúde, com todas as opções de rede que estão a ser desenvolvidas e com a evolução rumo à ‘e-Saúde’. O setor da saúde é um dos setores com o maior número de ataques bem-sucedidos devido a vulnerabilidades da web ou a configurações inseguras resultantes do recente aumento de aplicações e serviços online para a população em geral. Muitos dos ataques têm como propósito descredibilizar a organização, apesar de derivarem de motivos extrínsecos e ocultos.
■ Ataque interno: estes ataques têm origem em alguém que tem acesso à rede e aos serviços a partir do interior da organização. No âmbito da saúde existe um grupo variado de trabalhadores (médicos, enfermeiros, funcionários, administradores, etc.) com alta mobilidade e aos quais se tenta dar o máximo acesso para otimizar a atenção à saúde dos pacientes. Um colaborador pode, involuntariamente, tornar-se cúmplice de um atacante, por desconhecimento ou por engano, ou até mesmo ser o próprio atacante. A falta de hábito ou de formação na utilização de protocolos de segurança ou a vocação para se dedicar inconscientemente aos cuidados do paciente são as causas por detrás da sua vulnerabilidade. Também os pacientes, visitantes, acompanhantes ou aqueles que se fazem passar por eles estão dentro das instalações e podem tornar-se agressores a partir do interior. Outro risco interno é a entrada de dispositivos médicos no mercado com poucas medidas de proteção, ou mesmo com sistemas obsoletos e inseguros. Estes dispositivos podem ser utilizados por utentes a partir das suas próprias casas sem a necessidade de visitar centros médicos, em muitos casos por pessoas que não sabem como se proteger contra ameaças de cibersegurança e que utilizam credenciais previsíveis. Consequentemente, são vítimas perfeitas de um ciberataque de engenharia social ou candidatos para deixar o dispositivo exposto acidentalmente, permitindo que estes sejam estudados para ataques mais avançados.
■ Ataque de proximidade: estão relacionados com tecnologias de comunicação de curto alcance. Em particular, no sector da saúde encontramos muitos dispositivos médicos que fazem uso destas tecnologias (Bluetooth, WiFi, RFID, irDA, etc.), estando grande parte deles mal configurados ou com protocolos obsoletos e inseguros cuja atualização é dispendiosa ou complexa. Estão também localizados em áreas com um alcance de cobertura que atinge áreas comuns, permitindo que o atacante esteja próximo sem a possibilidade de ser descoberto. Como os estabelecimentos de saúde estão constantemente a receber pessoal externo, este tipo de ataques ocorre tanto com acesso físico restrito, como controlado.
■ Ataques à cadeia de fornecimento (ou fornecedor): são ataques provenientes do fornecedor com o objetivo de chegar aos seus clientes. Esta tipologia de ataque tornou-se muito popular na atualidade e assume uma conotação diferente nos cuidados de saúde devido ao grande número de fornecedores e aos múltiplos tipos de acesso que estes possuem. Durante várias auditorias, a S21sec deparou-se com inúmeras interfaces de gestão de dispositivos com medidas de segurança ineficientes, dispositivos estes que estavam diretamente ligados à rede de hospitais, centros de saúde ou outros dispositivos críticos.