“Quando um hacker assume o controlo de todos os dispositivos ligados à rede de um hospital em Dallas e ameaça matar um paciente por cada hora que passar sem que as suas exigências sejam cumpridas, a equipa de combate ao cibercrime tem que descobrir de que forma os criminosos conseguiram ultrapassar o sistema de segurança robusto desta unidade de saúde.” Esta é a sinopse de um episódio da série CSI: Cyber, emitido em finais de 2015.
O episódio mostrou ser premonitório, tendo em conta as duas tendências de ataque que surgiram nos últimos 18 meses. A primeira diz respeito à crescente aposta por parte dos hackers nos ataques a hospitais: em 2016, pelo menos 14 hospitais foram atacados com ransomware. Um deles, em Los Angeles, teve alegadamente que pagar 17 mil dólares para recuperar o acesso aos seus registos médicos contendo o historial dos pacientes, resultados de Raio-X, TAC e ressonâncias magnéticas, entre outros exames médicos.
No início deste ano, o serviço de saúde público do Reino Unido foi severamente afetado pelo ataque do famigerado WannaCry, resultando no cancelamento de cirurgias e no encerramento de blocos e outras secções hospitalares. Afinal, os hospitais executam alguns dos sistemas de TI de missão crítica mais importantes do mundo – o que os torna num alvo preferencial dos hackers que procuram obter largas somas de dinheiro através de pedidos de resgate.
A segunda tendência prende-se com a exploração de vulnerabilidades existentes nos dispositivos inteligentes usados nos hospitais, como forma de potenciar os ataques. No episódio de que falei antes, a equipa CSI:Cyber descobriu que o hacker começou por ter acesso à rede do hospital através de uma smart TV, permitindo-lhe controlar remotamente os dispositivos médicos ligados à rede.
O risco de ataques como este não deve ser menosprezado. O sector da saúde rendeu-se com grande entusiasmo à Internet das Coisas (IoT) e não é difícil perceber porquê. Os dispositivos inteligentes possuem o enorme potencial de salvar vidas: ajudam a recolher e a analisar dados médicos que antes estavam inacessíveis e permitem aos profissionais da saúde prestar rápida e remotamente serviços e tratamentos essenciais e personalizados. A combinação do big data e do machine learning nos dispositivos IoT significa ainda mais inovação e vantagens para os serviços de saúde, como nunca antes visto.
Por outro lado, esta proliferação de tecnologia conectada tem implicações preocupantes no que toca à integridade de dados sensíveis sobre os pacientes e ao funcionamento contínuo e sem falhas dos sistemas. Os dispositivos IoT da saúde precisam de ser capazes de proteger todos os dados que recolhem, transmitem e guardam, mantendo-os a salvo de criminosos que pretendem interceptá-los. Isto significa que, se não forem desde logo desenhados e construídos tendo a segurança em mente, desde o seu início, mais cedo ou mais tarde tornar-se-ão vulneráveis.
Mas, afinal, quão vulneráveis estão os dispositivos IoT já hoje existentes nos hospitais a possíveis ataques? Para avaliar este grau de vulnerabilidade, é importante distinguir entre os vários tipos de dispositivos e qual a intenção do seu uso.
Existem dispositivos médicos wearable externos, como bombas de insulina, e internos, como pacemakers, sendo fácil perceber como um ataque malicioso a um destes dispositivos através do controlo remoto sobre o mesmo poderia ter consequências letais sobre o paciente.
E depois há outros dispositivos estacionários dentro dos hospitais, como dispensadores inteligentes de medicamentos ou estações de quimioterapia. Mais uma vez, as possibilidades de os cibercriminosos interferirem no cuidado prestado ao paciente são preocupantes. Os mesmos dados que permitem aos médicos ajustar o funcionamento dos dispositivos podem ser usados maliciosamente, se o hacker lhes conseguir deitar a mão. Como já referi antes, é possível aceder às redes utilizadas por dispositivos médicos através da infeção causada noutro dispositivo – tais como uma smart TV ou um tablet –, movimentando-se lateralmente ao longo de toda a rede hospitalar, a menos que essas redes sejam devida e cuidadosamente segmentadas.
A solução está na mão de todos
Tudo isto pode parecer demasiado negro e pessimista, mas a verdade é que existem muitas formas de os designers e fabricantes dos dispositivos IoT para a saúde, bem como de as próprias organizações que os implementam, mitigarem estes riscos.
Desde logo, ter em atenção as próprias diretrizes do futuro RGPD, o novo Regulamento Geral de Proteção de Dados, e embutir mecanismos de privacidade desde o início. Da mesma forma, todos os fabricantes devem ter como obrigatória a adoção do Secure Software Development Lifecycle (S-SDLC), que incorpora modelos de ameaças.
Em segundo lugar, quando as organizações hospitalares e outras começam a criar o seu ecossistema IoT, devem assegurar-se de que possuem um sistema de segurança endpoint e móvel adequado. Uma abordagem integrada, que assegura que todos os dispositivos estão protegidos com uma única arquitetura de segurança, é sempre a melhor estratégia.
A Internet das Coisas pode, de facto, ajudar a escrever uma nova página na vida das pessoas e na forma como ajuda os sistemas de saúde a salvá-las, mas pode também ser uma porta aberta aos hackers, cuja única motivação é o lucro financeiro, mesmo que para isso tenham que causar a morte pelo caminho. Designers, fabricantes, profissionais de saúde e pacientes precisam de trabalhar em conjunto para manter este cenário limitado às séries de ficção.
Comentários