iTech
A adoção da IoT no setor da saude não tem sido acompanhada pela adoção de boas-práticas de segurança, incluindo equipamentos com sistemas operativos sem suporte, criando elevados risco de segurança em aplicações críticas
11/03/2019
A equipa de investigação da Check Point, destacou, recentemente, os perigos que pode representar se um equipamento de ultrassom for atacado. A empresa de segurança propôs-se a fazê-lo e investigou todo o processo para perceber o que daí pode advir. A Check Point descobriu então que o sistema operativo dos ultrassons era o Windows 2000, uma plataforma que já não recebe suporte para correções, nem atualizações – o que deixa estas máquinas, e toda a informação que estas capturam, vulneráveis a ciberataques. Os dispositivos IoT tornam a vida mais simples. A tecnologia smart home, por exemplo, ajuda os seus utilizadores a potenciar a eficiência energética através da possibilidade de ligar e desligar os dispositivos com um simples toque no ecrã do seu dispositivo móvel. Da mesma forma, as organizações de todas as indústrias também adotaram estas tecnologias, rapidamente, com o objetivo de melhorar o seu desempenho e eficiência. No entanto, no mais recente relatório da Check Point sobre Cloud, Mobile e plataformas IoT, os dispositivos IoT foram identificados como um dos elos mais fracos das redes de TI. A Indústria da saúde é uma indústria que se move particularmente rápido no que diz respeito à adoção do Internet of Medical Things (IoMT). A tecnologia ultrassom, é um exemplo dos avanços tecnológicos e do que estes têm conseguido fornecer, tanto a pacientes como a médicos - informação muito mais detalhada e passível de salvar vidas. No entanto, e infelizmente, este avanço tecnológico não se estendeu ao ambiente de segurança das TI, no qual este tipo de máquinas se encontra conectado para transmissão de imagens e informação. Graças a uma, já antiga e bem conhecida, vulnerabilidade no Windows 2000, não foi difícil para a equipa de investigação da Check Point conseguir aceder ao banco de imagens dos pacientes do ultrassom.
O motivo para um ataqueOs ciberataques em hospitais ocorrem quase semanalmente. Um dos exemplos mais recentes de um ataque de ransomware aconteceu no Melbourne Heart Group que viu toda a sua informação ser remexida e feita cativa por hackers. Outro ataque bastante relevante aconteceu o ano passado com o sistema de saúde de Singapura. O SingHealth, foi vítima de uma fuga de informação massiva e assistiu ao roubo dos registos de saúde do Primeiro Ministro, seguido do roubo dos registos de 1.4 milhões de pacientes do UnityPoint, umas semanas depois. Também em maio de 2017 assistiu-se ao ataque WannaCry que resultou no cancelamento de 20.000 consultas no Serviço Nacional de Saúde do Reino Unido e no gasto de mais de 150 milhões de libras esterlinas na tentativa de remediar a situação. Curiosamente, o que originou todo o prejuízo foi, precisamente, o não ter sido corrigido uma falha no sistema Windows. Devido à grande quantidade de informação pessoal que foi possível roubar e transferir eletronicamente, as organizações de saúde tornaram-se nos principais alvos dos cibercriminosos que, para além de quererem causar disrupção em massa, também pretendem lucrar com o ataque que originam. No final, toda a informação valiosa que roubam pode ser usada como moeda de troca para terem acesso a serviços médicos de elevado custo monetário, dispositivos e prescrição de medicamentos, bem como para a aquisição fraudulenta de benefícios governamentais na área da saúde. De acordo com o estudo Ponemon’s Cost of Data Breach, ao atingir um valor de 408 dólares por registo de saúde, o sector da saúde exige o valor mais alto até ao momento para corrigir uma falha de segurança – o que contrasta com média de 225 dólares por registo pago por outras organizações. Estes custos incluem taxas para investigar e corrigir todo o prejuízo causado por um ataque, bem como o pagamento de multas, resgates ou até fundos que tenham sido roubados. Os ataques podem também resultar na perda de registos e informação de pacientes, bem como causar prejuízos de longa duração na reputação da instituição de saúde.
O problema de segurançaA natureza dos ambientes de saúde é crítica uma vez que requer, muitas vezes, acesso imediato à informação dos pacientes que se encontra dispersa em diversos dispositivos e aplicações. Como resultado, conseguir um tempo de inatividade do sistema para fazer algumas atualizações que o mantenham mais seguro não é algo que seja facilmente conseguido. Para além disso, existem vulnerabilidades inerentes que vêm com a utilização de dispositivos médicos, como é o caso dos ultrassons que se encontram conectados a toda a rede da organização e que acabam por ser afetados pela impossibilidade de realizar atualizações e correções nos seus sistemas, bem como pela falta de encriptação de informação confidencial quer no envio como na sua receção, tal como com as credenciais de login. Como resultado, o risco de ciberataques nas organizações de saúde é enorme. Estes ataques podem levar à perda e à partilha de informação pessoal, alterando a informação médica do paciente do ponto de vista médico, dosagens, etc e ações de hacking a máquinas de Imagem por Ressonância Magnética (IRM), ultrassons e raio-X nos hospitais. Deste modo, a cibersegurança em aplicações e dispositivos médicos torna-se literalmente numa questão de vida ou morte.
A soluçãoAs vulnerabilidades de segurança mencionadas anteriormente, destacam a importância que se deve dar à infraestrutura de TI das organizações de saúde. Ao mesmo tempo que continuam a haver questões bastante vagas no que respeita à padronização do protocolo de segurança relativo aos dispositivos Internet of Medical Things (IoMT), também já existe muito que as organizações de saúde podem fazer para proteger as informações dos seus pacientes. As organizações de saúde devem permanecer alerta para os vários pontos de entrada que existem em toda a sua rede. Podem ser centenas, se não milhares de dispositivos conectados a redes de TI, cada um deles portador de vulnerabilidades tanto no seu hardware como no seu software. Detetar a totalidade destas vulnerabilidades é impossível, no entanto é essencial que as organizações de saúde disponham de soluções de prevenção de segurança avançadas, preparadas para dar apoio nos inevitáveis ataques que tentarão tirar partido das referidas vulnerabilidades. Para além disso a segmentação não deve ser sobrestimada. Fazer a separação entre a informação do paciente e o resto da rede de TI, oferece aos profissionais de TI de saúde, a visão clara de todo o tráfego e facilita a deteção de movimentos suspeitos, que podem indicar uma falha na segurança ou uma ameaça num dispositivo IoMT. A segmentação poderá também ajudar estas organizações a prevenir o roubo de informação ou a propagação de malware codificado e, em vez disso, conseguir isolar a ameaça. A segmentação deve também ser aplicada a todo o staff da área de saúde que, dentro da organização, que tenha acesso aos referidos sistemas. Estes só deverão ter acesso aos sistemas que realmente necessitam para cumprir as suas funções. Os benefícios que os dispositivos médicos oferecem não podem ser ignorados. Estes possibilitam não só o armazenamento e a fácil e eficiente gestão de informação sensível que pode mesmo chegar a salvar a vida de pacientes, e facilitam o trabalho dos médicos. No entanto, as organizações de saúde devem estar cientes das vulnerabilidades adjacentes a estes dispositivos e da crescente possibilidade de existência de falhas de segurança nos mesmos. A segmentação da rede é uma excelente medida que permite que os profissionais de TI, no setor da saúde, tenham confiança para adotar novas soluções médicas digitais, ao mesmo tempo que oferecem uma nova camada de segurança e proteção de dados, sem comprometer a sua performance e fiabilidade |