Nos últimos dois anos, o COVID-19 tem estado no centro das preocupações dos prestadores de cuidados de saúde, tendo em conta a enorme dimensão da pandemia entre os doentes. Contudo, outra ameaça que causa grandes danos às vezes passa despercebida: o ransomware. Apesar de os ataques ransomware receberem muita publicidade, o dano irreversível que esta ameaça pode causar aos pacientes é muitas vezes ignorado.
Ataques cibernéticos são um tipo de pandemia que tem crescido significativamente nos últimos anos e se tornaram parte da rotina para o setor da saúde. Os administradores da saúde já entenderam que as ameaças na web fazem parte do “novo normal”. No entanto, as conversas sobre perigos da tecnologia geralmente se concentram na parte inferior, como despesas de contenção, não conformidade ou operações.
Para um ramo cujo objetivo é melhorar a nossa qualidade de vida, parece surpreendente que as principais preocupações de segurança cibernética sejam vistas apenas em termos de perdas financeiras. Os líderes da área da saúde, médicos e outros cuidadores precisam considerar os riscos de segurança cibernética sob um novo ponto de vista: a saúde e a segurança dos pacientes.
Ransomware e profissionais de saúde prometem não causar nenhum dano.
Os profissionais de saúde dão toda a sua atenção para garantir que os pacientes sejam preservados de danos. Hoje, em meio à era digital, este compromisso vai além do fornecimento de cuidados diretos. Um ataque por ransomware pode ser tão devastador quanto uma doença terminal, colocando os pacientes em perigo.
No outono de 2020, o Centro Médico da Universidade de Vermont sofreu um ataque que comprometeu algumas de suas operações. A invasão de ransomware nos sistemas, como os documentos médicos eletrônicos, durou quase um mês, resultando na necessidade de afastar centenas de pacientes de tratamentos de quimioterapia no Centro de Câncer da UVMC.
A clínica de câncer forneceu grande parte dos serviços às áreas rurais, por isso o ciberataque tocou profundamente os pacientes, deixando-os aterrorizados, angustiados e chorando. Segundo o New York Times, uma enfermeira disse: “Foi horrível e comovente dizer a alguém que não podem ter seu tratamento prolongado ou salvador”.
Relatos como os dos pacientes da UVMC são incomuns, mas não únicos. Um estudo recente do Ponemon Institute (PDF) revelou que 43% das organizações de saúde pesquisadas foram vítimas de ataques de ransomware nos últimos dois anos. As conseqüências foram desastrosas, como atrasos em procedimentos e testes (experimentados por 70% dos hospitais afetados por ransomware), aumento de complicações médicas (36%) e taxas de mortalidade mais altas (22%).
Refletindo sobre o valor da segurança cibernética
A ECRI, uma organização sem fins lucrativos focada na segurança do paciente, que tem como foco principal a segurança cibernética, está atacando o maior risco de tecnologia de saúde para 2022 (PDF). Os fatores que influenciaram a classificação foram gravidade, frequência, abrangência e previsibilidade. O relatório da ECRI destaca que os incidentes de cibersegurança “não apenas interferem nas operações comerciais – eles podem interromper o tratamento do paciente, colocando uma verdadeira ameaça de danos físicos”.
Espera-se que esta ameaça seja significativa, pois os actores de ameaças dirigem o setor a uma taxa assustadora. O UVMC é um exemplo, pois logo após os funcionários do governo dos Estados Unidos alertarem sobre possíveis ataques cibernéticos por parte de hackers russos em hospitais americanos, eles atacaram o centro médico. Esta não foi a primeira vez que se deu tais alertas.
A cibersegurança não é certamente algo novo para a área de saúde. Por um longo tempo, especialistas em tecnologia da informação e segurança cibernética alertaram que a saúde estava muito atrás de outros setores na implementação de defesas fortes. No entanto, o risco de ransomware destaca as falhas na segurança cibernética, pois o impacto nos pacientes é imediato e o dano causado é muito maior do que em uma violação de dados.
É imperativo que decisores e profissionais de saúde compreendam os benefícios da cibersegurança e os prejuízos humanos que ocorrem quando ela falha. Os indivíduos vão ao hospital ou clínica esperando tratamento, às vezes com pressa. Se o serviço não pode ser entregue por causa do sequestro de sistemas por parte dos delinqüentes digitais, a confiança do paciente é violada, colocando assim suas vidas em risco. Devido ao aumento rápido dos ataques cibernéticos no setor, situações semelhantes às vistas no caso da UVMC se tornarão cada vez mais comuns.
Em que matéria devo investir?
A segurança na internet não é simples de solucionar em nenhuma área, mas é ainda mais complexa na saúde. Vários fatores, incluindo equipamentos médicos conectados, várias localizações e sistemas antigos, criam desafios significativos. E isto não é ajudado pelo fato de que muitas organizações de saúde têm um orçamento de TI limitado, o que não é suficiente para implementar soluções de segurança cibernética eficazes.
Não é mais possível deixar equipes de TI com poucos recursos para defender contra ameaças cibernéticas. Organizações de saúde devem perceber que, no ambiente de hoje, prover cuidados de saúde exige não só equipamentos médicos e profissionais, mas também robustas defesas de segurança de computadores. Se a segurança cibernética for descuidada, a prestação de cuidados de saúde ficará prejudicada.
Como pode-se forçar os responsáveis a enxergar sua responsabilidade sob uma nova perspectiva? Inicie-o narrando-lhes histórias que precisam ouvir. Por exemplo, a de uma mãe com dois filhos que foi negada seu tratamento necessário. Ou a de uma enfermeira que trabalhou num centro médico ameaçado por ransomware e comparou-o a trabalhar em uma unidade de queimaduras após o ataque de Boston Marathon. Ou ainda a de uma mãe que acusa um ataque de ransomware pela morte de seu bebê.
Estas não são estratégias de intimidação. São mensagens que convertem riscos de segurança cibernética em consequências para as pessoas. Se isto não despertar o interesse dos diretores ou outros responsáveis para realizar investimentos em cibersegurança, o que o fará?
Ryan Witt é o responsável pela segurança cibernética da Proofpoint.
Aproveite as informações extras da comunidade Infosec Insiders da Threatpost e visite seu microsite.
Mande esse artigo para outras pessoas.
- InfoSec Insider é um site de notícias e tendências sobre segurança da informação que mantém os usuários atualizados sobre os últimos acontecimentos na área.