retornar retornar
Descodificação de ameaças cibernéticas  para 2023

POR:
Diego Staino
Pesquisador e Instrutor de Cibersegurança

COMPARTILHAR

Twitter Facebook Linkedin

Cibersegurança na era digital da saúde

Os sistemas de saúde e os vários dispositivos associados à saúde apresentam um conjunto único de desafios para a segurança cibernética. Os ataques cibernéticos a centros de saúde e espaços associados podem (e têm) acarretado consequências graves, como violações de dados de pacientes, perda de vida ou disseminação de doenças. Aqui compartilhamos um example.

À medida que avançamos em direção a uma maior interoperabilidade entre dispositivos médicos e redes em ambientes de saúde, é mais importante do que nunca que as melhores práticas de segurança cibernética sejam seguidas por todas as partes envolvidas, especialmente os fabricantes de dispositivos, responsáveis por garantir que haja controles adequados antes que os produtos sejam usados por clientes, pacientes, ou qualquer outra pessoa envolvida...

Neste ponto, embora o objetivo final seja sempre o de proteger as pessoas em algumas das suas vertentes, podemos fazer algumas divisões:

At this point, although the final objective will always be to protect people in some of its aspects, we can make some divisions:

⦁ Proteger a saúde e a segurança física do paciente

Esses aspectos estão principalmente nas mãos dos desenvolvedores e fabricantes de dispositivos, sensores e todos os tipos de elementos médicos que fazem a interface entre pessoas e máquinas. Algumas perguntas que podemos nos fazer:

Um DEA (Desfibrilador Externo Automático) pode administrar uma carga enorme que nos cause danos irreversíveis? Um simples raio-x pode se tornar uma dose prejudicial de radiação? Neste ponto podemos dizer que estamos interessados na integridade, em suma, que os sistemas façam o que devem fazer.

⦁ Assegurar o funcionamento do serviço

Nos sistemas médicos, a disponibilidade é um dos fatores mais determinantes, em um sistema que para de funcionar dentro da indústria metalúrgica, por exemplo, o funcionamento de uma série de fornos de fundição pode parar e assim imobilizar uma linha de produção (Você pode ler aqui mais sobre Indústria 4.0). Em ambientes de saúde, por outro lado, a disponibilidade pode estar diretamente ligada a uma vida.

Um respirador artificial pode ser afetado por uma injeção de código?O que acontece se o sistema de admissão da sala de emergência estiver infectado com ransomware?
O RTO (Recovery Time Objective) aqui deve ser praticamente 0.

⦁ Proteger a privacidade dos dados
É claro que os ambientes médicos são espaços onde a informação pessoal é um dos principais ativos, do ponto de vista da confidencialidade, aqui encontramos registros que contêm detalhes sobre a saúde das pessoas, sobre seus tratamentos, condições de saúde, imagens e estudos médicos, todo um conjunto de elementos altamente sensíveis.

Onde armazenamos os registros de medicamentos prescritos?
Quem tem acesso ao histórico médico de um paciente e a partir de onde?
O histórico médico de uma pessoa pode estar engarrafado em uma máquina virtual em um ESXI desatualizado.



MedTech

Os dispositivos médicos desempenham um papel importante nas operações dos centros de saúde e, embora não queiramos, eles fornecem uma backdoor para acessar diretamente os pacientes (aos seus dados ou a eles mesmos, o que é muito pior). Podemos começar a traçar algumas semelhanças com um ambiente OT.

Encontramos um universo de tecnologia em constante desenvolvimento como:

  ⦁ monitores de sinais vitais
  ⦁ Sistemas de eletrocardiografia (ECG)
  ⦁ Sistemas de imagem (tomografia computadorizada/ressonância magnética/ultrassonografias)
  ⦁ Sistemas de infusão
  ⦁ Sistemas de anestesia
  ⦁ Sistemas de ventilação (por exemplo, respiradores)
  ⦁ Sistemas de monitoramento de pacientes
  ⦁ Sistemas de medição de radiação

Estes dispositivos podem (e geralmente estão) conectados a uma rede, é aqui que a superfície de ataque aumenta. Eles compartilham informações com outros dispositivos e sistemas de informação, como "Electronic Health Information Systems" (EHR) ou "Information Systems". A conectividade padronizada (ethernet, por exemplo) permite melhor interoperabilidade entre os dispositivos, isso agrega valor aos profissionais de saúde e ao gerenciamento das diferentes funções dos dispositivos.

Um dispositivo médico comprometido pode ter sérias consequências para pacientes, médicos e gerentes. Um invasor cibernético pode acessar um dispositivo médico e modificar os dados monitorados ou alterar as configurações do tratamento, resultando em sérias consequências para a saúde do paciente. Dados pessoais também podem ser roubados e usados para fins maliciosos, o que pode causar danos financeiros (até mesmo emocionais a longo prazo) ao paciente.

Apenas como referência podemos pegar um monitor respiratório (oxímetro) da empresa Medtronic e analisar os diferentes tipos de portas de interconexão, encontramos:

  Porta serial tipo DB-15 (RS-232)
  Porta serial tipo USB
  Porta RJ-45 (Ethernet)
  Antenas de RF (WLAN)



Vamos nos debruçar sobre as vulnerabilidades intrínsecas dos protocolos do tipo serial para os dois primeiros conectores:

  Os dados transmitidos podem ser lidos facilmente se não houver criptografia
  Os dados podem ser manipulados , o que pode levar a registros falsificados
  Este tipo de conexão pode ser vulnerável a injeção de código malicioso
  Exposição, se a conexão estiver aberta qualquer um pode conectar um dispositivo

Por outro lado, relativamente às ligações LAN e WLAN, por enquanto apenas compartilhamos o seguinte aviso do fabricante:“Ao conectar o dispositivo a qualquer outro equipamento, certifique-se de que esteja livre de vírus

Colocamos a maior parte de nossa confiança em todos os outros componentes da rede, na segurança física e na segurança dos sistemas operacionais envolvidos.

Diferentes partes interessadas de uma perspectiva de segurança cibernética



Uma simples questão de cibersegurança

Esses tipos de sistemas ainda são um ambiente que combina TI/OT, com particularidades que podemos considerar críticas. Os diferentes dispositivos juntamente com os pacientes formam apenas uma parte, a outra parte é composta por um conjunto de redes, configurações, servidores, bancos de dados e dados, todo um ambiente de TI. Muitos desses ambientes ainda carecem de controles suficientes (como criptografia, que impede que algo tão trivial quanto pessoas não autorizadas acessem dados confidenciais).



Muitos dispositivos médicos utilizam tecnologias antigas que não foram construídas pensando na segurança, e muitas vezes carecem de medidas de segurança suficientes para evitar brechas, como vimos anteriormente, mas ainda por cima, todo o ambiente fica aquém dos padrões esperados para este tipo de infraestrutura. Muitos hospitais ou centros de saúde estão pendentes de medidas, como manter seus sistemas operacionais atualizados, implementar autenticação multifator e usar criptografia de armazenamento para impedir que criminosos cibernéticos usem o cartão de memória ou o disco rígido do dispositivo como ponto de entrada na rede. Alguns por questões orçamentárias, outros por falta de conhecimento.


Além das normas e marcos regulatórios no campo tecnológico, temos diferentes normas para esta indústria que em maior ou menor grau oferecem algumas garantias.

É importante observar que o atendimento a esses requisitos é de responsabilidade dos profissionais de saúde e das organizações de saúde, alguns desses marcos são obrigatórios e há penalidades civis e criminais em caso de descumprimento. Entre alguns deles podemos encontrar:

HIPAA

É uma lei federal dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações pessoais de saúde dos indivíduos. Aplica-se a organizações de intercâmbio de informações de saúde e à maioria dos prestadores de cuidados de saúde.

ISO27799

É uma norma internacional que estabelece diretrizes para a gestão da segurança da informação na assistência médica. Ele fornece uma estrutura para a implementação de medidas de segurança da informação para proteger a privacidade e a confidencialidade dos dados do paciente, além de melhorar a qualidade do atendimento médico.

ISO14971

É uma norma que estabelece um processo de identificação, avaliação e gestão dos riscos associados aos dispositivos médicos ao longo do seu ciclo de vida. O seu objetivo é assegurar que os riscos associados aos dispositivos médicos são geridos de forma eficaz, minimizando potenciais danos para os doentes e utilizadores.

Dentro dos requisitos técnicos desses frameworks, podemos listar alguns reconhecidos em todos os ambientes computacionais:

  ⦁ Autenticação:
Verificação da identidade do usuário antes de permitir o acesso à informação médica.
  ⦁Autorização:
Permissões explícitas para acesso a informações médicas com base na necessidade de saber.
  ⦁Criptografia:
Criptografia de informações médicas durante a transmissão e armazenamento para protegê-las contra perda ou roubo.
  ⦁ Backups:
Plano de backup para garantir que as informações médicas não sejam perdidas em caso de desastres naturais ou tecnológicos.
  ⦁ Detecção de intrusão:
Sistemas de detecção de intrusão para identificar e responder a ameaças potenciais à segurança da informação.
  ⦁ Avaliação de risco:
Avaliação periódica dos riscos à privacidade e segurança das informações médicas.
  ⦁Gerenciamento de senha:
Políticas e procedimentos para gerenciamento seguro de senhas.
  ⦁ Monitoramento de segurança:
Monitoramento contínuo da segurança da informação médica para detectar possíveis vulnerabilidades.
  ⦁ Proteção de dispositivos móveis:
Medidas para proteger as informações médicas em dispositivos móveis, como smartphones e tablets.
  ⦁ Registro de atividade:
Registro das atividades relacionadas às informações médicas para facilitar a auditoria e o monitoramento

Algumas conclusões

As organizações que utilizam e desenvolvem tecnologia médica implementam medidas de segurança robustas em seus dispositivos (ou deveriam fazê-lo), embora a manutenção desse nível de segurança seja complexa de sustentar ao longo do tempo e dependendo do uso de cada dispositivo.

Na área de arquitetura, a segurança está cada vez mais em destaque "do design à implementação" (para evitar violações de segurança e proteger as informações do paciente), mas é claro que ainda não é suficiente para cobrir o risco e a exposição que as organizações enfrentam hoje em dia.

Também é essencial que os centros de saúde implementem (mas acima de tudo mantenham) políticas e procedimentos de cibersegurança para minimizar o risco de ataques e garantir a segurança de seus pacientes.

Em futuras publicações, exploraremos esses padrões e medidas de proteção.