Os hospitais americanos testemunharam um ataque de violações de segurança ao longo de 2021, com mais de 40 milhões de registros de pacientes comprometidos em incidentes relatados ao governo federal. Alguns ataques até ameaçaram a prestação de serviços de saúde, deixando os sistemas de comunicação offline por semanas ou causando uma interrupção na radioterapia.
Kevin Fu, professor associado da Universidade de Michigan e Diretor Interino de Segurança Cibernética de Dispositivos Médicos do Centro de Dispositivos e Saúde Radiológica da FDA dos EUA, reuniu-se conosco e discutiu a tendência alarmante e quais medidas são possíveis para resolvê-la.

Conte-nos sobre o escopo deste problema

2021 foi um ano bastante substancial para ataques de ransomware na prestação de serviços de saúde. É muito perturbador e atinge o coração dos pontos fracos da segurança – o elemento humano entrando sorrateiramente.

Em abril, na FDA, vimos a primeira instância em que o ransomware foi além de interromper os registros eletrônicos de saúde, o que até hoje era um problema bastante comum e inconveniente. Este ataque afetou a segurança e eficácia da radioterapia para oncologia de radiação do câncer.

Esse ataque teve como alvo um fabricante, invadindo uma nuvem privada que eles usavam para a dosimetria de oncologia de radiação com ransomware e causando uma interrupção significativa nos hospitais que usavam sua tecnologia. O interessante é que não foi o ransomware em si, mas o processo de remediação, que causou a interrupção. O fabricante seguiu seu manual de segurança de TI colocando sua nuvem offline quando foi infectada.

Infelizmente, isso significava que a nuvem não estava disponível para uma determinada linha de produtos de oncologia de radiação e, portanto, os hospitais que usavam o produto não podiam fornecer a radioterapia.

Quando pensamos em ransomware hospitalar, tendemos a pensar no próprio prédio e nos dispositivos que estão confinados a essas paredes, mas parece que os pontos de falha em risco se estendem até a cadeia de suprimentos

Sim, e acho que um verdadeiro desafio é uma mudança de pensamento. Existem sistemas de TI – e-mail, palestras em sala de aula, coisas assim – e eles têm seu próprio conjunto de riscos. Mas, por outro lado, você tem tecnologia operacional, o que chamamos de OT, incluindo dispositivos médicos, veículos autônomos ou ativos de satélite no espaço. Eles têm um conjunto diferente de requisitos e tendem a se concentrar primeiro na segurança.

Portanto, embora você possa tolerar a desativação do sistema de e-mail de uma empresa por causa de um incidente de segurança, isso não é realmente algo em cima da mesa para um sistema cinético em que a vida das pessoas depende disso.

Por que agora? Existe algum motivo específico para este ser um problema crescente?

Eu sugeriria vários fatores. Esses problemas foram incorporados à computação desde o início, e esse tipo de ataque poderia muito bem ter sido executado na década de 1960.

Mas acho que a razão pela qual isso está acontecendo em 2022 é que chegamos a um ponto de inflexão em que o grau de conectividade entre dispositivos e serviços em todos os setores explodiu. Agora somos dependentes da computação distribuída. Cinco ou dez anos atrás, poderíamos ter empregado a computação em nuvem por conveniência, ou talvez para backup ou armazenamento secundário. Mas agora está entrando no caminho crítico, faz parte dos componentes essenciais de um dispositivo médico. E se cair, o dispositivo médico perde sua principal funcionalidade terapêutica.

É uma época difícil. Não há nada intrinsecamente errado com a computação em nuvem, mas você precisa controlar os riscos de acordo com seu modelo de ameaça. E minha observação é que o modelo de ameaça para um dispositivo médico é muito diferente do e-mail corporativo.

Existem alguns pontos fracos primários que são fáceis de resolver?

O fruto mais fácil em termos de facilidade de reparo seria o que ficou conhecido como modelagem de ameaças. Isso é algo que realmente ensinamos em cursos de segurança de computadores. Envolve desempenhar o papel de adversário, tentando pensar em como o sistema poderia resistir não apenas às ameaças de hoje, mas também às ameaças futuras.

Isso é algo que acho que pode ser muito útil porque, mesmo com um dispositivo legado, os fabricantes podem entender melhor o que está em risco. Eles começam reconhecendo que o dispositivo é suscetível a malware moderno porque foi projetado há 20 anos.

Os ataques aos registros de pacientes são direcionados com mais frequência a hospitais isolados ou a servidores compartilhados?

Ainda não estou ciente de um provedor de nuvem sendo direcionado especificamente porque atende a uma infinidade de fabricantes de dispositivos médicos. Eu não ficaria surpreso se isso acontecesse acidentalmente em algum momento.

Certamente esperamos que os provedores de serviços em nuvem que atendem ao setor de saúde estejam atentos a alguns dos desenvolvimentos de padrões para garantir que os dispositivos dos hospitais permaneçam seguros e eficazes, mesmo que usem a nuvem.

Isso é possível de uma perspectiva de engenharia, mas requer passos conscientes e deliberados se você quiser uma garantia razoável. Você não quer ter segurança por sorte, você quer ter segurança por design.

Qual ​​é a mensagem para as partes interessadas e o público?

Este não é um tipo de evento de corrida para as colinas, é mais uma fervura lenta.

O público pode ter algum grau de satisfação com o fato de as diferentes agências reguladoras em diferentes países estarem realmente trabalhando juntas com antecedência nessas questões. Eles estão trabalhando para ajudar a manter os hospitais informados sobre os riscos de segurança de cada dispositivo, para que possam implantá-los de maneira segura.

Há muitas coisas acontecendo em segundo plano, tanto técnicas quanto políticas, que melhorarão os dispositivos.

A FDA está trabalhando estrategicamente no desenvolvimento de padrões para projetar muitos riscos de segurança, mas um desafio é que há bastante software legado no mercado - muitos deles com décadas de idade. Tentar manter esses dispositivos seguros é incrivelmente desafiador quando o cavalo está fora do portão.

Para esse fim, também há muitas medidas temporárias em andamento para lidar com os dispositivos antigos e desatualizados. É desafiador, mas não impossível, manter esses dispositivos seguros e eficazes até que um dispositivo mais ideal, com segurança integrada desde o início, esteja disponível.