Os últimos anos têm contado com um aumento geral dos ataques informáticos e, dos diversos setores mais afetados, o da Saúde foi aquele onde os ciberataques foram bem-sucedidos mais vezes.
Os sistemas de IT de hospitais, centros de saúde, fornecedores de equipamento médico e clínicas privadas têm sido atacados cada vez mais frequentemente nos últimos anos, levando a uma maior número de ciberataques bem-sucedidos.
Ransomware é o tipo de ciberataques mais comuns
A S21sec, um dos principais fornecedores de cibersegurança da Europa, dedicou-se a analisar os impactos que os ciberataques podem ter na saúde pública. Este setor, essencial e crítico para o funcionamento da sociedade, lida com informações de teor confidencial, muitas das quais protegidas pela legislação nacional e europeia, o que o torna um setor onde é necessário investir urgentemente na sua cibersegurança.
Os dados dos cartões de crédito/débito têm pouco valor quando comparado com os dados de saúde, o que explica o facto dos cuidados de saúde se estarem a tornar um alvo para os atacantes com vista a obtenção de lucros pessoais ou benefícios políticos.
São várias as famílias de ransomware que, a nível internacional, exploram os sistemas de IT do âmbito da saúde, havendo mesmo algumas que se dedicam principalmente a atacar este setor, como é o caso do ransomware Royal.
A S21sec conseguiu concluir que o setor da saúde é já um dos cinco com maior número de ciberataques e recomenda que qualquer incidente ou indisponibilidade de serviços deve ser gerido rapidamente, de forma a minimizar o impacto, a curto, médio ou longo prazo, que pode causar. Nestes ataques a verdadeira vítima é sempre o paciente, quer seja em questões financeiras, ligadas à reputação ou mesmo ao nível da sua própria vida.
Neste setor tão relevante, existem várias tipologias de ataques conhecidos com os quais deve existir uma maior preocupação:
- Ataque remoto ou online: todos os ciberataques que utilizam a rede ou os serviços online para atingir o seu objetivo. É uma das tipologias mais comuns, na qual os atacantes se podem ocultar com mais segurança e garantir pouca exposição. Estes ataques tornam-se especialmente sensíveis nos cuidados de saúde, com todas as opções de rede que estão a ser desenvolvidas e com a evolução rumo à ‘e-Saúde’. O setor da saúde é um dos setores com o maior número de ciberataques bem-sucedidos devido a vulnerabilidades da web ou a configurações inseguras resultantes do recente aumento de aplicações e serviços online para a população em geral.
- Ataque interno: estes ataques têm origem em alguém que tem acesso à rede e aos serviços a partir do interior da organização. No âmbito da saúde existe um grupo variado de trabalhadores (médicos, enfermeiros, funcionários, administradores, etc.) com alta mobilidade e aos quais se tenta dar o máximo acesso para otimizar a atenção à saúde dos pacientes. Um colaborador pode, involuntariamente, tornar-se cúmplice de um atacante, por desconhecimento ou por engano, ou até mesmo ser o próprio atacante. Outro risco interno é a entrada de dispositivos médicos no mercado com poucas medidas de proteção, ou mesmo com sistemas obsoletos e inseguros.
- Ataque de proximidade: estão relacionados com tecnologias de comunicação de curto alcance. Em particular, no sector da saúde encontramos muitos dispositivos médicos que fazem uso destas tecnologias (Bluetooth, WiFi, RFID, irDA, etc.), estando grande parte deles mal configurados ou com protocolos obsoletos e inseguros cuja atualização é dispendiosa ou complexa. Estão também localizados em áreas com um alcance de cobertura que atinge áreas comuns, permitindo que o atacante esteja próximo sem a possibilidade de ser descoberto.
- Ataques à cadeia de fornecimento (ou fornecedor): são ciberataques provenientes do fornecedor com o objetivo de chegar aos seus clientes. Esta tipologia de ataque tornou-se muito popular na atualidade e assume uma conotação diferente nos cuidados de saúde devido ao grande número de fornecedores e aos múltiplos tipos de acesso que estes possuem. Durante várias auditorias, a S21sec deparou-se com inúmeras interfaces de gestão de dispositivos com medidas de segurança ineficientes, dispositivos estes que estavam diretamente ligados à rede de hospitais, centros de saúde ou outros dispositivos críticos.
