A Trend Micro,
fornecedora de soluções de cibersegurança, realizou um estudo sobre a segurança
da TI no setor de Saúde. Nomeado Securing Connected Hospitals e produzido em
parceria com a Hitrust, o relatório explora o funcionamento dos dispositivos e
sistemas médicos conectados à Internet, tais como bases de dados e consoles
administrativos hospitalares, mostrando que hospitais ainda estão expostos.
A constatação é que as organizações hospitalares ainda se mostram desatualizadas
quanto aos padrões de cibersegurança. O resultado disso é que ainda existem
equipamentos que estão expostos na rede, de acordo com o mapeamento dos
dispositivos expostos em hospitais e clínicas. Entre eles, está o sistema
Digital Imaging and Communications in Medicine (DICOM) – ferramenta para
digitalização de exames de imagens, como raio-x e ultrassom.
Segundo o estudo, há 20 países com maior número de DICOM expostos, com
os Estados Unidos liderando de longe, com 428 equipamentos do tipo. A China e o
Brasil completam o pódio, com 97 e 89 dispositivos expostos, respectivamente.
Para se ter uma comparação, a Alemanha aparece em último, com apenas sete
equipamentos expostos.
A Trend Micro esclarece que um sistema ou dispositivo esteja exposto não
significa necessariamente que ele esteja vulnerável. Mas há o risco que exames
possam estar disponíveis para visualização pública e possam cair nas mãos de
cibercriminosos, o que não pode ocorrer, pois colocam em risco dados críticos,
tais como informações pessoais dos pacientes e prontuários médicos.
A Trend Micro pontua as principais razões para a defasagem na
cibersegurança no mercado de Saúde:
– Credenciais padrão: Apesar de requisitarem autenticação para acesso, a
maioria dos dispositivos médicos estudados, podem ser explorados para que o
atacante tenha sucesso em seu ataque. Foram encontrados sistemas com senha
fraca ou usuários e senhas definidos pelo fabricante do equipamento e sistemas
sem atualização;
– Política de cibersegurança: Os profissionais que acessam computadores
hospitalares e equipamentos de diagnóstico (médicos, enfermeiros e técnicos),
circulam regularmente pelo hospital. Isto dificulta a incorporação de políticas
de cibersegurança e procedimentos de autenticação, especialmente se tais
políticas atrapalharem as operações diárias;
– Custo de manutenção: Equipamentos de diagnóstico são extremamente
caros e os hospitais não podem custear que eles fiquem offline por longos
períodos para manutenção. Em alguns casos, modificar as configurações do
dispositivo médico ou atualizar o sistema operacional, tornarão inválidas a
certificação, a garantia e a cobertura do dispositivo, assim, os dispositivos
médicos permanecem intocados;
– Atendimento exclusivo: Nem todos os hospitais têm uma equipe de cibersegurança
exclusiva. Na maioria dos hospitais, a equipe de TI assume as duas tarefas:
investigam e eliminam os incidentes de ciberataque, bem como fornecem serviços
gerais de TI para o hospital. Este modelo tem a desvantagem da má distribuição
de recursos para ambas funções.
Ciberataques na indústria healhtcare:
vetores de ataques mais comuns (imagem: Trend Micro).
Ainda de acordo com o levantamento, existem três grandes áreas de
interesse, consideradas valiosas, por parte dos cibercriminosos:
·
Operações hospitalares – Isto inclui ciberameaças contra sistemas
críticos diários, tal como bases de dados da escala de trabalho da equipe,
sistemas de pagers hospitalares, controles prediais, folha de pagamento,
administração, etc;
·
Privacidade de dados – Ataques virtuais contra diferentes tipos de
dados, tais como informações pessoalmente identificáveis, seja de pacientes ou
funcionários do hospital, incluindo diagnóstico e dados de tratamento do
paciente; informações financeiras e do seguro saúde; pesquisas e dados sobre
teste de medicamentos;
·
Saúde do paciente – Abrange ciberameaças contra dispositivos e sistemas
médicos que são usados para o tratamento, monitoramento e diagnóstico dos
pacientes, bem como ciberameaças contra o sistema de informações do hospital
(HIS).
Fonte: IPNEWS Mai 2018
Nenhum comentário:
Postar um comentário