Vídeo: 'Hackers do bem' dão preciosas dicas para se proteger de ataques virtuais (Outubro 2024)
Enquanto os médicos juraram não fazer mal, o mesmo não parece ser verdade para o equipamento ou as redes que eles usam para administrar os cuidados. De acordo com um novo relatório da organização de pesquisa SANS e da Norse, os médicos já estão sucumbindo aos ataques cibernéticos em massa. O estudo encontrou 49.917 eventos maliciosos exclusivos dos prestadores de serviços de saúde que eles criaram, e não se preocupe: fica pior.
Os salva-vidas se tornaram maus
O relatório constatou que muitos dispositivos médicos em rede foram facilmente controlados por hackers. Isso incluía software de imagem para radiologia, sistemas de videoconferência, sistemas de vídeo digital, software de contato para chamadas e sistemas de segurança. Até dispositivos destinados a ajudar a proteger organizações, como VPNs, firewalls e roteadores, estavam sendo invadidos.
O relatório constatou que os dispositivos e softwares médicos estão se tornando o alvo favorito dos hackers para o lançamento de outros ataques - na mesma rede ou em outros alvos. Do relatório: "Uma vez comprometidas, essas redes não são apenas vulneráveis a violações, mas também estão disponíveis para uso em ataques como phishing, DDoS e atividades fraudulentas lançadas contra outras redes e vítimas".
"Uma das maiores razões pelas quais vemos a infraestrutura para hospitais ser usada como plataforma de lançamento de outros crimes cibernéticos e hacks é porque muitos desses dispositivos são burros", disse o CTO da Norse e o cofundador Tommy Stiansen. "Eles não são desktops nem servidores, mas estão todos executando o Linux". Já vimos como alguns dispositivos, principalmente as câmeras de vídeo em rede, podem ser usados para ganhar uma posição na rede da vítima e causar todo tipo de confusão.
Apesar de suas capacidades, equipamentos médicos e câmeras de vigilância não são considerados parte da arquitetura de segurança, explicou o CEO e co-fundador Sam Glines. "Um documento que foi descoberto por nossos rastreadores para um grande hospital tinha o mesmo nome de usuário e senha para tudo", disse ele. Isso inclui dispositivos que salvam vidas, como equipamentos de diálise. Lembre-se de que a Internet ainda está no caminho certo para matá-lo até 2014.
Como para demonstrar o alcance do problema, Stiansen mencionou que se interessou pelo projeto pela primeira vez ao observar as informações do cartão de crédito sendo transmitidas por dispositivos médicos. "Se alguém deixar a porta aberta, os hackers virão", disse Stiansen.
Dados mais valiosos
Além dos dispositivos e softwares não seguros usados pelos hospitais, há um problema ainda maior: dados médicos roubados. Os provedores de assistência médica em todos os níveis têm dados pessoais extremamente valiosos à sua disposição, e são essas informações que os atacantes estão desesperados para colocar em suas mãos.
O motivo, explicou Stiansen, é simples: "Você pode realizar mais fraudes com isso do que com os dados do cartão de crédito". Um invasor pode monetizar rapidamente dados médicos, explicou, por vias como o Medicare ou fraude de receita médica. Além das informações médicas, a propriedade intelectual e as informações de cobrança armazenadas pelos profissionais de saúde também estão em risco.
Além do impacto óbvio nas pessoas causado pelo roubo de seus dados, o relatório também aponta que essa fraude eleva ainda mais o preço da assistência médica. O relatório cita um repot Ponemon do ano passado, que estimou o custo de recrutamento e fraude médica em cerca de US $ 12 bilhões.
Como corrigi-lo
Obviamente, as organizações de assistência médica precisam levar a sério a segurança de suas redes e dispositivos, mesmo em um nível básico. "Considere tudo com um endereço IP como um ponto crítico", disse Glines, que afirmou que protocolos de senha mais fortes para tudo, desde dispositivos médicos a firewalls, melhorariam a situação.
A nova legislação também pode incentivar um melhor comportamento. Glines apontou para as leis da União Européia que multam as empresas em uma porcentagem de sua receita quando ocorre uma violação ou perda de dados. Embora o HIPAA se destine a fornecer proteção, os nórdicos mantiveram essa conformidade simplesmente não igualando segurança.
Mas há um papel para as pessoas comuns também. Stiansen incentivou os pacientes a questionar seu médico sobre segurança cibernética. Glines concordou em dizer: "os consumidores são os que têm mais a perder. Eles têm o direito de perguntar como seus registros são mantidos e que tipo de procedimentos de segurança estão em vigor".
