0
0
O rápido crescimento de dispositivos médicos conectados à Internet — conhecido como Internet das Coisas Médicas ou IoMT — criou sérios riscos de segurança cibernética e privacidade de dados. Combine isso com hackers mais sofisticados visando o espaço de saúde e temos a tempestade perfeita se formando.
Violações históricas de dados comprometeram dados e software de pacientes. Mas agora, centenas de milhares – e possivelmente milhões – de pessoas podem ser hackeadas através de seus dispositivos médicos implantáveis (IMDs) conectados sem fio e monitorados digitalmente — que incluem desfibriladores cardioversores (CID), marca-passos, neuroestimuladores cerebrais profundos, bombas de insulina, tubos de ouvido e muito mais.
Hacks de dispositivos médicos
Em 2008, um pesquisador da Universidade de Massachusetts Amherst, Kevin E. Fu, mostrou que um desfibrilador cardíaco implantável é vulnerável a hackers. A pesquisa da Fu teve como objetivo ajudar a proteger a próxima geração de dispositivos médicos conectados à Internet.
Na conferência de segurança black hat eua de 2011, Jay Radcliffe, um hacker ético e diabético, demonstrou que não era difícil assumir o controle de uma bomba de insulina e entregar uma dose letal a um paciente.
No final de 2018, Billy Rios, um veterano pesquisador de cibersegurança, disse à CBS News que não há nada que o impeça de desmontar dispositivos médicos e hackeá-los. Jonathan Butts, outro pesquisador, foi citado dizendo: “Ainda não encontramos um dispositivo que vimos que não fomos capazes de hackear.”
A fim de demonstrar um hack potencialmente mortal,Rios e Butts apresentaram-se na conferência de segurança da informação black hat, onde eles remotamente desativaram uma bomba de insulina implantável, impedindo-a de fornecer a medicação que salva vidas, e então tomou controle total de um sistema de marca-passo, permitindo que eles entregassem malware diretamente aos computadores implantados no corpo de um paciente.
Agora, uma década depois da revelação de alto perfil da UMass de medjacking (um termo usado para descrever a invasão de dispositivos médicos), os dispositivos médicos da próxima geração estão em uso generalizado, e eles são chocantemente inseguros.
Supervisão da FDA
Os esforços contínuos da FDA (Food and Drug Administration) para proteger a saúde pública das vulnerabilidades de segurança cibernética foram intensificados com novas medidas. Mas a pressão sobre os fabricantes de dispositivos médicos para acelerar a entrada no mercado às vezes leva a testes de cibersegurança pós-mercado (em vez de pré-mercado) ou, em alguns casos — sem nenhum teste.
A FDA não está ciente de nenhum relato de um usuário não autorizado explorando uma vulnerabilidade de segurança cibernética em um dispositivo médico que está em uso por um paciente. Mas a FDA emitiu recalls de dispositivos médicos como marcapassos e bombas de insulina que tinham problemas de segurança.
Um mito comum é que a FDA testa todos os dispositivos médicos para vulnerabilidades. A verdade é que a FDA não realiza testes pré-mercado de dispositivos médicos e é responsabilidade dos fabricantes fazê-lo.
Um relatório do inspetor-geral no final de 2018 descobriu que os “planos e processos da FDA eram deficientes para lidar com compromissos de segurança cibernética de dispositivos médicos”, de acordo com uma reportagem daCBS News. A FDA contesta isso e diz que “tem trabalhado proativamente” na questão.
Pontos de dados
Os editores da Cybersecurity Ventures examinaram e sintetizaram pesquisas de inúmeras fontes para pintar um quadro da superfície de ataque de dispositivos médicos.
- O mercado global de tecnologias de dispositivos médicos deve ultrapassar US$ 674 bilhões até 2022. Os EUA representam cerca de 40% do mercado global de dispositivos médicos.
- Os dispositivos médicos conectados estão se tornando uma parte fundamental da infraestrutura de saúde, com o quarto hospitalar médio contendo cerca de 15-20 deles.
- A quantidade de dispositivos IoT em um hospital pode ser mais do que o dobro do número de dispositivos tradicionais em rede, como laptops e smartphones.
- Os dispositivos médicos têm uma média de 6,2 vulnerabilidades cada.
- 60% dos dispositivos médicos estão em fase de fim de vida,sem patches ou upgrades disponíveis.
- Dispositivos médicos em uso por hospitais e outras organizações de saúde têm em média mais de 20 anos de uso por dispositivo,tornando-os alvos principais de hackers.
- 465.000 marcapassos foram lembrados sobre os temores de hacking pela FDA no verão de 2017. Foi determinado que vulnerabilidades de segurança poderiam colocar vidas de pacientes em risco. Houve inúmeros recalls (alguns voluntários) de outros dispositivos médicos devido a problemas de segurança desde então.
- 18% das organizações de provedores em uma pesquisa recente do College of Healthcare Information Management Executives (CHIME) relataram que seus dispositivos médicos foram afetados por malware ou ransomware nos últimos 18 meses.
- A empresa de pesquisa em TI Gartner prevê que, até 2020, mais de 25% dos ataques cibernéticos em organizações de assistência médica envolverão a IoT.
Dano ao paciente
A grande preocupação em torno da insegurança dos dispositivos médicos é a segurança do paciente.
É apenas uma questão de tempo até que um paciente seja prejudicado por meio da invasão de dispositivos médicos, e os jornalistas têm muitos recursos para investigar se seus provedores de saúde locais são capazes de prevenir ou responder a tal evento, disse um painel de especialistas da Health Journalism 2018 em Phoenix.
John Gomez, CEO da Sensato, empresa de cibersegurança com sede em N.J. especializada no setor de saúde, e membro fundador da Medical Device Cybersecurity Task Force, alerta que as organizações de saúde — e hospitais em particular — estão usando soluções de 2010 destinadas a enfrentar os problemas de 2020, e isso não está funcionando.
Em particular, Gomez está preocupado com a falta de políticas de segurança em torno de dispositivos médicos. Ele disse à Cybercrime Magazine que os CIOs hospitalares e os líderes de TI muitas vezes perguntam por que eles precisam de políticas adicionais em torno desses dispositivos quando eles já os têm em vigor para sua infraestrutura. Gomez aconselha que, enquanto a maioria das políticas de segurança cibernética se concentra na proteção de dados, as políticas de dispositivos médicos podem salvar vidas.
Não hype de mercado
Há algum hype de mercado em torno da segurança dos dispositivos médicos?
Kathy Hughes, CISO da Northwell Health, um dos maiores sistemas de saúde do país, disse à Cybercrime Magazine que os dispositivos IoT (Internet das Coisas) são, em sua opinião, computadores com sistemas operacionais (OS), semelhantes a outros tipos de computadores – e esses dispositivos são suscetíveis às mesmas ameaças cibernéticas. Ela acrescentou que os dispositivos IoT têm um sistema operacional pequeno e que a segurança é um bolt-on em vez de embutido.
O vice-presidente dos EUA Dick Cheney temia por sua vida em 2007 e mandou seus médicos desativarem as capacidades sem fio em um dispositivo médico implantável (para regular seus batimentos cardíacos) para evitar uma possível tentativa de assassinato, de acordo com a ABC News. Cheney acreditava que hackers poderiam invadir certos dispositivos médicos e matar seus donos. “Eu estava ciente do perigo, se você quiser, que existia”,disse ele em entrevista ao 60 Minutes na época.
Quando o vice-presidente da nossa nação está tomando precauções para proteger sua própria vida, você pode ter certeza de que não há um higiamento da ameaça cibernética para pacientes com implantáveis. Embora isso tenha sido há doze anos, especialistas da nossa área ainda têm as mesmas preocupações que Cheney.
Se há algum hipnotizamento de mercado, então é isolado e certamente não inventa o risco. O FORNECEDOR FUD (medo, incerteza e dúvida) é uma coisa, mas evidências concretas (pesquisadas e revisadas pela Cybersecurity Ventures) de uma infinidade de fontes confiáveis é uma coisa completamente diferente. Não tenha dúvidas, a segurança cibernética de dispositivos médicos é um problema sério.
Distrações de segurança
CIOs e CISOs de saúde (chefes de segurança da informação) podem ser facilmente distraídos do risco de dispositivos médicos.
Prevê-se que os cuidados de saúde sofrerão 2-3X mais ataques cibernéticos em 2019 do que a quantidade média para outros setores, de acordo com o Cisco/Cybersecurity Ventures 2019 Cybersecurity Almanac. Práticas de segurança lamentavelmente inadequadas, senhas fracas e compartilhadas, além de vulnerabilidades no código expõem os hospitais a criminosos com a intenção de hackear tesouros de dados de pacientes.
Os ataques de ransomware contra organizações de saúde devem quadruplicar entre 2017 e 2020, e crescerão para 5X até 2021.
Entre tudo isso e uma escassez de força de trabalho que está prevista para resultar em 3,5 milhões de posições de cibersegurança não preenchidas globalmente até 2021, muitos hospitais estão lutando para manter suas cabeças acima da água com sua segurança de TI – e dispositivos médicos podem se tornar uma reflexão posterior.
A fim de reduzir a vulnerabilidade da IoMT e maximizar a segurança do paciente, todos os governos, toda a indústria de saúde, todos os hospitais e todos os fabricantes de dispositivos médicos precisam ser mortos a sério sobre a segurança. Caso contrário, alguém pode acabar morto.
FONTE: CYBERCRIME MAGAZINE