0
0
A decisão de um hospital de Illinois de interromper as operações no final desta semana, pelo menos em parte, por causa de um ataque de ransomware de 2021 que paralisou as operações por meses é um lembrete gritante da ameaça às vezes existencial que as campanhas de extorsão online podem representar.
Isso é especialmente verdadeiro para hospitais pequenos e rurais com poucos recursos.
A St. Margaret’s Health (SMH) fechará permanentemente seus hospitais, clínicas e outras instalações em Spring Valley e Peru, Ill., nesta sexta-feira, 16 de junho, depois de servir a comunidade por 120 anos. Vários fatores levaram à decisão, incluindo despesas sem precedentes ligadas à pandemia de COVID-19, baixos volumes de pacientes ligados a mandatos de distanciamento social e escassez de pessoal que forçou o sistema de saúde a ter que depender de agências de pessoal temporário.
Mas o ataque de ransomware de fevereiro de 2021 em seus sistemas em Spring Valley teve um grande papel a desempenhar; eles afetaram catastroficamente a capacidade do hospital de cobrar pagamentos das seguradoras por serviços prestados, e o ataque forçou o desligamento da rede de TI, dos sistemas de e-mail, do portal de registros médicos eletrônicos (EMR) do hospital e de outras operações da Web.
Um fator contribuinte
A vice-presidente de qualidade e serviços comunitários da SMH, Linda Burt, diz que o ataque durou quatro meses, durante os quais os funcionários não tiveram acesso ao sistema de TI, incluindo e-mail e ao sistema EMR.
“Tivemos que recorrer ao papel para prontuários. Demorou muitos meses, e em algumas linhas de serviço, quase um ano para voltar a ficar online e poder inserir quaisquer cobranças ou enviar reclamações”, diz Burt. “Muitos dos planos de saúde têm cláusulas de depósito em tempo hábil que, se não forem feitas, não vão pagar. Então, nenhuma reclamação estava sendo enviada e nenhum pagamento estava chegando.”
O SMH é o mais recente a fazer parte da lista que o analista e pesquisador de segurança Adrian Sanabria mantém de organizações que foram forçadas a fechar as portas por causa de um ataque cibernético nas últimas duas décadas. Atualmente, a lista inclui 24 organizações – muitas delas pequenas – em vários setores. Entre os nomes da lista estão a empresa de processamento de pagamentos CardSystems, que fechou em 2005 após uma violação de dados que expôs dados confidenciais associados a cerca de 40 milhões de cartões de crédito; a empresa de segurança HBGary, que entrou em operação em 2011 depois que hackers invadiram seus sistemas e vazaram informações sobre a empresa; e o Brookside ENT and Hearing Center, que fechou em 2019 após um ataque de ransomware. Significativamente, 10 dos ataques cibernéticos na lista da Sanabria são relacionados a ransomware e todos eles aconteceram depois de 2014, quando o ransomware realmente começou a aumentar.
St. Margaret’s não será a última vítima de ransomware
Joshua Corman, ex-estrategista-chefe da CISA e atual vice-presidente de estratégia de segurança cibernética da Claroty, espera que o que aconteceu na SMH aconteça com outros hospitais, especialmente os menores e aqueles localizados em áreas rurais. Corman, que fez parte de uma força-tarefa da CISA COVID-19 que analisou a correlação potencial entre o excesso de mortes hospitalares e ransomware, diz que os hospitais que mais devem fechar são aqueles que estão situados mais longe de outros hospitais e opções de cuidados alternativos.
“Hospitais pequenos e rurais já enfrentam tensões financeiras significativas dos últimos anos da pandemia e muito poucos têm muitas reservas de dinheiro para interrupções não planejadas”, diz Corman. “Os ataques de ransomware podem interromper as operações por semanas e meses e, portanto, podem representar a palha que quebra as costas do camelo.”
Alguns fatores podem estar agravando a situação. Muitas vezes, muitos hospitais pequenos, médios e rurais não têm uma equipe de segurança em tempo integral. Eles também têm mais dificuldade em obter seguro cibernético e, quando o fazem, podem custar mais por menos cobertura.
“O Congresso e a Casa Branca estão explorando o alívio, e isso está muito atrasado”, diz Corman.
Enquanto isso, os formuladores de políticas e as partes interessadas do setor precisam encontrar uma maneira de elevar o nível da ciberhigiene de maneiras materiais e fornecer assistência financeira para entidades menores, ricas em alvos, mas com pobres em cibersegurança. “Os ataques de ransomware representam um risco novo, causado pelo homem, mas material, que merece atenção do Conselho”, diz Corman. “Esse risco pode levar hospitais menores e rurais ao fechamento.”
Mike Hamilton, ex-CISO da cidade de Seattle e atualmente na mesma função na empresa de segurança cibernética de saúde Critical Insight, diz que não está claro se o ataque à SMH foi oportunista ou direcionado por natureza. No entanto, mesmo entidades de saúde como a SMH, que provavelmente não têm a capacidade de pagar um resgate, mesmo que quisessem, podem se tornar um alvo se o agente da ameaça souber que carrega seguro cibernético, diz Hamilton. “Saber que as organizações têm seguro cibernético permite que os agentes de ameaças estabeleçam a demanda de extorsão um pouco abaixo do limite para o custo de reconstrução e recuperação”, observa.
Defendendo a Assistência Estadual e Federal
Assim como Corman, Hamilton também vê um ataque cibernético que interrompe as operações como existencial para os provedores de saúde que já operam com margens reduzidas.
Corman aconselha os administradores e a alta administração de sistemas de saúde menores e rurais a defender a assistência das autoridades estaduais e federais. “Para ajudar a minimizar o risco, esses sistemas devem envolver seus recursos regionais da CISA e do HHS junto com o FBI”, observa Corman. Eles também podem se concentrar em priorizar a correção de vulnerabilidades conhecidas exploradas da CISA e aproveitar algumas das ferramentas gratuitas de segurança cibernética que a CISA oferece, como Cyber Hygiene Scanning (CyHy) e Cyber Essentials.
Hamilton diz que as equipes de TI de saúde precisam limitar ao máximo o acesso dos funcionários à Internet a partir de um ambiente de saúde. “Use a analogia de uma sala de controle que opera uma barragem que gera energia – sem acesso à internet, ponto final”, diz. “A maioria dos ataques começa com a ação do usuário e limitar esse acesso pode ter um efeito descomunal na prevenção.”
FONTE: DARK READING