0
0
Uma grande vulnerabilidade no software usado por sequenciadores genéticos produzidos pela fabricante de equipamentos de pesquisa genética Illumina destaca os perigos das vulnerabilidades de software em dispositivos médicos, mas também demonstra o impacto positivo da legislação no fortalecimento da segurança cibernética na área médica.
A vulnerabilidade, originalmente descoberta durante uma avaliação interna do Illumina, permite que um invasor não autenticado explore o sistema e execute código no nível do sistema operacional, de acordo com um comunicado publicado pela Agência de Segurança de Infraestrutura e Cibersegurança (CISA). A vulnerabilidade – e uma segunda falha menos grave – levanta a possibilidade de os atacantes visarem especificamente instalações de pesquisa médica e laboratórios forenses.
Embora a segurança cibernética de dispositivos médicos seja crítica, problemas de segurança em equipamentos de sequenciamento e síntese de DNA representam riscos específicos, diz Josh Corman, vice-presidente de estratégia de segurança cibernética da Claroty, um provedor de segurança ciberfísica, e ex-estrategista-chefe da CISA.
“Qualquer coisa que toque no DNA – sim, é uma preocupação de privacidade – mas também pense em forense digital ou pense em tratamentos personalizados contra o câncer, certo?”, diz ele. “Se você pudesse manchar evidências de um crime, se pudesse mexer com o tratamento de alguém, se lançasse dúvidas sobre um determinado fabricante de dispositivo – isso é um ataque de integridade para mim, não tanto apenas atacar a disponibilidade do dispositivo ou usá-lo como um ponto de partida para ransomware.”
No entanto, as vulnerabilidades também demonstram o impacto do atual impulso legislativo e regulatório para forçar os fabricantes de dispositivos conectados a melhorar sua postura geral de segurança cibernética. Em dezembro, o projeto de lei orçamentária federal mudou os requisitos para fabricantes de dispositivos médicos a partir de 29 de março de 2023, exigindo que eles forneçam uma lista de materiais de software (SBOM), tenham um plano para abordar vulnerabilidades e explorações pós-mercado e tenham um ciclo de vida de desenvolvimento seguro. A Estratégia Nacional de Cibersegurança do governo Biden também pediu requisitos de segurança cibernética mais rígidos e responsabilidade potencial para aqueles que não tomaram medidas, enquanto um projeto de lei bipartidário – o Protecting and Transforming Cyber Health Care (PATCH) Act – exigirá que os fabricantes de dispositivos médicos se concentrem mais na segurança cibernética.
Tanto a Food and Drug Administration (FDA) quanto a CISA estão fazendo mais para focar os fabricantes de dispositivos médicos na segurança cibernética. A FDA emitiu uma carta aos profissionais de saúde em 27 de abril informando-os sobre as vulnerabilidades e que a Illumina havia emitido um patch para seus produtos e trabalhado com a FDA e a CISA para comunicar informações a seus usuários.
“Em 5 de abril de 2023, a Illumina enviou notificações aos clientes afetados, instruindo-os a verificar seus instrumentos e dispositivos médicos em busca de sinais de potencial exploração da vulnerabilidade”, afirmou a FDA em sua carta, acrescentando: “A FDA quer que os provedores de saúde e o pessoal do laboratório estejam cientes das ações necessárias para mitigar esses riscos de segurança cibernética”.
Cibersegurança com um toque
A vulnerabilidade do Illumina Universal Copy Service destaca o quão generalizado pode ser o impacto das vulnerabilidades na saúde em sistemas e dispositivos médicos. Usando a vulnerabilidade (CVE-2023-1966), um invasor pode modificar configurações e configurações, instalar software adicional e acessar dados confidenciais em produtos vulneráveis, de acordo com o comunicado da CISA de 27 de abril. Uma segunda vulnerabilidade menos grave (CVE-2023-1968) também permitiria que invasores transformassem o sequenciador em um dispositivo de monitoramento de rede.
A ameaça óbvia para uma organização com esses dispositivos é que os dispositivos poderiam ser usados como uma cabeça de praia em uma rede, permitindo o comprometimento de equipamentos de laboratório e computadores na mesma rede. Como esse equipamento geralmente não é gerenciado pelos grupos de segurança de TI das organizações, um invasor pode ter um impacto maior.
Além disso, o fato de que esses dispositivos também lidam com dados sensíveis de DNA adiciona uma reviravolta, Mohammad Waqas, principal arquiteto de soluções para saúde da Armis, fornecedora de segurança cibernética para a superfície de ataque estendida.
“A saúde é vista como um alvo fácil para ataques cibernéticos devido aos investimentos historicamente baixos em segurança de TI e à natureza crítica dos dados e sistemas”, diz ele. “Os dispositivos de sequenciamento genômico, em particular, processam informações de saúde protegidas, que são dados de alto valor para hackers.”
Tanto a CISA quanto a Illumina afirmaram que as organizações não viram evidências de exploração, e um porta-voz da Illumina enfatizou que a empresa tomou todas as medidas apropriadas, desde descobrir a vulnerabilidade internamente até emitir um patch e notificar a FDA.
“Fornecemos instruções específicas para cada cliente, juntamente com a recomendação de que as ações sejam realizadas em todos os sistemas impactados, independentemente de os instrumentos estarem conectados à Internet ou a uma rede local”, disse um porta-voz da Illumina à Dark Reading. “Garantimos que o patch criasse pouco ou nenhum tempo de inatividade e fornecemos acesso à nossa equipe de suporte técnico durante todo o processo.”
Dispositivo que manipula “código” humano representa riscos
Os ataques a dispositivos e serviços médicos aumentaram, com um salto de 35% nos ataques gerais, grande parte devido a ransomware. A interconexão dos dispositivos médicos muitas vezes torna os impactos dos ataques difíceis de prever. Um ataque ao sistema de armazenamento em nuvem da provedora de radiação Eleckta, por exemplo, levou a uma interrupção para tratamentos de imagem e câncer em pelo menos quatro grandes organizações de saúde em 2021.
Embora a segurança cibernética de qualquer dispositivo médico seja crítica, dispositivos que lidam com DNA humano – como sequenciadores e sintetizadores – podem adicionar algumas novas rugas aos modelos de ameaça, diz Corman, da Claroty.
“Os fabricantes de dispositivos médicos estão começando a entender que o modelo de ameaça não é apenas sobre quem poderia roubar informações de DNA dos Estados Unidos, mas… entender que há riscos de integridade quanto aos resultados, e há potencial de adulteração”, diz. “Basta pensar em quaisquer conversas éticas que você tenha ouvido sobre CRISPR ou sequenciamento de DNA ou privacidade, … e então pense [se pudesse] manipular individualmente ou grandes faixas de resultados que saem desses dispositivos.”
As organizações de saúde e os fabricantes de dispositivos médicos precisam realizar exercícios de modelagem de ameaças para determinar como os dispositivos podem afetar o sistema de saúde. Os ataques cibernéticos já levaram a um estresse direto significativo na infraestrutura de saúde, levando ao excesso de mortes, de acordo com uma análise realizada pela CISA.
Além disso, Waqas, da Armis, diz que as organizações de saúde precisam se concentrar nos riscos, abordando a visibilidade dos ativos, a colaboração entre equipes e a correção de riscos.
FONTE: DARK READING