Os atacantes estão a exercer uma pressão considerável sobre o sector da saúde neste momento, dominando o ciclo de notícias e colocando o ransomware e outros ciberataques no topo das atenções. O sector da saúde constitui um alvo atrativo para os cibercriminosos, com uma média de 1463 ataques por semana (um aumento de 74% em relação a 2021). Nos últimos doze anos, o custo de uma violação no sector da saúde foi mais elevado do que em qualquer outro sector, atingindo 10,1 milhões de dólares em 2022. E à medida que mais sistemas de saúde avançam para tecnologias digitais e conectadas, esses ataques aumentarão ainda mais.
Porquê atingir os sistemas de saúde?
Há várias razões para os atacantes se concentrarem nos cuidados de saúde. A primeira, naturalmente, é que quando há vidas humanas em risco, é mais provável que as organizações visadas paguem o resgate para poderem regressar às suas operações normais - o que, na verdade, consiste em prestar cuidados urgentes críticos, fazer partos e prestar cuidados contínuos a doentes vulneráveis. A simples interrupção das operações nestes contextos pode pôr em risco a vida das pessoas.
Em Ontário, um hospital sofreu uma perda de serviços públicos, incluindo energia eléctrica, água e sistemas críticos IT . Chamando a este evento um "Código Cinzento", o hospital trabalhou para prestar serviços hospitalares críticos, mas instou os pacientes com condições menos urgentes a procurar opções de cuidados alternativos. Mesmo depois de o ciberataque desaparecer, é provável que o sistema hospitalar enfrente desafios no regresso às operações normais.
Poucos dias antes, um ataque a um sistema de saúde da Flórida fez com que o Tallahassee Memorial HealthCare (TMH) desligasse os seus sistemas IT e suspendesse os procedimentos não urgentes. Os impactos são abrangentes para o sistema de saúde privado, sem fins lucrativos, que fornece hospitais de cuidados agudos, hospitais psiquiátricos, 38 consultórios médicos afiliados e vários centros de cuidados especializados na Florida e na Geórgia.
De acordo com a Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA), no início deste ano, as operações de ransomware norte-coreanas estavam a extorquir fundos e a utilizá-los para apoiar as prioridades e os objectivos a nível nacional do governo norte-coreano. Estes ataques têm como alvo a saúde pública e outros sectores de infra-estruturas críticas. A CISA indicou que os piratas informáticos utilizaram várias variedades de malware de encriptação de ficheiros para atacar sistemas de saúde sul-coreanos e norte-americanos, para além de cacifos desenvolvidos por privados.
Para além dos actores do Estado-nação que financiam operações governamentais através de ataques de ransomware, um grupo hacktivista chamado KillNet tem visado ativamente o sector dos cuidados de saúde dos EUA com ciberataques de negação de serviço distribuído (DDoS), observa o Health Sector Cybersecurity Coordination Center. Este grupo tem como alvo os países que apoiam a Ucrânia, atingindo-os com ataques distribuídos de negação de serviço que causam interrupções de serviço que duram horas ou dias. Esses atrasos podem resultar em atrasos nas consultas, tempo de inatividade de sistemas EHR críticos e desvio de ambulâncias para outros sistemas de saúde. À medida que a guerra na Ucrânia se arrasta, o sector dos cuidados de saúde dos EUA deve estar ainda mais vigilante nos seus esforços para prevenir as ciberameaças.
Como é que os atacantes entram?
Os sistemas de saúde são ecossistemas IT incrivelmente complexos. As aquisições de hospitais mais pequenos, as aplicações de nuvem e SaaS fornecidas sem a supervisão da equipa de segurança, os dispositivos médicos ligados e milhares a centenas de milhares de activos digitais criam uma superfície de ataque que pode ser difícil de gerir. Para além disso, há muitas vulnerabilidades desconhecidas que existirão sempre e que serão aproveitadas para ataques de dia zero, o que torna qualquer sistema não corrigido um risco incrivelmente grande.
Com tantos pontos de acesso a informações de seguros e dados dos doentes, as equipas IT têm dificuldade em protegê-los a todos. Para complicar ainda mais a situação, os médicos, fisioterapeutas, assistentes médicos, enfermeiros e os próprios doentes estão agora a interagir com dezenas de pontos finais, mas estes indivíduos raramente são utilizadores sofisticados. Podem partilhar palavras-passe ou utilizar palavras-passe fáceis de adivinhar, e é pouco provável que utilizem eficazmente capacidades de autenticação multifactor. Credenciais comprometidas e verificação de identidade pouco rigorosa oferecem aos atacantes um caminho para as redes, aplicações e dados do sistema de saúde.
Reduzir o potencial e o impacto do ataque
O mundo está cada vez mais ligado e os planos e protocolos de segurança têm de se adaptar a esta realidade. Os sistemas de saúde podem preparar-se para os ataques, implementando planos de resposta bem definidos e praticados para o caso de ocorrer um ataque. A realização de exercícios regulares de cibersegurança para garantir que os protocolos estão bem coordenados e actualizados pode ajudar as equipas de segurança a prepararem-se para os ataques aparentemente inevitáveis.
Embora os orçamentos e os recursos humanos possam ser limitados, o investimento em tecnologia adicional de confiança zero pode reduzir significativamente a superfície de ameaça. O sector dos cuidados de saúde depende muito do correio eletrónico para a comunicação diária e dos portais de aplicações Web para partilhar e carregar ficheiros e dados dos doentes. Ambos, no entanto, representam grandes riscos de ransomware, roubo de dados, problemas de conformidade e muito mais. As soluções de correio eletrónico e de carregamento de ficheiros de confiança zero que utilizam a sanitização de dados, a prevenção proactiva da perda de dados para remover dados sensíveis e a análise múlti pla com vários motores anti-malware já ajudam a reduzir significativamente o risco de ataques de malware e de dia zero.
A implementação do controlo de acesso de confiança zero para estes ambientes complexos também pode permitir que os utilizadores menos sofisticados tenham uma forma simples de efetuar verificações de segurança em conformidade com a política de segurança da organização antes de concederem acesso a um sistema. Através do acesso à rede de confiança zero, as instituições de cuidados de saúde podem proteger o acesso à nuvem, remoto e no local, obter visibilidade instantânea de quem está ligado à rede, detetar vulnerabilidades e implementar correcções automatizadas, bem como impor a conformidade e as actualizações dos terminais quando necessário. A prevenção do acesso não autorizado a dados empresariais também pode ajudar as organizações a cumprir os requisitos da HIPAA para garantir e proteger os dados sensíveis dos pacientes contra atacantes.
Recuperação de um ataque
A preparação para um ataque é a forma mais importante de uma organização recuperar rapidamente de um ciberataque. Uma vez que cada sistema de saúde tem necessidades e recursos específicos, é essencial envolver executivos, especialistas em segurança e IT , equipas jurídicas e equipas de comunicação na criação de um processo de resposta a incidentes acionável e testado. A deteção precoce de actividades suspeitas e a sua investigação é um primeiro passo importante, bem como a ativação do EDR. Quer isto envolva uma equipa externa de resposta a incidentes ou recursos internos, é essencial efetuar uma análise técnica para identificar a causa do incidente e iniciar o plano de IR e ativar soluções de backup nos terminais. É importante conter os atacantes enquanto se recolhem dados forenses para as investigações em curso, bem como notificar as autoridades policiais locais, estatais e federais. As equipas jurídica, IT e de comunicações devem trabalhar em conjunto para garantir que os regulamentos são cumpridos e para limitar o potencial impacto jurídico e de reputação de um incidente crítico.
O âmbito do ataque tem impacto no processo de recuperação e nos requisitos de notificação de violações. Uma vez erradicado o ataque de ransomware ou DDoS, as organizações têm de restaurar os dados a partir de cópias de segurança e resolver eventuais falhas de segurança. Utilizando as lições aprendidas com o ataque, os sistemas de saúde podem ajustar o seu plano de IR e implementar tácticas e soluções de segurança para facilitar a deteção e conter mais rapidamente futuros ataques.
Quer saber como o OPSWAT pode ajudar?
