Em 2023, os ciberataques à saúde aumentaram, com o setor a destacar-se como um dos mais afetados a nível global, ocupando mesmo o terceiro lugar durante a primeira quinzena de março, com um total de 16 novas vítimas expostas em sites de ransomware.
Nos últimos anos, os sistemas de IT de hospitais, centros de saúde, fornecedores de equipamento médico e clínicas privadas têm sido alvo de ataques cada vez mais frequentes
A S21sec, um dos principais fornecedores de cibersegurança da Europa, alerta para o elevado risco que as ameaças de ransomware representam para o setor da saúde. Estes ciberataques à saúde podem resultar em consequências graves, tais como a paralisação dos serviços ou a desconexão de equipamentos de monitorização médica e de gestão.
Investigando os impactos que os ciberataques podem ter na saúde pública, a S21sec revela que este setor, essencial e crítico para o funcionamento da sociedade, lida com informações confidenciais protegidas pela legislação nacional e europeia. Assim, urge a necessidade de investir em cibersegurança para garantir a proteção desses dados sensíveis.
Curiosamente, os especialistas afirmam que os dados de saúde possuem maior valor para os atacantes do que os dados de cartões de crédito ou débito. Essa situação explica o aumento dos ciberataques à saúde e o facto de os cuidados de saúde estarem a tornar-se um alvo cada vez mais apetecível para os criminosos cibernéticos, que visam obter lucro pessoal ou benefícios políticos.
Internacionalmente, várias famílias de ransomware exploram os sistemas de IT no âmbito da saúde, sendo que algumas se dedicam principalmente a fazer ciberataques à saúde, como é o caso do ransomware Royal.
De acordo com a S21sec, o setor da saúde já se encontra entre os cinco mais atacados. A empresa de cibersegurança recomenda que qualquer incidente ou indisponibilidade de serviços seja gerido de forma rápida, de modo a minimizar o impacto a curto, médio ou longo prazo que esses ataques podem causar. É importante ressaltar que a verdadeira vítima desses ataques é sempre o paciente, seja em termos financeiros, reputacionais ou mesmo em relação à própria vida.
A proteção dos sistemas de IT no setor da saúde é uma necessidade urgente que não pode ser negligenciada. A segurança cibernética deve ser uma prioridade para garantir que os serviços médicos continuem a ser prestados de forma segura e eficaz, sem colocar em risco a vida e a privacidade dos pacientes.
Vetores dos ciberataques à saúde
A cibersegurança no setor dos cuidados de saúde enfrenta diferentes tipologias de ataques conhecidos:
Ataque remoto ou online
Todos os ciberataques à saúde que utilizam a rede ou os serviços online para atingir o seu objetivo. É uma das tipologias mais comuns, na qual os atacantes se podem ocultar com mais segurança e garantir pouca exposição.
Estes ciberataques à saúde tornam-se especialmente sensíveis nos cuidados de saúde, com todas as opções de rede que estão a ser desenvolvidas e com a evolução rumo à e-Saúde. O setor da saúde é um dos setores com o maior número de ataques bem-sucedidos devido a vulnerabilidades da web ou a configurações inseguras resultantes do recente aumento de aplicações e serviços online para a população em geral.
Muitos dos ataques têm como propósito descredibilizar a organização, apesar de derivarem de motivos extrínsecos e ocultos.
Ataque interno
Estes ciberataques à saúde têm origem em alguém que tem acesso à rede e aos serviços a partir do interior da organização. No âmbito da saúde existe um grupo variado de trabalhadores (médicos, enfermeiros, funcionários, administradores, etc.) com alta mobilidade e aos quais se tenta dar o máximo acesso para otimizar a atenção à saúde dos pacientes.
Um colaborador pode, involuntariamente, tornar-se cúmplice de um atacante, por desconhecimento ou por engano, ou até mesmo ser o próprio atacante. A falta de hábito ou de formação na utilização de protocolos de segurança ou a vocação para se dedicar inconscientemente aos cuidados do paciente são as causas por detrás da sua vulnerabilidade. Também os pacientes, visitantes, acompanhantes ou aqueles que se fazem passar por eles estão dentro das instalações e podem tornar-se agressores a partir do interior.
Outro risco interno é a entrada de dispositivos médicos no mercado com poucas medidas de proteção, ou mesmo com sistemas obsoletos e inseguros. Estes dispositivos podem ser utilizados por utentes a partir das suas próprias casas sem a necessidade de visitar centros médicos, em muitos casos por pessoas que não sabem como se proteger contra ameaças de cibersegurança e que utilizam credenciais previsíveis.
Consequentemente, são vítimas perfeitas de um ciberataque de engenharia social ou candidatos para deixar o dispositivo exposto acidentalmente, permitindo que estes sejam estudados para ataques mais avançados.
Ataque de proximidade
Estes ciberataques à saúde estão relacionados com tecnologias de comunicação de curto alcance.
Em particular, no sector da saúde encontramos muitos dispositivos médicos que fazem uso destas tecnologias (Bluetooth, WiFi, RFID, irDA, etc.), estando grande parte deles mal configurados ou com protocolos obsoletos e inseguros cuja atualização é dispendiosa ou complexa. Estão também localizados em áreas com um alcance de cobertura que atinge áreas comuns, permitindo que o atacante esteja próximo sem a possibilidade de ser descoberto.
Como os estabelecimentos de saúde estão constantemente a receber pessoal externo, este tipo de ataques ocorre tanto com acesso físico restrito, como controlado.
Ataques à cadeia de fornecimento (ou fornecedor)
Estes ciberataques à saúde são ataques provenientes do fornecedor com o objetivo de chegar aos seus clientes. Esta tipologia de ataque tornou-se muito popular na atualidade e assume uma conotação diferente nos cuidados de saúde devido ao grande número de fornecedores e aos múltiplos tipos de acesso que estes possuem.
Durante várias auditorias, a S21sec deparou-se com inúmeras interfaces de gestão de dispositivos com medidas de segurança ineficientes, dispositivos estes que estavam diretamente ligados à rede de hospitais, centros de saúde ou outros dispositivos críticos.
Outros artigos interessantes: