Tão ruim quanto ficar doente: equipamento hospitalar vulnerável a hackers

Quase todo cibercriminoso tem o mesmo objetivo: roubar dinheiro. No entanto, com a disseminação e maior acesso aos equipamentos conectados, um dispositivo com bugs pode levar a consequências mais sérias

Quase todo cibercriminoso tem o mesmo objetivo: roubar dinheiro. No entanto, com a disseminação e maior acesso aos equipamentos conectados, um dispositivo com bugs pode levar a consequências mais sérias do que perda de dinheiro. Prejudicando a saúde e colocando em risco a vida humana….

Pense nos carros conectados, um exemplo perfeito de como um dispositivo pode representar uma ameaça à vida. Um agente malicioso que toma o controle de um carro com piloto automático pode facilmente ser conduzido a um acidente. Equipamentos médicos inteligentes também estão em risco. Dispositivos projetados para cuidar da nossa saúde podem ser instruídos a fazer o contrário.

Para deixar claro, não temos conhecimento de nenhum caso de equipamento médico comprometido afetando a saúde de pacientes diretamente. No entanto, especialistas encontraram vulnerabilidades nos dispositivos hospitalares que podem ser potencialmente perigosos.

Considerando o fato de que roubar dinheiro e machucar alguém fisicamente são ações desesperadas, esperamos que os hackers não cruzem essa linha por razões éticas. Infelizmente, é mais provável que os criminosos não tenham praticado esses ataques porque não descobriram como lucrar.

Na verdade, cibercriminosos atacaram hospitais repetidamente com Trojan e malwares de presença em larga escala. Por exemplo, no começo desse ano, diversos ransomwares atingiram centros médicos nos Estados Unidos, incluindo o Hospital Presbiteriano de Hollywood em Los Angeles.

O hospital de Los Angeles teve de desembolsar 17.000 dólares para recuperar seus arquivos. No entanto, quando o Hospital do Coração do Kansas seguiu o exemplo, os bandidos decidiram pedir por mais dinheiro. Como você pode ver, não podemos contar com ética na luta contra cibercriminosos. Sempre existirão aqueles que ficaram felizes em atacar um hospital por dinheiro.

Equipamentos hospitalares passam por inspeções e certificações – mas apenas no que diz respeito a sua função médica, não como uma tecnologia computacional conectada. Preencher requisitos de cibersegurança é recomendável, claro, mas isso permanece a critério do fabricante. Como resultado, muitos equipamentos dos hospitais sofrem de falhas óbvias, facilmente identificadas pelos especialistas de TI.

A administração de drogas e alimentos dos EUA regula a venda de dispositivos médicos e sua certificação. Tentando se adaptar ao ambiente conectado em evolução, a FDA liberou orientações para fabricantes para melhorarem a segurança de equipamentos médicos. No começo de 2016, um rascunho do documento foi publicado. Contudo, todas as medidas são consultivas. Então, não é uma obrigação, proteger equipamentos cujo objetivo só salvar vidas humanas.

Negligência fatal
Fabricantes de equipamento podem pedir ajuda aos especialistas em cibersegurança, mas na verdade eles fazem o oposto, se negando até mesmo a fornecer seus equipamentos para testes. Os experts em segurança precisam comprar equipamentos de segunda mão para testar sua proteção. Por exemplo, Billy Rios, que conhece dispositivos conectados de uma ponta a outra, examina com certa frequência equipamentos médicos.

Há dois anos, Rios testou bombas de infusão hospitalar, disponibilizadas a centenas de milhares de hospitais ao redor do mundo. Os resultados eram alarmantes: a bomba de injeção de drogas o permitiu que ele mudasse as dosagens dos medicamentos no aparelho. Consequentemente, malfeitores poderiam fazer com que pacientes recebessem doses mais altas ou baixas de medicamentos

Outro dispositivo vulnerável encontrado por Rios foi a Pyxis Supply Station, produzido pela CareFusion. Esses dispositivos dispensam suprimentos médicos e facilitam a manutenção de contatos. Em 2014, Rios encontrou vulnerabilidades que permitiam qualquer um acessar o sistema.

Em 2016, Rios analisou novamente a Pyxis Supply Station, dessa vez com Mike Ahmadk, também especialista em cibersegurança. A dupla descobriu mais de 1400 vulnerabilidades, das quais metade é considerada muito perigosa. Por mais que desenvolvedores terceiros fossem culpados pela maior parte dos problemas, e especialistas analisaram apenas um modelo da Pyxis SuppkyStation, essas vulnerabilidades continuam sendo problemáticas.

A questão é a seguinte, essas soluções apareceram apenas no final do ciclo de vida do produto, e por mais que ele fosse extremamente comum os desenvolvedores não desenvolveram nenhuma patch para corrigir bugs. A CareFusion recomendou que os clientes atualizassem o equipamento para a versão mais recente, e para os que não quiseram comprar o novo, uma cartilha para minimizar os riscos de comprometimento do sistema foi disponibilizada.

É difícil – e caro – atualizar equipamentos antigos. Mas por exemplo, a Microsoft já havia abandonado a versão do sistema que era usada no equipamento. O Pyxis SupplyStation mais recente opera em Windows 7 e não é vulnerável a bugs.

A Kaspersky Lab também forneceu testes estruturais cibernéticos para hospitais: nosso especialista Sergey Lozhkin foi convidado a participar na experiência e hackear equipamentos médicos, incluindo um aparelho de tomografia.

Claro que o caso acima ocorreu durante um experimento – para mostrar o quanto seria fácil para um criminoso repetir a invasão se quisesse – não para causar danos.

De quem é a responsabilidade e o que devemos fazer?
A vida útil de um dispositivo médico é bem mais longa do que a do seu smartphone. Dezenas de anos para um equipamento tão caro não é nada. Além do mais, por mais que os últimos equipamentos sejam menos vulneráveis que os antigos, com o tempo e sem suporte apropriado eles se tornaram tão cheio de erros quanto seus parentes mais antigos.

Como disse Mike Ahmadi “acredito ser razoável que equipamentos médicos tenham vida útil programada, bem como uma vida útil para sua cibersegurança delimitada.”

O hack da Pyxis SupplyStation também possui um lado positivo. É verdade que os desenvolvedores ignoraram os primeiros bugs descobertos por Rios, mas posteriormente, a gigante Becton Dickinson comprou a empresa, e sua nova administração tem uma visão diferente de cibersegurança. Talvez, no futuro, as empresas prestarão mais atenção na ideia de tornar seus dispositivos à prova de bugs. E talvez, eles até conduzam grandes testes de novos dispositivos antes os lançarem no mercado.

Dicas