Vivemos atualmente uma nova era na tecnologia, em que dispositivos inteligentes e novos métodos são utilizados cada vez mais para ajudar as nossas vidas. Exemplo disso é o setor da saúde: nos últimos anos, graças a aplicações de Inteligência Artificial e Internet das Coisas (IoT, Internet of Things), o segmento tem ganhado diversos aliados no combate a doenças e na promoção do bem-estar. Com o ritmo acelerado de mudanças, este é um dos mercados que mais inova: são desde aplicativos que otimizam a gestão da escala dos profissionais de um hospital1 até tecnologias mais complexas que auxiliam tratamentos de determinados tipos de câncer2. Mas, infelizmente, tantos benefícios também têm efeitos colaterais: cada evolução ou transformação digital nesta área oferece oferece novas oportunidades para o surgimento de uma cibersegurança, mais intensas e complexas. Da mesma maneira que a tecnologia evolui, os ataques e os cibercriminosos também progridem.
Durante a CES (Consumer Electronics Show) deste ano, mais de 500 empresas apresentaram soluções inovadoras para diagnosticar, monitorar e tratar doenças. No mundo todo, inclusive no Brasil, hospitais, assistências médicas e empresas farmacêuticas investem cada vez mais em inovação, pois sabem que o futuro deste mercado passa por este caminho obrigatoriamente. Mas, com tantos dados sensíveis armazenados e/ou circulando em seus sistemas de TI, o setor da saúde se tornou um alvo bastante atrativo para os criminosos.
As principais ciberameaças que atingem os dispositivos de saúde podem ser divididas em três tipos: aquelas que violam a privacidade dos dados, as que comprometem a integridade destas informações e as que atacam sua disponibilidade. Nossos pesquisadores descobriram alguns ataques contra dispositivos médicos chamados de man-in-the-middle, que permitem ao cibercriminoso ter um canal aberto entre o sensor no dispositivo e o serviço que reúne os dados e acessar suas informações, substituir dados armazenados ou transmitidos, roubar identidade da vítima ou realizar um ataque de ransomware – em que os dados do usuário são criptografados ou excluídos a não ser que a pessoa ou empresa pague um resgate.
Vamos pegar um exemplo bem simples. Imagine uma rede de laboratórios de diagnósticos de imagem e análises clínicas. Ao contrário daquelas que pedem para “levarmos os exames anteriores”, nosso exemplo hipotético armazena o histórico em seus sistemas, facilitando nossa vida na hora do atendimento e a do médico na hora de fazer o laudo de resultado, independente da unidade que escolhemos dentro da rede. Ótimo, certo? Se esta rede investiu também na segurança dessas informações, sim, é ótimo. Caso contrário, um cibercriminoso pode utilizar um ransomware para sequestrar todos nossos dados pessoais e financeiros – o que leva a rede a pagar resgates para recuperar as informações e restaurar os serviços, sem resolver o problema principal: a falha de segurança que permitiu a infecção.
Aqui chegamos na parte em que temos que entender que a segurança não é só ‘estar seguro/a salvo’, mas sim, estar preparado para se proteger de diverentes ameaças. É preciso se prevenir, ataques vêm não apenas de humanos, mas também dos próprios dispositivos conectados. Muitas organizações estão investindo em inovação, aprimorando a promoção da saúde e os tratamentos aos pacientes, buscando soluções para atenurm o impacto das filas de espera e de efeitos colaterais. Mas, assim como a
confidencialidade entre médico e paciente é inegociável, as informações das pessoas também são e investimentos em inovação precisam vir acompanhados com investimentos em segurança dos dados pessoais, bancários e médicos.
Recentemente, em parceria com a startup Motorica, realizamos uma avaliação de vulnerabilidades nas soluções experimentais para próteses – neste caso uma mão biônica. Identificamos diversas falhas que permitiam que terceiros acessassem, manipulassem, roubassem ou até mesmo excluíssem dados privados dos usuários por meio de conexões HTTP inseguras, operações incorretas referente às contas e falta de validação na entrada de dados no sistema. A solução analisada é um sistema em nuvem para monitorar o status de todos os dispositivos biomecânicos registrados. Um relatório foi apresentado à fabricante, que já solucionou os problemas de segurança.
Este exemplo apenas reforça nossa crença que a Internet das Coisas vai além de relógios conectados ou residências inteligentes, uma vez que engloba ecossistemas complexos, avançados e cada vez mais automatizados. No futuro, as tecnologias poderão deixar de serem simples dispositivos de apoio, tornando-se corriqueiras e sendo utilizadas por consumidores ávidos por expandir a capacidade do corpo humano em um processo de “cibernetização”. Portanto, é importante que todos os riscos com potencial para serem explorados por invasores sejam minimizados por meio de investigação e resolução de falhas de segurança nos produtos atuais e em sua infraestrutura de suporte.
Tags: