Praticamente não há área no setor de saúde que não esteja adotando cada vez mais o uso da tecnologia. Desde o acesso sem fio em tempo real aos próprios parâmetros de saúde, através de relógios inteligentes e wearables (dispositivos vestíveis, em tradução livre), até dispositivos que podem ser implantados no corpo, a tecnologia continua avançando. Mas como podemos garantir a segurança de todos esses dispositivos?

Há alguns anos, na conferência de segurança Black Hat, vimos como seria possível comprometer uma bomba de insulina. E se a maior parte do software no dispositivo estiver disponível, os reguladores dizem que o integrador é responsável pela segurança em todos os níveis, incluindo o sistema operacional (SO) subjacente, mesmo que tenha um ótimo histórico de segurança. Em outras palavras: os fabricantes de dispositivos devem assumir a responsabilidade, independentemente da tecnologia que usam.

Embora isso represente o “peso” da segurança para os fabricantes, também aumenta drasticamente o custo e a complexidade de colocar um dispositivo no mercado. Como resultado, enquanto as pressões do mercado estão enfocadas em fazer com que as empresas produzam dispositivos de forma cada vez mais rápida, o caminho à frente parece bem mais difícil e caro. Além disso, podem, mesmo sem saber, colocar em risco a segurança dos pacientes.

E quem seria o responsável pelas correções de falhas de segurança nesses dispositivos? De acordo com a Administração de Alimentos e Medicamentos dos Estados Unidos (FAD, sigla em inglês), o fabricante também deve se responsabilizar pelo processo de correção de possíveis falhas. Já que se espera que alguns dispositivos médicos estejam disponíveis por muito anos, é importante pensar na necessidade de suporte a esses dispositivos por muito mais tempo.

O que torna esses dispositivos vulneráveis ​​e qual a probabilidade de serem comprometidos? Tendo em conta a celebração do mês da Conscientização sobre Segurança Cibernética nos Estados Unidos, e que o assunto da semana passada foi a segurança de dispositivos conectados à Internet no setor de saúde, analisamos cinco brechas que podem ser exploradas por atacantes com o intuito de vulnerar esse tipo de dispositivos.

Veja mais:  Por que os hospitais são um alvo tão atrativo para os cibercriminosos?

Bluetooth

Muitos dispositivos médicos integram monitoramento e interação via Bluetooth - uma tecnologia que tem um longo histórico de vulnerabilidades. E embora possa haver patches para as falhas, é difícil determinar a taxa real de adoção das correções e o histórico de atualizações nesse setor. Enquanto isso, se sua medição de açúcar no sangue for controlada por um atacante, você poderá correr um perigo físico bastante real se tentar ajustar os níveis de glicose no sangue com base em informações falsas.

Windows

Muitos hospitais contam com computadores que são usados para controlar equipamentos médicos. Esses dispositivos normalmente funcionam em versões mais antigas e não contam com suporte do Windows devido a atualizações atrasadas do fabricante que realizou a integração. Um fabricante não pode simplesmente enviar o patch mais recente do Windows antes de fazer extensos testes nas unidades para verificar problemas de integração – isso faz com que a verificação do patch se torne algo complicado. Nesse cenário, um atacante ganha diversas vantagens, já que ele pode implantar exploits que surgem ao redor de uma vulnerabilidade e usá-los durante o período em que o fabricante não toma qualquer medida.

Nuvem

Muitos dispositivos implantados se comunicam com os médicos por meio da conectividade em nuvem para facilitar as atualizações do estado de saúde e criar alertas em casos de situações nas quais os pacientes podem precisar procurar atendimento. Como vimos este ano nas conferências de segurança Black Hat e DEF CON, a segurança em nuvem pode não ser algo extraordinário. É improvável que o paciente conheça as possíveis vulnerabilidades dos dispositivos, mas os atacantes são rápidos quando falamos em aproveitar exploits e usá-los em seus ataques. Em alguns casos, os pacientes optam por não receber comunicações externas em seus marcapassos, alegando um certo receio de que cibercriminosos possam comprometê-los, mas a adoção da nuvem para dispositivos implantados tem fortes ventos favoráveis, o que impulsionando a sua adoção.

Ethernet

Muitos dispositivos médicos se conectam a redes médicas TCP/IP via Ethernet, mas seria bastante difícil para muitos médicos e pacientes notar que as conexões existentes sofreram qualquer intervenção através de um tap de rede. Ao exfiltrar dados através de links sem fio embutidos nesses taps, os atacantes podem rastrear o tráfego e criar exploits. Para isso, os cibercriminosos precisam apenas de acesso físico uma única vez e, devido ao seu baixo custo, não necessariamente precisam retornar para recuperar o dispositivo caso seja uma ação perigosa.

Wireless keyboards

Há algum tempo, os keyloggers se tornaram comuns para registrar as teclas digitadas em teclados sem fio. Eles se fazem passar por carregadores USB falsos conectados a tomadas, enquanto simultaneamente procuram sinais e os exfiltram em placas industriais 4G sem fio. Isso permite a captura de dados confidenciais, como senhas digitadas, mas também pode permitir que atacantes tentem baixar e instalar backdoors remotos, ignorando alertas de aviso de produtos de segurança.

Conclusão

A segurança é um aspecto que se tornou um “calcanhar de aquiles” para a área médica há anos. Além de estarem conquistando grandes avanços, muitos dispositivos médicos têm funcionado bastante bem durante todos esses anos, reduzindo a percepção da necessidade de uma atuação mais direta. Será um desafio “modernizar a frota” nos próximos anos. Mesmo assim, o setor de saúde começou a se inclinar para o processo de segurança e a obter os conhecimentos técnicos das equipes médicas para começar a “mover a agulha”. Enquanto isso, é importantíssimo conhecer as vulnerabilidades que podem afetar a dispositivos médicos, especialmente se eles estiverem criticamente envolvidos em atividades de atenção médica, como ocorre em muitos casos.