O Freeman Health System tem aproximadamente 8.000 dispositivos médicos ligados em 30 instalações no Missouri, Oklahoma e Kansas. Muitos desses dispositivos têm o potencial de serem letais a qualquer momento. "Este é o cenário do dia do juízo final que todos temem", disse Skip Rollins, diretor de informação e diretor de segurança da informação da cadeia de hospitais.
Rollins espera poder analisar os dispositivos em busca de vulnerabilidades e instalar software de segurança nos mesmos para garantir que não podem ser pirateados. Mas não consegue.
"Os fornecedores nesta área são muito pouco cooperantes", disse ele. "Todos eles têm sistemas operativos próprios e ferramentas próprias. Não podemos analisar estes dispositivos. Não podemos instalar software de segurança nesses dispositivos. Não podemos ver o que estão a fazer. Os fornecedores fornecem-nos intencionalmente desta forma".
Os fornecedores afirmam que os seus sistemas são inquebráveis, disse ele. "Dissemos: 'Vamos colocar isso no contrato'. Eles não quiseram."
Isto pode dever-se ao facto de estes dispositivos poderem ter um grande número de vulnerabilidades. De acordo com um relatório publicado no início deste ano pela empresa de cibersegurança no sector da saúde Cynerio, 53% dos dispositivos médicos têm pelo menos uma vulnerabilidade crítica. Por exemplo, os dispositivos são frequentemente fornecidos com palavras-passe e definições predefinidas que os atacantes podem facilmente encontrar online, ou executam versões mais antigas e não suportadas do Windows.
O atacante não dormiu. De acordo com a investigação da Ponemon, divulgada no outono passado, os ataques à IoT ou a dispositivos médicos representaram 21% de todas as violações no sector da saúde - a mesma percentagem que os ataques de phishing.
Tal como outros prestadores de cuidados de saúde, a Freeman Health Systems está a tentar que os fornecedores de equipamento levem a segurança mais a sério, mas até agora não tem sido bem sucedida. "Os nossos fornecedores não colaboram connosco para resolver o problema", afirmou Rollins. "Este é o seu modelo de negócio proprietário."
Por conseguinte, alguns dispositivos estão localizados em áreas acessíveis ao público, alguns têm portas USB acessíveis, estão ligados à rede e não abordam diretamente as questões de segurança.
Com orçamentos apertados, os hospitais não podem ameaçar os fornecedores com a retirada de equipamentos antigos e a sua substituição por equipamentos mais recentes, mesmo que estejam disponíveis alternativas mais recentes e seguras. Por isso, o Freeman Health utiliza estratégias de mitigação baseadas na rede e outras soluções alternativas para ajudar a reduzir o risco.
"Monitorizamos o tráfego que entra e sai", disse Rollins, que utiliza a ferramenta de monitorização de tráfego da Ordr. As firewalls podem bloquear as comunicações com sites suspeitos e o movimento lateral para outros sistemas hospitalares é limitado pela segmentação da rede. "Mas isso não significa que o dispositivo não possa ser comprometido porque está a cuidar de pacientes", disse ele.
Para complicar ainda mais a situação, o bloqueio da comunicação destes dispositivos com outros países pode impedir a instalação de actualizações críticas. "Não é invulgar que os equipamentos entrem na China, na Coreia do Sul ou mesmo na Rússia, porque os componentes são fabricados em todas essas partes do mundo", afirmou.
Rollins disse que não tinha conhecimento de quaisquer tentativas reais de prejudicar outras pessoas através da pirataria informática de dispositivos médicos. "Pelo menos hoje em dia, a maioria dos hackers está à procura de um dia de pagamento, não de fazer mal às pessoas", disse ele. No entanto, os ataques de estados-nação, como o ciberataque da SolarWinds contra dispositivos médicos, têm o potencial de causar danos incalculáveis.