{"id":4988,"date":"2021-09-13T09:12:30","date_gmt":"2021-09-13T12:12:30","guid":{"rendered":"https:\/\/www.acpdbrasil.com\/?p=4988"},"modified":"2021-09-13T09:13:36","modified_gmt":"2021-09-13T12:13:36","slug":"ransomware-na-area-da-saude","status":"publish","type":"post","link":"https:\/\/www.acpdbrasil.com\/en\/ransomware-na-area-da-saude\/","title":{"rendered":"At\u00e9 onde podem ir as consequ\u00eancias de um ransomware na \u00e1rea da sa\u00fade?"},"content":{"rendered":"

Ransomware na \u00e1rea da sa\u00fade. H\u00e1 cerca de um ano, 10 de setembro de 2020, ocorreu o primeiro caso de \u00f3bito devido a um ataque cibern\u00e9tico, com uso de ransomware<\/em>, em D\u00fcsseldorf, na Alemanha. Cibercriminosos atacaram um hospital e encriptaram dados, al\u00e9m de pedirem pagamento, para reverterem o processo.<\/p>\n\n\n\n

O ransomware<\/a><\/em> atingiu trinta (30) servidores do Hospital da Universidade de D\u00fcsseldorf, paralisando os sistemas, e consequentemente incapacitando este hospital de receber pacientes. O problema \u00e9 que uma mulher, em risco de vida, devido a impossibilidade de ser atendida no hospital atacado, foi enviada para um outro hospital, a cerca de 32 km de dist\u00e2ncia, na cidade de Wuppertal. Infelizmente, a paciente n\u00e3o sobreviveu, devido \u00e0 demora em ser atendida.<\/p>\n\n\n\n

Este incidente marca a primeira morte relatada, indiretamente causada, por um ataque de ransomware<\/em>. Os hospitais, num geral, t\u00eam sido alvos frequentes de cibercriminosos, que fazem uso de ransomwares<\/em>. Este aumento \u00e9 atribu\u00eddo devido a urg\u00eancia de se manter a confidencialidade, integridade e disponibilidade (CID), de informa\u00e7\u00f5es pessoais de sa\u00fade, o que faz com que haja um significativo aumento da probabilidade de as v\u00edtimas pagarem estes cibercriminosos.<\/p>\n\n\n\n

N\u00e3o est\u00e1 claro se os cibercriminosos pretendiam tomar os sistemas do Hospital da Universidade de D\u00fcsseldorf ou se o hospital foi um dano colateral em um ataque \u00e0 Universidade. A nota de resgate foi endere\u00e7ada \u00e0 Universidade Heinrich Heine, afiliada ao hospital, n\u00e3o ao hospital em si. A Ag\u00eancia Federal de Seguran\u00e7a em Tecnologia da Informa\u00e7\u00e3o da Alemanha, BSI, informou que os cibercriminosos invadiram o hospital usando uma falha no software<\/em> Citrix, que havia sido corrigida em janeiro de 2019. Como o hospital n\u00e3o atualizou seu software<\/em>, os cibercriminosos puderam usar esta falha para invadir e criptografar seus dados.<\/p>\n\n\n\n

Um dia antes do incidente envolvendo o Hospital, o BSI havia emitido um aviso, pedindo \u00e0s organiza\u00e7\u00f5es alem\u00e3s que atualizassem seus gateways<\/em> de rede Citrix, a fim de corrigirem a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.<\/p>\n\n\n\n

Na \u00e9poca, especialistas em ciberseguran\u00e7a disseram esperar que a morte ocasionada pelo ataque de ransomware<\/em> servisse de alerta para reguladores, empres\u00e1rios e administradores de TI de que muito mais precisa ser feito para prevenir e deter estes tipos de ataques.<\/p>\n\n\n\n

A pol\u00edcia em D\u00fcsseldorf contatou os cibercriminosos, por meio da nota de resgate, para explicar que o hospital, e n\u00e3o a universidade, havia sido afetado, colocando a sa\u00fade dos pacientes em risco. Os invasores pararam o ataque e entregaram a chave de criptografia para descriptografar os dados em quest\u00e3o. Os promotores alem\u00e3es est\u00e3o investigando poss\u00edveis acusa\u00e7\u00f5es de homic\u00eddio culposo contra os cibercriminosos. Mas \u00e9 altamente improv\u00e1vel que sejam feitas pris\u00f5es.<\/p>\n\n\n\n

A grande maioria dos cibercriminosos que utilizam ransomwares, <\/em>geralmente atacam organiza\u00e7\u00f5es sediadas em outros pa\u00edses, que n\u00e3o o seu de resid\u00eancia. Em outubro de 2016, na \u00e9poca com 29 anos, um cibercriminoso russo chamado Yevgeniy Aleksandrovich Nikulin foi preso enquanto estava de f\u00e9rias em Praga, sob a acusa\u00e7\u00e3o de hackear o LinkedIn, al\u00e9m de outras empresas norte-americanas.<\/p>\n\n\n\n

Em 2014, os agentes do Servi\u00e7o Secreto Americano coordenaram com as autoridades das Maldivas a extradi\u00e7\u00e3o de um outro cibercriminoso russo para Guam. O hacker foi posteriormente considerado culpado por 38 acusa\u00e7\u00f5es de hackear organiza\u00e7\u00f5es, nos EUA, e foi condenado a 27 anos de pris\u00e3o. As autoridades russas chamaram a extradi\u00e7\u00e3o de “sequestro”.<\/p>\n\n\n\n

\u201cOs hospitais n\u00e3o podem permitir elevado tempo de inatividade, o que significa que eles t\u00eam maior probabilidade de pagar – e rapidamente com o m\u00ednimo de negocia\u00e7\u00e3o – para restaurar seus servi\u00e7os. Isso torna-os um alvo prime.\u201d<\/p>Brett Callow, analista de amea\u00e7as da Emsisoft, empresa de seguran\u00e7a da Nova Zel\u00e2ndia<\/cite><\/blockquote><\/figure>\n\n\n\n

As informa\u00e7\u00f5es pessoais de sa\u00fade s\u00e3o consideradas, por muitos, como as mais confidenciais de todos os tipos de informa\u00e7\u00f5es pessoais. Os sistemas de inform\u00e1tica em sa\u00fade precisam atender a demandas \u00edmpares para continuarem operacionais em face a desastres naturais, falhas de sistema e ataques de nega\u00e7\u00e3o de servi\u00e7o (DOS: Denial of Service, no qual os servidores ou recursos de rede s\u00e3o efetivamente desabilitados e tirados do ar), ransomwares<\/em> e muito mais.<\/p>\n\n\n\n

Os ataques mais severos relatados a instala\u00e7\u00f5es de sa\u00fade, at\u00e9 o momento, foram os ataques com ransomware<\/em> “WannaCry”, da Coreia do Norte, em 2017. Eles paralisaram v\u00e1rios hospitais brit\u00e2nicos e for\u00e7aram os m\u00e9dicos a cancelarem suas cirurgias e a recusarem pacientes. Neste mesmo ano, cerca de um m\u00eas depois, um ataque russo com o ransomware<\/em> “NotPetya”, for\u00e7ou hospitais na zona rural da Virg\u00ednia e em toda a Pensilv\u00e2nia, nos EUA, a recusarem pacientes cujos registros n\u00e3o podiam ser mais acessados.<\/p>\n\n\n\n

Os ataques com o ransomware<\/em> WannaCry foram eventualmente mitigados, contudo muitos dos dados criptografados com o ransomware<\/em> NotPetya nunca foram recuperados. Nenhuma morte foi relatada em nenhuma destas ondas de ataques. Na \u00e9poca, especialistas em seguran\u00e7a da informa\u00e7\u00e3o disseram que era apenas uma quest\u00e3o de tempo.<\/p>\n\n\n\n

O ransomware<\/em> se tornou um flagelo, nos Estados Unidos, e os hospitais est\u00e3o entre os alvos mais f\u00e1ceis. Em 2019, 764 provedores de sa\u00fade americanos – um recorde – foram atingidos por algum tipo de ransomware<\/em>. Pacientes de emerg\u00eancia foram recusados de hospitais, registros m\u00e9dicos estavam inacess\u00edveis e em alguns casos perdidos permanentemente, procedimentos cir\u00fargicos foram cancelados, exames adiados e servi\u00e7os de emerg\u00eancia, como o 911, foram interrompidos.<\/p>\n\n\n\n

Ao que tudo indica, pouco \u00e9 feito para deter os ataques, e as respostas aos incidentes de seguran\u00e7a da informa\u00e7\u00e3o destas organiza\u00e7\u00f5es s\u00e3o frequentemente envoltas em sigilo. Os ataques custaram \u00e0s organiza\u00e7\u00f5es mais de US$ 7,5 bilh\u00f5es, em 2019, de acordo com a Emsisoft<\/a>. Um n\u00famero crescente de v\u00edtimas est\u00e1 optando por pagar, cerca de 75% delas, atualmente, de acordo com uma pesquisa recente com 500 executivos seniores conduzida pela Infrascale<\/a>, uma empresa de seguran\u00e7a.<\/p>\n\n\n\n

Os pagamentos encorajaram os cibercriminosos a aumentaram seus pedidos de resgate, e estes resgastes t\u00eam atingido facilmente a casa dos milh\u00f5es de d\u00f3lares, nos \u00faltimos anos. No ano passado, os cibercriminosos exigiram US $ 14 milh\u00f5es em bitcoin<\/em> em um ataque de ransomware<\/em> que afetou 110 lares de idosos, nos Estados Unidos.<\/p>\n\n\n\n

Embora tenha havido uma ligeira queda nos ataques nos primeiros seis meses de 2020, em meio \u00e0 pandemia, os ataques retomaram o ritmo. Outro hospital, o Hospital Universit\u00e1rio de Nova Jersey foi atacado por um ransomware<\/em> e, posteriormente, viu os registros m\u00e9dicos dos seus pacientes publicados na Internet. Outros grandes centros de sa\u00fade americanos foram posteriormente atingidos por ataques com ransomwares<\/em>, com por exemplo, o Boston\u2019s Children\u2019s Hospital, em fevereiro passado e, em junho, o Arkansas Children\u2019s Hospital em Little Rock, um dos maiores hospitais infantis dos Estados Unidos.<\/p>\n\n\n\n

Em 04 de abril do ano passado, a International Criminal Police Organization (INTERPOL<\/a>) publicou alerta global, em seu website intitulado: Cybercriminals targeting critical healthcare institutions with ransomware<\/em>, que em tradu\u00e7\u00e3o livre significa \u201cCibercriminosos atacando institui\u00e7\u00f5es cr\u00edticas de sa\u00fade com ransomware<\/em>\u201c.<\/p>\n\n\n\n

Ransomwares no Brasil<\/h2>\n\n\n\n

Em 5 de julho do ano passado, houve tentativa de invas\u00e3o ao Hospital S\u00edrio-Liban\u00eas, refer\u00eancia no Brasil, o que causou transtornos imediatos e serviu para preocupar significativamente institui\u00e7\u00f5es de sa\u00fade de todos os tamanhos, em todo o pa\u00eds.<\/p>\n\n\n\n

Em nota emitida \u00e0 imprensa, o hospital S\u00edrio-Liban\u00eas informou que ao identificarem a invas\u00e3o, o servidor da organiza\u00e7\u00e3o foi desconectado. Contudo, o epis\u00f3dio acarretou transtornos como indisponibilidade de acesso aos servi\u00e7os do hospital via app e aos servi\u00e7os de exames de imagem, como resson\u00e2ncia magn\u00e9tica e tomografia. O hospital afirma que n\u00e3o houve vazamento de dados pessoais dos seus pacientes.<\/p>\n\n\n\n

N\u00e3o foi a primeira vez, num passado recente, que o hospital S\u00edrio-Liban\u00eas sofreu ataques de hackers. Em 2017, a organiza\u00e7\u00e3o foi afetada pelo ransomware<\/em> WannaCry. O ransomware<\/em> explorou uma falha gigantesca no sistema operacional Windows, que vitimou empresas e institui\u00e7\u00f5es de mais de 150 pa\u00edses, e infectou mais de 230 mil computadores ao redor do mundo. O hospital S\u00edrio-Liban\u00eas teve o sistema de \u00e1reas administrativas comprometido, sendo recuperado aos poucos, o que n\u00e3o veio a prejudicar o atendimento do hospital. Entretanto, segundo um colaborador da organiza\u00e7\u00e3o, ao tentar acessar o sistema, aparecia uma mensagem, em vermelho, informando que o sistema havia sido invadido e pedindo um resgate em bitcoin, moeda virtual favorita dos cibercriminosos por ser dif\u00edcil de rastrear.<\/p>\n\n\n\n

No caso do Hospital de C\u00e2ncer de Barretos, houve um pedido de resgate de US$ 300 por m\u00e1quina, o que geraria ao hospital um custo de US$ 360 mil, o equivalente a cerca de 1,08 milh\u00e3o de reais. Al\u00e9m do custo financeiro, que o hospital conseguiu evitar, houve o custo humano: cerca de 3 mil consultas e exames foram cancelados e 350 pacientes ficaram sem radioterapia por conta da invas\u00e3o no dia 27 de junho de 2017. Outras unidades do hospital, localizadas em Jales (SP) e Porto Velho (RO), tamb\u00e9m foram afetadas.<\/p>\n\n\n\n

“Trabalhamos em regime de 24 horas, nos revezando, para restabelecer o sistema do hospital. Todo mundo virou t\u00e9cnico, foi um trabalho bra\u00e7al. O problema mais grave foi o ‘sequestro’ das m\u00e1quinas”, afirma Douglas Vieira, gerente do departamento de TI da institui\u00e7\u00e3o. Em tr\u00eas dias, a equipe conseguiu recuperar 800 dos 1200 computadores da institui\u00e7\u00e3o. Mas o atendimento aos pacientes s\u00f3 seria completamente normalizado seis dias depois.<\/p>\n\n\n\n

De acordo com o presidente do Sindicato Paulista de Hospitais, Cl\u00ednicas e Laborat\u00f3rios (SindHosp), Francisco Balestrin, ap\u00f3s o ataque diversas institui\u00e7\u00f5es passaram a procurar empresas de ciberseguran\u00e7a, a fim de passarem por testes para preven\u00e7\u00e3o de perda de dados e malwares<\/em>.<\/p>\n\n\n\n

Boas pr\u00e1ticas e normas t\u00e9cnicas<\/h2>\n\n\n\n

Se voc\u00ea tem interesse ou atua na \u00e1rea de sa\u00fade, pode ser relevante o seu contato com a norma ABNT NBR ISO 27799:2019 – Inform\u00e1tica em sa\u00fade \u2014 Gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o em sa\u00fade utilizando a ISO\/IEC 27002, j\u00e1 que ela fornece orienta\u00e7\u00f5es para as organiza\u00e7\u00f5es de sa\u00fade, e outros guardi\u00f5es de informa\u00e7\u00f5es pessoais de sa\u00fade, sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade (CID) destas informa\u00e7\u00f5es. Sobre a CID, na \u00e1rea da sa\u00fade, podemos dizer que a:<\/p>\n\n\n\n