Ransomware na área da saúde. Há cerca de um ano, 10 de setembro de 2020, ocorreu o primeiro caso de óbito devido a um ataque cibernético, com uso de ransomware, em Düsseldorf, na Alemanha. Cibercriminosos atacaram um hospital e encriptaram dados, além de pedirem pagamento, para reverterem o processo.
O ransomware atingiu trinta (30) servidores do Hospital da Universidade de Düsseldorf, paralisando os sistemas, e consequentemente incapacitando este hospital de receber pacientes. O problema é que uma mulher, em risco de vida, devido a impossibilidade de ser atendida no hospital atacado, foi enviada para um outro hospital, a cerca de 32 km de distância, na cidade de Wuppertal. Infelizmente, a paciente não sobreviveu, devido à demora em ser atendida.
Este incidente marca a primeira morte relatada, indiretamente causada, por um ataque de ransomware. Os hospitais, num geral, têm sido alvos frequentes de cibercriminosos, que fazem uso de ransomwares. Este aumento é atribuído devido a urgência de se manter a confidencialidade, integridade e disponibilidade (CID), de informações pessoais de saúde, o que faz com que haja um significativo aumento da probabilidade de as vítimas pagarem estes cibercriminosos.
Não está claro se os cibercriminosos pretendiam tomar os sistemas do Hospital da Universidade de Düsseldorf ou se o hospital foi um dano colateral em um ataque à Universidade. A nota de resgate foi endereçada à Universidade Heinrich Heine, afiliada ao hospital, não ao hospital em si. A Agência Federal de Segurança em Tecnologia da Informação da Alemanha, BSI, informou que os cibercriminosos invadiram o hospital usando uma falha no software Citrix, que havia sido corrigida em janeiro de 2019. Como o hospital não atualizou seu software, os cibercriminosos puderam usar esta falha para invadir e criptografar seus dados.
Um dia antes do incidente envolvendo o Hospital, o BSI havia emitido um aviso, pedindo às organizações alemãs que atualizassem seus gateways de rede Citrix, a fim de corrigirem a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.
Na época, especialistas em cibersegurança disseram esperar que a morte ocasionada pelo ataque de ransomware servisse de alerta para reguladores, empresários e administradores de TI de que muito mais precisa ser feito para prevenir e deter estes tipos de ataques.
A polícia em Düsseldorf contatou os cibercriminosos, por meio da nota de resgate, para explicar que o hospital, e não a universidade, havia sido afetado, colocando a saúde dos pacientes em risco. Os invasores pararam o ataque e entregaram a chave de criptografia para descriptografar os dados em questão. Os promotores alemães estão investigando possíveis acusações de homicídio culposo contra os cibercriminosos. Mas é altamente improvável que sejam feitas prisões.
A grande maioria dos cibercriminosos que utilizam ransomwares, geralmente atacam organizações sediadas em outros países, que não o seu de residência. Em outubro de 2016, na época com 29 anos, um cibercriminoso russo chamado Yevgeniy Aleksandrovich Nikulin foi preso enquanto estava de férias em Praga, sob a acusação de hackear o LinkedIn, além de outras empresas norte-americanas.
Em 2014, os agentes do Serviço Secreto Americano coordenaram com as autoridades das Maldivas a extradição de um outro cibercriminoso russo para Guam. O hacker foi posteriormente considerado culpado por 38 acusações de hackear organizações, nos EUA, e foi condenado a 27 anos de prisão. As autoridades russas chamaram a extradição de “sequestro”.
“Os hospitais não podem permitir elevado tempo de inatividade, o que significa que eles têm maior probabilidade de pagar – e rapidamente com o mínimo de negociação – para restaurar seus serviços. Isso torna-os um alvo prime.”
Brett Callow, analista de ameaças da Emsisoft, empresa de segurança da Nova Zelândia
As informações pessoais de saúde são consideradas, por muitos, como as mais confidenciais de todos os tipos de informações pessoais. Os sistemas de informática em saúde precisam atender a demandas ímpares para continuarem operacionais em face a desastres naturais, falhas de sistema e ataques de negação de serviço (DOS: Denial of Service, no qual os servidores ou recursos de rede são efetivamente desabilitados e tirados do ar), ransomwares e muito mais.
Os ataques mais severos relatados a instalações de saúde, até o momento, foram os ataques com ransomware “WannaCry”, da Coreia do Norte, em 2017. Eles paralisaram vários hospitais britânicos e forçaram os médicos a cancelarem suas cirurgias e a recusarem pacientes. Neste mesmo ano, cerca de um mês depois, um ataque russo com o ransomware “NotPetya”, forçou hospitais na zona rural da Virgínia e em toda a Pensilvânia, nos EUA, a recusarem pacientes cujos registros não podiam ser mais acessados.
Os ataques com o ransomware WannaCry foram eventualmente mitigados, contudo muitos dos dados criptografados com o ransomware NotPetya nunca foram recuperados. Nenhuma morte foi relatada em nenhuma destas ondas de ataques. Na época, especialistas em segurança da informação disseram que era apenas uma questão de tempo.
O ransomware se tornou um flagelo, nos Estados Unidos, e os hospitais estão entre os alvos mais fáceis. Em 2019, 764 provedores de saúde americanos – um recorde – foram atingidos por algum tipo de ransomware. Pacientes de emergência foram recusados de hospitais, registros médicos estavam inacessíveis e em alguns casos perdidos permanentemente, procedimentos cirúrgicos foram cancelados, exames adiados e serviços de emergência, como o 911, foram interrompidos.
Ao que tudo indica, pouco é feito para deter os ataques, e as respostas aos incidentes de segurança da informação destas organizações são frequentemente envoltas em sigilo. Os ataques custaram às organizações mais de US$ 7,5 bilhões, em 2019, de acordo com a Emsisoft. Um número crescente de vítimas está optando por pagar, cerca de 75% delas, atualmente, de acordo com uma pesquisa recente com 500 executivos seniores conduzida pela Infrascale, uma empresa de segurança.
Os pagamentos encorajaram os cibercriminosos a aumentaram seus pedidos de resgate, e estes resgastes têm atingido facilmente a casa dos milhões de dólares, nos últimos anos. No ano passado, os cibercriminosos exigiram US $ 14 milhões em bitcoin em um ataque de ransomware que afetou 110 lares de idosos, nos Estados Unidos.
Embora tenha havido uma ligeira queda nos ataques nos primeiros seis meses de 2020, em meio à pandemia, os ataques retomaram o ritmo. Outro hospital, o Hospital Universitário de Nova Jersey foi atacado por um ransomware e, posteriormente, viu os registros médicos dos seus pacientes publicados na Internet. Outros grandes centros de saúde americanos foram posteriormente atingidos por ataques com ransomwares, com por exemplo, o Boston’s Children’s Hospital, em fevereiro passado e, em junho, o Arkansas Children’s Hospital em Little Rock, um dos maiores hospitais infantis dos Estados Unidos.
Em 04 de abril do ano passado, a International Criminal Police Organization (INTERPOL) publicou alerta global, em seu website intitulado: Cybercriminals targeting critical healthcare institutions with ransomware, que em tradução livre significa “Cibercriminosos atacando instituições críticas de saúde com ransomware“.
Ransomwares no Brasil
Em 5 de julho do ano passado, houve tentativa de invasão ao Hospital Sírio-Libanês, referência no Brasil, o que causou transtornos imediatos e serviu para preocupar significativamente instituições de saúde de todos os tamanhos, em todo o país.
Em nota emitida à imprensa, o hospital Sírio-Libanês informou que ao identificarem a invasão, o servidor da organização foi desconectado. Contudo, o episódio acarretou transtornos como indisponibilidade de acesso aos serviços do hospital via app e aos serviços de exames de imagem, como ressonância magnética e tomografia. O hospital afirma que não houve vazamento de dados pessoais dos seus pacientes.
Não foi a primeira vez, num passado recente, que o hospital Sírio-Libanês sofreu ataques de hackers. Em 2017, a organização foi afetada pelo ransomware WannaCry. O ransomware explorou uma falha gigantesca no sistema operacional Windows, que vitimou empresas e instituições de mais de 150 países, e infectou mais de 230 mil computadores ao redor do mundo. O hospital Sírio-Libanês teve o sistema de áreas administrativas comprometido, sendo recuperado aos poucos, o que não veio a prejudicar o atendimento do hospital. Entretanto, segundo um colaborador da organização, ao tentar acessar o sistema, aparecia uma mensagem, em vermelho, informando que o sistema havia sido invadido e pedindo um resgate em bitcoin, moeda virtual favorita dos cibercriminosos por ser difícil de rastrear.
No caso do Hospital de Câncer de Barretos, houve um pedido de resgate de US$ 300 por máquina, o que geraria ao hospital um custo de US$ 360 mil, o equivalente a cerca de 1,08 milhão de reais. Além do custo financeiro, que o hospital conseguiu evitar, houve o custo humano: cerca de 3 mil consultas e exames foram cancelados e 350 pacientes ficaram sem radioterapia por conta da invasão no dia 27 de junho de 2017. Outras unidades do hospital, localizadas em Jales (SP) e Porto Velho (RO), também foram afetadas.
“Trabalhamos em regime de 24 horas, nos revezando, para restabelecer o sistema do hospital. Todo mundo virou técnico, foi um trabalho braçal. O problema mais grave foi o ‘sequestro’ das máquinas”, afirma Douglas Vieira, gerente do departamento de TI da instituição. Em três dias, a equipe conseguiu recuperar 800 dos 1200 computadores da instituição. Mas o atendimento aos pacientes só seria completamente normalizado seis dias depois.
De acordo com o presidente do Sindicato Paulista de Hospitais, Clínicas e Laboratórios (SindHosp), Francisco Balestrin, após o ataque diversas instituições passaram a procurar empresas de cibersegurança, a fim de passarem por testes para prevenção de perda de dados e malwares.
Boas práticas e normas técnicas
Se você tem interesse ou atua na área de saúde, pode ser relevante o seu contato com a norma ABNT NBR ISO 27799:2019 – Informática em saúde — Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002, já que ela fornece orientações para as organizações de saúde, e outros guardiões de informações pessoais de saúde, sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade (CID) destas informações. Sobre a CID, na área da saúde, podemos dizer que a:
- Confidencialidade: é essencial para que a privacidade dos pacientes seja mantida;
- Integridade: é para ser protegida para garantir a segurança do paciente, e um componente importante dessa proteção é assegurar que todo o ciclo de vida da informação seja totalmente auditável;
- Disponibilidade: é fundamental para a oferta eficaz de serviços de saúde.
A norma ABNT NBR 27799:2019 traz orientações claras, concisas e específicas para ser adaptável à ampla gama de tamanhos, locais e modelos de prestação de serviços encontrados na assistência à saúde (independentemente do tamanho, localização e modelo de prestação de serviços). Esta norma baseia-se na experiência adquirida de esforços nacionais, de países como Austrália, Canadá, França, Holanda, Nova Zelândia, África do Sul, Reino Unido, dentre outros, em matéria de segurança das informações pessoais de saúde e destina-se a ser um documento complementar à ABNT NBR 27002:2013.
Esta norma é direcionada àqueles responsáveis pela supervisão da segurança da informação em saúde, organizações de saúde, e guardiões de informação em saúde, que procuram diretrizes sobre este tópico, e seus assessores, consultores, auditores, fornecedores, e prestadores de serviços de segurança.
A ACPD Brasil oferece cursos de interpretação da ABNT NBR 27799:2019, sob demanda. Ficou interessado? Entre em contato conosco!
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.
BBC. Os crimes dos hackers que interrompem até quimioterapia em sequestros virtuais de hospitais. Disponível em: https://www.bbc.com/portuguese/brasil-40870377. Acesso em: 13 set. 2021.
CNN. Sírio-Libanês sofre tentativa de ataque virtual de hackers. Disponível em: https://www.cnnbrasil.com.br/nacional/2020/07/06/sirio-libanes-sofre-tentativa-de-ataque-virtual-de-hackers. Acesso em: 13 set. 2021.
INTERPOL. Cybercriminals targeting critical healthcare institutions with ransomware. Disponível em: https://www.interpol.int/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware. Acesso em: 13 set. 2021.
ISTO É DINHEIRO. Ciberataque afeta computadores do Hospital Sírio-Libanês. Disponível em: https://www.istoedinheiro.com.br/ciberataque-afeta-computadores-hospital-sirio-libanes. Acesso em: 13 set. 2021.
THE GUARDIAN. Alleged hacker held in Prague at center of ‘intense’ US-Russia tug of war. Disponível em: https://www.theguardian.com/technology/2017/jan/27/us-russia-hacking-yevgeniy-nikulin-linkedin-dropbox. Acesso em: 13 set. 2021.
THE NEW YORK TIMES. Cyber Attack Suspected in German Woman’s Death. Disponível em: https://www.nytimes.com/2020/09/18/world/europe/cyber-attack-germany-ransomeware-death.html. Acesso em 13 set. 2021.
ZDNET. First death reported following a ransomware attack on a German hospital. Disponível em: https://www.zdnet.com/article/first-death-reported-following-a-ransomware-attack-on-a-german-hospital. Acesso em 13. set. 2021.