Os ataques cibernéticos podem afetar indivíduos e empresas de maneiras diferentes, mas poucos ou nenhum setor têm o mesmo impacto de vida ou morte que os dispositivos médicos
Nos últimos anos, dispositivos médicos e hospitais foram alvo de ataques crescentes de diferentes atores de ameaças, que não escaparam ao conhecimento dos órgãos reguladores nos Estados Unidos.
Na Conferência da RSA em San Francisco, foram detalhadas as implicações de segurança dos dispositivos médicos, juntamente com as orientações sobre como as coisas poderiam ser definidas para melhorar nos próximos anos.
Penny Chase , integrador de tecnologia da informação e segurança cibernética do MITRE , comentou que com qualquer dispositivo conectado a uma rede pode haver vulnerabilidades.
“Se essas vulnerabilidades não forem resolvidas, os dispositivos podem ser potencialmente explorados, e isso pode resultar em danos ao paciente ou servir como ponto de partida para entrar na rede hospitalar”.
O risco para a infraestrutura médica está longe de ser uma ameaça teórica
Em 2017, o ataque ao WannaCry Ransomware teve consequências devastadoras no Reino Unido, encerrando as operações e hospitais do NHS.
Também houve falhas relatadas publicamente em dispositivos médicos que os fornecedores demoraram a corrigir. Talvez o exemplo mais conhecido tenha ocorrido com os Laboratórios Abbott e seus marca-passos cardíacos em St. Jude .
Chase acrescentou que, mesmo quando há patches disponíveis para problemas conhecidos, a correção de dispositivos médicos geralmente está longe de ser rotineira, com muitos hospitais desconhecendo sua vulnerabilidade.
Como a segurança dos dispositivos médicos melhorará
A Food and Drug Administration (FDA) dos EUA , juntamente com o MITRE e outras partes interessadas, se engajou em vários esforços para melhorar o estado de segurança dos dispositivos médicos.
Chase observou que em 2018 o Plano de Ação para Segurança de Dispositivos Médicos foi publicado pelo FDA, que inclui vários itens de ação para os fabricantes de dispositivos.
Entre os itens principais, está o requisito de que as empresas desenvolvam recursos para atualizar e corrigir a segurança do dispositivo no design de um produto. O plano também exige que os fabricantes de dispositivos tenham políticas de divulgação coordenadas em vigor no caso de uma vulnerabilidade.
Margie Zuk , engenheira principal sênior de segurança cibernética do MITRE, comentou que um dos principais desafios da segurança cibernética de dispositivos médicos é garantir que as vulnerabilidades sejam entendidas com a quantidade certa de detalhes.
Para esse fim, o MITRE vem desenvolvendo uma Rubrica de Dispositivos Médicos para o Sistema de Pontuação de Vulnerabilidade Comum (CVSS) que foi submetida ao FDA.
Outro esforço atual é ajudar os hospitais a desenvolver sua preparação para incidentes de segurança cibernética como o WannaCry. Zuk observou que, com o WannaCry, por exemplo, havia muita confusão entre hospitais e fabricantes sobre riscos. Para ajudar nesse tipo de situação no futuro, o MITRE desenvolveu um manual para ajudar os hospitais na resposta a incidentes.
Um dos principais desafios para entender o risco está relacionado ao teste em diferentes cenários. Foi aí que Zuk disse que o esforço da Sandbox de segurança cibernética de dispositivos médicos entra em ação como um esforço para ajudar a validar vulnerabilidades em cenários clínicos.
Lista de materiais de software (SBOM) ajudará
Um dos principais esforços em andamento em 2020 é um esforço de várias partes interessadas liderado pela NTIA para uma lista de materiais de software (SBOM). Com o SBOM, o software em dispositivos médicos e outros precisaria ter uma lista de componentes constituintes incluídos.
“O SBOM é realmente crítico para entender se você tem uma vulnerabilidade em seu sistema”, disse Zuk. “Os hospitais precisam saber qual é a superfície de ataque e o que está em risco”.
Fundamentalmente, a chave para melhorar a cibersegurança de dispositivos médicos é reduzir os riscos e entender o potencial de exploração.
“É uma mudança de pensamento sobre como um dispositivo deve ser usado, como um dispositivo pode ser explorado por um adversário malicioso que está tentando abusar do dispositivo”, concluiu Chase.
Foto de capa enviada por e-Safer
RSA Conference homenageou os maiores inovadores e colaboradores da área de criptografia e matemática
Usos do certificado ICP-Brasil no setor da saúde é tema de encontro entre ANCD e SBIS