A revolução digital ditou que cada vez mais organizações dependessem de infraestruturas tecnológicas, com acesso a ferramentas inovadoras e maior eficiência e flexibilidade, mas também abriu a porta a um novo tipo de crime: o cibernético. Em anos recentes, têm vindo a suceder-se ciberataques às mais diversas organizações, desde redes sociais a órgãos governamentais, e as consequências não se limitam apenas à extração de dados pessoais. Em casos mais sensíveis, como no setor da saúde, estes ataques podem mesmo vir a comprometer o tratamento e a sobrevivência do paciente.
Os ataques por via tecnológica registam uma tendência francamente crescente – de acordo com dados do Check Point, só entre 2021 e 2022 aumentaram em 38% a nível global. Um dos setores mais afetados é o da saúde, que também é o que contém mais informação sensível: desde o contacto e morada do paciente a resultados de exames e informações detalhadas sobre o seu estado de saúde. Ao conseguirem aceder a dispositivos médicos como desfibriladores e máquinas de hemodiálise, os hackers podem afetar o seu normal funcionamento e até interromper temporariamente as operações, com todas as consequências que tal terá para o paciente.
Em Portugal, a situação é particularmente preocupante. O grupo de piratas informáticos HIVE, que visava (entre outras entidades) unidades hospitalares e empresas de análises laboratoriais, foi desmantelado pela Polícia Judiciária em janeiro. São boas notícias, mas é apenas um grupo entre tantos que usam o mesmo modus operandi. CUF, Fundação Champalimaud, hospital Garcia de Orta, laboratórios Germano de Sousa: nos últimos anos, algumas das principais instituições de saúde nacionais foram vítimas de ransomwares que, em certos casos, obrigaram à interrupção de consultas e exames.
A facilidade do acesso dos piratas aos sistemas médicos está relacionada com a segurança informática destes dispositivos, que o Check Point vinca nunca ter sido “uma prioridade”. José Costa, diretor de segurança de informação da Critical Software, corrobora que muitas instituições médicas operam com sistemas desatualizados e que o “risco inerente” de serem alvo de ciberataques é cada vez mais elevado.
“Nos últimos anos, tem aumentado o número de dispositivos médicos interligados em rede”, começa por notar José Costa. “Só uma cama pode ter uma média de 10 a 20 dispositivos ligados”; se enquadrarmos todo o hospital, que inclui departamentos administrativos e computadores de colaboradores com sistemas mais ou menos recentes, “há milhares de dispositivos”. E, como todos os equipamentos estão ligados na mesma rede, “cria-se uma superfície de ataque que é potencialmente explorável por atacantes”.
A contribuir para este risco, está o facto de a maioria dos sistemas utilizados em hospitais e clínicas ter sido concebida numa altura em que “ainda não havia mindset de desenvolvimento seguro” e, portanto, “não seguir uma lógica de segurança” que tenha em conta o perigo de ciberataques. Os softwares dos dispositivos médicos “têm um ciclo de vida longo” e foram projetados para durar décadas, pelo que se mantiveram inalterados durante anos – até porque os custos associados à atualização tendem a ser elevados.
“Por exemplo, sistemas operativos como o Windows 95 deixaram de ser suportados pela Microsoft em 2006, mas ainda estão em funcionamento nos hospitais. Portanto, têm vulnerabilidades já conhecidas, e um atacante que esteja na mesma rede que esse dispositivo pode explorar essas vulnerabilidades”, sumariza o especialista.
Falhas nos equipamentos “podem ter efeito direto e até fatal nos pacientes”
Os ciberataques tornaram-se uma realidade nos últimos anos, e muitos de nós já têm na ponta da língua alguns dos riscos mais comuns: extração e venda de dados, ataques de phishing, instalação de malware. Só que, em instituições de saúde, o risco vai muito para lá do roubo da informação.
“Pode afetar a vida das pessoas, e é essa a grande preocupação. Muitos dispositivos médicos são utilizados para prestar serviços de saúde e, se não funcionarem bem, podem ser fatais”, enfatiza José Costa. O primeiro impacto será o mesmo que acontece num computador pessoal, “que é aparecer uma janela a dizer que o computador está encriptado e que tem de se pagar um resgate para aceder aos dados”. Foi o que terá acontecido com a Fundação Champalimaud em julho de 2019, embora o consultor de comunicação da Fundação tenha garantido que não cedeu "a qualquer exigência dos atacantes" e que "foi possível garantir de imediato o funcionamento da instituição praticamente na sua plenitude".
Para além de meros avisos, poderá verificar-se a “indisponibilidade desses dispositivos, o que tem um impacto grave nos pacientes”, frisa o diretor de segurança da Critical Software. “Bombas de infusão, ventiladores, máquinas de hemodiálise, máquinas de diagnóstico, pacemakers” – enumera uma série de equipamentos não só necessários ao tratamento do paciente como, muitas vezes, ao assegurar da sua sobrevivência.
Aparentemente, a maior parte dos incidentes até agora tem um objetivo essencialmente financeiro e não de causar impacto nos pacientes. Mas é uma possibilidade. Se houver um ataque que faça com que uma bomba de difusão de insulina altere a dosagem, ou que ventiladores deixem de funcionar, ou que robôs cirúrgicos e outras máquinas de diagnósticos tenham dados errados, isso pode ter um impacto direto e até fatal nos pacientes”, explica José Costa.
Em setembro de 2020, um ataque de ransomware no Hospital Universitário de Düsseldorf, na Alemanha, deixou uma série de sistemas indisponíveis e obrigou a que uma paciente idosa tivesse de ser transferida para outra instituição hospitalar, a mais de 30 quilómetros de distância. O objetivo deste ciberataque seria pedir um resgate à universidade e não encerrar as urgências – tanto que os perpetradores cancelaram o ataque e forneceram as chaves para desencriptar os dados assim que as autoridades comunicaram que uma unidade de saúde tinha sido afetada – mas já não foram a tempo de impedir a morte da paciente. O episódio ficou conhecido como o primeiro caso de homicídio causado (ainda que indiretamente) por um ataque informático.
A urgência dos hackers em remediar a situação parece prudente. Elsa Veloso, advogada e especialista em Privacidade e Proteção de Dados, explica que a morte de uma pessoa no contexto de um ciberataque representa uma “acumulação de crimes” que pode configurar uma acusação por homicídio involuntário (ou voluntário, dependendo das intenções do pirata).
“Uma coisa é o acesso ilegítimo ao sistema e o pedido de resgate” – que, por si só, já configuram um crime – “mas outra coisa é deixar o hospital incapaz de praticar determinada intervenção”. Neste caso, garante a especialista em cibersegurança, trata-se de um “cúmulo jurídico de crimes” que implica, também, “a acumulação de molduras penais”.
Como prevenir?
A segurança dos sistemas deve ser desenvolvida desde a sua conceção, com o planeamento de uma camada de segurança que consiga manter-se intransponível até ao final do seu ciclo de vida. Uma das formas de o garantir é, por exemplo, planeando um conjunto de testes que simulem "intrusões" na ótica de um hacker, de modo a detetar potenciais vulnerabilidades no dispositivo.
Mas, como sabemos, a maioria dos dispositivos já está instalada há largos anos e é "antiquada". A gestão da tecnologia tem de ser feita, portanto, com “uma noção de responsabilidade partilhada” entre os produtores que desenvolvem e testam os equipamentos e as próprias entidades de saúde, que devem apertar os controlos de segurança e apostar na formação dos colaboradores para que estejam alerta a possíveis ataques.
Na nova realidade digital, os ataques cibernéticos ocorrem e vão continuar a ocorrer em qualquer organização: “Ninguém está imune”, frisa o diretor de segurança da Critical Software. Não obstante, é possível trabalhar no sentido de minimizar o risco destes ataques e dificultar o acesso dos piratas com camadas de segurança acrescidas.
No que diz respeito à cibersegurança em instituições de saúde, José Costa afirma que o passo mais importante pode ser tão simples como “ter um bom inventário e visibilidade de todos os dispositivos, e depois segmentá-los em redes separadas”. O maior desafio para os hospitais é “gerir todo o inventário de dispositivos ligados” e perceber quais são mais antigos, os mais vulneráveis e os mais suscetíveis a ser infiltrados por piratas.
O especialista explica que, "do ponto de vista de arquitetura da rede, faz sentido não misturar computadores de colaboradores com ventiladores e outros dispositivos médicos” e segregá-los em redes separadas, de acordo com as suas diferentes funções. E, também, garantir que os novos equipamentos que vão sendo implementados “são desenvolvidos com segurança embebida, integrada desde a sua conceção, para que os ataques que possam ocorrer nos hospitais tenham o menor impacto possível”.
A CNN Portugal contactou o Gabinete do Ministro da Saúde e vários hospitais portugueses alvo de ciberataques nos últimos anos, mas não obteve qualquer resposta até ao momento.