Um alerta do FBI publicado nesta semana aponta para centenas de vulnerabilidades em dispositivos hospitalares e laboratoriais amplamente utilizados, permitindo que invasores assumam o controle do sistema e realizem ataques cibernéticos. O aviso é do Centro de Queixas de Crimes na Internet (IC3) do FBI, que afirma haver um número crescente de vulnerabilidades relacionadas a dispositivos médicos não corrigidas, e que ocorrem em softwares desatualizados e em dispositivos sem recursos de segurança adequados.
De acordo com especialistas, 53% de todos os dispositivos médicos em funcionamento e outros dispositivos IoT (Internet das Coisas) em hospitais e laboratórios contêm vulnerabilidades críticas. De acordo com o relatório mencionado, há uma média de 6,2 vulnerabilidades por dispositivo médico, além de mais de 40% dos dispositivos médicos no estágio de fim de vida e não possuem atualizações de segurança.
O alerta aponta para as seguintes vulnerabilidades:
bombas de insulina;
desfibriladores intracardíacos;
telêmetros cardíacos móveis;
marca-passos;
bombas anestésicas.
O alerta também indica que os invasores podem obter acesso aos dispositivos e alterar as leituras, causando overdose de drogas ou “comprometer a saúde dos pacientes”. As vulnerabilidades em dispositivos médicos estão relacionadas principalmente ao design de hardware do dispositivo e ao gerenciamento de software do dispositivo. Esses problemas incluem:
configurações padrões e personalizadas;
falta de recursos de segurança internos dos dispositivos;
a impossibilidade de atualizar essas funções.
Em algumas instalações médicas existem hardwares de dispositivos médicos em uso há mais de 30 anos, dando aos cibercriminosos tempo suficiente para descobrir e explorar bugs. Muitos dispositivos mais antigos contêm softwares desatualizados porque não são mais suportados pelo fabricante e não recebem mais atualizações.
Como forma de mitigação, a proteção de ponta a ponta (criptografia de dados em tráfego, antivírus modernos e atualizados, detecção de resposta de endpoint´s (EDR), sistemas de gerenciamento de inventários etc.), e os treinamentos são procedimentos que precisam ser adotados e seguidos pelas empresas de saúde.