Em matéria publicada pelo New York Times sobre tentativas de ataque de ransomware contra dois hospitais na República Checa em meio à pandemia, Andrej Babis — o primeiro ministro do país — se questionou: “eu não entendo porque alguém faria algo tão sujo neste momento”.
Outro incidente, desta vez com consequências mais sérias, levou uma entidade de saúde pública de Illinois, nos Estados Unidos, a tomar a difícil decisão de pagar US$ 350 mil para os criminosos, acionando seu seguro contra incidentes cibernéticos, pois a recuperação do ambiente teria levado meses se não houvesse o pagamento do resgate.
Se surpreender com as atitudes de algumas pessoas nesta crise é compreensível. Entretanto, embora seja fácil reconhecer a ganância por trás de muitos dos ciberataques recentes contra empresas de saúde, respondendo, pelo menos em parte, ao Sr Babis, é mais produtivo focar nas lições aprendidas em cada ocasião.
Assim, indicamos brevemente neste artigo algumas formas de prevenção importantes para que hospitais, laboratórios e outras entidades da área de saúde possam reduzir os riscos de ataques cibernéticos durante a crise.
Comunicação Externa
Bandidos estão usando a marca de instituições de saúde em ataques variados contra a população que vão desde a instalação de aplicativos falsos, que roubam dados das pessoas, até o assalto à mão armada em que a vítima aguardava um suposto serviço de coleta domiciliar de material para teste do COVID-19.
O problema da desinformação tem se revelado tão relevante quanto a própria doença. Por isso é importante que as entidades da saúde comuniquem a população deixando claro quais atividades elas não conduzem e quais informações não solicitam. Isso precisa acontecer pelas redes sociais e também em uma mensagem de fácil acesso e com destaque no site da instituição.
Comunicação Interna
Pressa, sobrecarga de trabalho, perda de colegas, apreensão com relação à família e o medo de se infectar têm feito com que os profissionais de saúde se tornem presa fácil do cibercrime. Isso porque quando estamos desatentos, algo típico de quem está sob forte pressão, temos mais chances de cair em golpes, clicando em links ou abrindo anexos maliciosos ou até sendo ludibriado pelo telefone. A maioria dos ataques com potencial de parar um hospital inteiro, começa exatamente dessa maneira.
É essencial que os gestores de cibersegurança de entidades da saúde reforcem a conscientização. No entanto, considerando o momento, não podemos esperar que estas pessoas se dediquem a ler um email ou parem suas atividades para assistir a uma palestra ou vídeo sobre os riscos desses golpes. Voltemos ao básico e façamos cartazes (impressos na impressora do escritório mesmo) com conteúdo rápido e que não aterrorize as pessoas — esse pessoal já está com preocupações demais — mas que ofereçam conselhos amigáveis sobre cibersegurança.
Não faz sentido fixar os cartazes em corredores onde as pessoas estão sempre correndo de um lado a outro. É necessário que esse material esteja onde as equipes têm o costume de parar. Por exemplo, no bebedouro, onde coletam medicamentos, nos consultórios, na garagem, próximo ao ponto eletrônico, onde acontece a paramentação, etc… Isso, claro, se as normas e leis sanitárias permitirem.
Backups
Fazer backups de todos os computadores relevantes e ter a certeza de que eles funcionarão quando necessário é a coisa mais importante para lidar com ataques de ransomware. É possível que ameaças como estas sejam programadas para ficarem dormentes por um determinado período até que o ataque seja acionado, o que contaminaria até os backups.
No entanto, a chance de salvar os servidores por ter feito a lição de casa, mantendo um backup de qualidade também é grande. Desta forma, vale a pena revisar o processo, priorizar a cópia de computadores importantes em detrimento de outros e checar se é possível restaurar os dados em caso de problemas.
Imagens de disco
É muito comum, sobretudo em empresas grandes, que a configuração das estações de trabalho seja padronizada. Ou seja, que todos os softwares em uso e suas configurações sejam os mesmos para todos os usuários.
Geralmente as áreas de suporte montam uma compilação de tudo isso em um arquivo, pendrive ou CD para ser rapidamente instalado em ocasiões como a compra de várias máquinas, ou ativação de um computador para um funcionário novo e isso é popularmente chamado de uma “imagem” do computador. Mas uma coisa que se nota com frequência, é que essas imagens estão desatualizadas quando mais precisamos delas, por exemplo em um ataque de ransomware no qual precisamos fazer uma reinstalação maciça. Isso acaba demandando mais parametrização manual e aumentando o tempo de recuperação do ambiente.
Por isso é necessário revisar o status da imagem que sua área de suporte possui. Se isso não existir em sua empresa, é essencial criar. Adicionalmente, essas imagens precisam estar armazenadas em um repositório fora da rede, para que estejam disponíveis na ocasião de um ataque que pare todo o ambiente.
Gerenciamento de atualizações de segurança
Muitos ataques exploram vulnerabilidades cuja correção se baseia na simples instalação de uma atualização do fabricante. Porém não são todas as empresas que mantém seus sistemas atualizados.
Ter um processo que garanta a avaliação e testes das atualizações e posterior instalação em todos os computadores é algo essencial para empresas de qualquer tamanho. Por isso, reavalie o status dessa atividade em seu ambiente e mantenha todas as tecnologias elegíveis em sua última versão de software.
Equipamentos médicos
Um dos maiores aprendizados do incidente com o WannaCry em 2017 foi a necessidade de ter uma preocupação adicional com sistemas embarcados em equipamentos médicos. Alguns deles são concebidos de maneira a dificultar a atualização de software, por exemplo, dependendo de versões antigas do Windows para funcionar. Esta foi uma das principais razões que levaram ao forte comprometimento do sistema de saúde britânico nesta ocasião.
A atualização de sistemas como estes pode demandar maior planejamento, mais tempo de homologação e o envolvimento do fabricante do equipamento no processo. Ou seja, não é algo que se faz da noite para o dia. Então é importante que eles estejam em redes segregadas, idealmente sem nenhuma conectividade com outras redes da instituição e sob um rígido controle de acesso. Assim, possíveis ataques que se propagarem pela rede corporativa não alcançarão essas máquinas. Por isso é importantíssimo checar qual é o nível de segregação entre as redes e corrigir desvios.
Procedimentos de Homologação Rápida
Provavelmente a organização em que você trabalha está conduzindo processos de compra de equipamentos ou sistemas médicos a toque de caixa para dar conta do aumento da demanda.
Queimar algumas etapas na homologação deste material durante a crise é algo compreensível. No entanto, é importante estabelecer um conjunto mínimo de critérios de cibersegurança para a tecnologia que está sendo adquirida. Temas como autenticação em dois fatores, controle de acesso baseado em grupos, criptografia de dados críticos e a capacidade de instalar atualizações de segurança no sistema operacional são essenciais.
Cadeia de Suprimentos
Uma das principais consequências da crise do novo coronavírus são os problemas que a doença e seu impacto econômico podem causar em sua rede de fornecedores. Pois as empresas com menor capacidade para suportar o momento estão demitindo ou falindo e isso pode trazer problemas sérios para os dados que sua organização compartilha com elas.
Desta forma, o momento é o de reinventariar quais dados são trocados com quais empresas e, sob a perspectiva de gestão de riscos, avaliar a possibilidade de ocorrer incidentes sérios por causa da ruptura nos serviços por falência, doença ou demissões em massa. Também é preciso considerar o risco de danos ou vazamentos de dados por ex-funcionários insatisfeitos dessas empresas.
Cooperação
Por último, para além do típico “business networking” é recomendável ativar as redes de cooperação. Participar de grupos em que as pessoas saibam o que é lidar com cibersegurança em empresas de saúde pode salvar a pele em situações específicas: tirando uma dúvida em um momento crítico, recomendando um produto, empresa ou profissional que você precisa ou, pelo menos, oferecendo solidariedade diante dos problemas comuns à sua rotina.
Outros artigos dessa série
Cibersegurança no home office em tempos de coronavírus: uma questão de corresponsabilidade — dicas para a proteção dos dados da empresa no ambiente de sua casa
O mínimo de cibersegurança que você precisa considerar ao montar uma infraestrutura às pressas — quais temas priorizar e algumas fontes gratuitas de recursos e de informação
As estratégias por trás dos ataques com o tema do novo coronavírus — golpes antigos em nova embalagem
Dificuldades no caminho de quem precisa gerir cibersegurança em meio à crise — algumas tendências sobre ameaças e temas a serem considerados
Colocando a segurança do Zoom em perspectiva — uma análise dos últimos incidentes envolvendo a segurança do produto