Sciam


Clique e assine Sciam
Notícias

Perigosa fragilidade cibernética de equipamentos médicos mobiliza autoridades

A FDA divulga diretrizes para empresas protegerem seus produtos contra virus e hackers 

Imagem: © iStockphoto.com/Yong Hian Lim
A FDA pede que fabricantes considerem as vulnerabilidades de seus equipamentos médicos projetados para se integrar completamente a redes e à Internet.
Por Dina Fine Maron

Vírus de computador não têm preconceito. Malwares vagando pela esfera cibernética em busca de informações bancárias e senhas não diferenciam entre um computador doméstico ou uma máquina hospitalar tratando um paciente.

Mesmo se uma máquina de terapia radioativa, por exemplo, for infectada sem intenção, malwares poderiam, teoricamente, alterar doses de radiação. 

Produtores de dispositivos médicos precisam proteger seus produtos de cyber ataques, de acordo com um projeto de orientações da U.S. Food and Drug Administration.

A FDA pede que produtores considerem as vulnerabilidades que se acumulam quando seus equipamentos médicos são projetados para se integrar completamente a redes e à Internet.

O órgão do governo pede que empresas façam planos de segurança para proteger sistemas de malwares antes de enviarem planos para a aprovação de mercado. A agência também recomendou que os hospitais notifiquem  rapidamente quaisquer cyber ataques no futuro.

Em um alerta recente, o Departamento de Segurança Interna dos Estados Unidos destectou uma fragilidade afetando aproximadamente 300 dispositivos médicos, incluindo bombas de infusão de medicamentos, respiradores e desfibriladores externos.

O Departamento alerta que senhas codificadas no hardware, que normalmente permitem que técnicos ganhem acesso a várias máquinas, poderiam ser usadas para provocar mudanças nefastas se caírem em mãos erradas.

“Estamos cientes de centenas de dispositivos envolvendo dúzias de produtores que foram afetados por vulnerabilidades ou incidentes de segurança cibernética”, declara William Maisel, oficial sênior do Centro para Dispositivos e Saúde Radiológica da FDA.

Em nenhum desses casos os dispositivos ou hospitais específicos eram os alvos, e os ataques cibernéticos também não resultaram em danos a pacientes, pelo menos que até onde a FDA sabe.

Vários dispositivos médicos funcionam com softwares padrão, como o Windows XP, e são vulneráveis a vírus comuns que infestam computadores domésticos e de escritórios. Como o número de eventos está aumentando, de acordo com Maisel, a FDA decidiu que era hora de publicar diretrizes formais sobre a necessidade de agir. 

Conectar sistemas hospitalares e dispositivos à Internet permite que médicos estudem remotamente os exames e computadores de um paciente para compartilhar essas informações rapidamente. Mas isso também cria novos pontos de entrada onde vírus de computador podem se aproveitar de sistemas eletrônicos.

O Departamento de Assuntos de Veteranos vem rastreando infecções em dispositivos médicos desde 2009. Como relatou o The Wall Street Journal, já ocorreram 327 incidentes desse tipo. Esses eventos não resultaram em danos a pacientes, observa Christian Houterman, diretor de Informática Clínica e Tecnologia Médica da Administração de Saúde de Veteranos. Os incidentes, porém, às vezes criaram inconvenientes para pacientes e contas robustas para hospitais, aponta ele.

Um desses incidentes ocorreu em 2010, quando o vírus Conficker infectou um laboratório inteiro de distúrbios do sono em um hospital de veteranos em Nova Jersey.

Todos os pacientes tiveram seus horários remarcados, o que foi um desafio porque muitos deles dependiam de membros da família para levá-los até o laboratório.

Enquanto isso, para deter a infecção e garantir que os dispositivos ficassem livres do Conficker, o produtor teve que reformatar todos os dispositivos – a um custo de aproximadamente US$40 mil para o hospital, conta Lynette Sherrill, vice-diretora de segurança de informações de saúde do hospital.

Com um vírus como o Conficker, explica ela, não se trata apenas impedir que provoque mais danos após bloquear usuários. A memória dos computadores também tem que estar limpa de códigos que o vírus baixa da internet e salva na memória de cada computador – algo que programas antivírus não conseguem eliminar. O Conficker, um vírus particularmente pernicioso, também pode expor dados e senhas de pacientes.

De acordo com os registros do hospital de veteranos, ataques de malwares, incluindo o Conficker, ocorreram em equipamentos médicos que incluíam dispositivos de imageamento, scanners oculares e analisadores de estresse em eletrocardiógrafos.

Como muitas desses máquinas não têm informações específicas de pacientes, porém, o risco de informações sobre a saúde ou cartões de créditos de pacientes serem roubadas é pequeno.

Malwares como botnets – vírus que tentam controlar funções em uma rede de computadores e então fazê-los trabalhar juntos para executar alguma tarefa ilícita – podem sugar energia, reduzir a velocidade de sistemas e atrapalhar sua funcionalidade.

Malwares também podem tornar um dispositivo indisponível para tratamento. “Eu vejo isso como se estivéssemos em uma vila sem trancas nas portas”, compara Kevin Fu, cientista da computação que se concentra em dispositivos médicos e segurança cibernética na Universidade de Michigan. “Não é difícil pensar que deveríamos ter algumas estratégias de redução de riscos, porque normalmente os bandidos estão alguns passos a frente dos mocinhos”.

A presença de malwares às vezes só é descoberta quando alguém percebe que o sistema está letárgico ou que há algum problema com o desempenho do dispositivo.

Com as novas diretrizes, a FDA está tentando acelerar o processo para que preocupações com segurança cibernética sejam integradas nos estágios de planejamento de produção e sistemas estejam prontos para procurar e responder a ameaças cibernéticas. “Nós não queremos esperar chegar ao ponto em que um dispositivo está funcionando mal”, observa Maisel. “Queremos que hospitais e produtores de dispositivos sejam proativos”.

Ser proativo, porém, pode ser difícil. Assim como um computador doméstico pode ter problemas ao baixar as atualizações mais recentes, manter sistemas hospitalares com os patches de segurança mais recentes – um dos passos mencionados nas diretrizes da FDA – vem com o risco de prejudicar temporariamente o sistema enquanto problemas são resolvidos. No passado algumas empresas desaconselhavam receber atualizações para o sistema apenas por essa razão.

“Inutilizar um equipamento médico importante para executar um patch é tão ruim quanto ter um malware, já que o dispositivo estará indisponível”, aponta Bryan Gulachenski, diretor executivo interino da StopBadware, uma organização anti-malware sem fins lucrativos. Especialistas em segurança cibernética concordam que uma grande parte desse processo será a educação de produtores e hospitais. 

Enquanto produtores se esforçam para incorporar técnicas tradicionais de segurança cibernética a dispositivos médicos, incluindo marca-passos, scanners e equipamentos de suporte à vida, outro ato de equilíbrio precisa ser atingido: como proteger equipamentos de cuidados emergenciais adequadamente, e ao mesmo tempo criar situações em que médicos possam evitar a necessidade de senhas para fornecer rapidamente cuidados urgentes.

“Essa é uma preocupação muito real. Quando me conecto a meu email em um website, se digitar a senha errada três vezes, eu fico bloqueado. Tudo bem. Mas não está tudo bem para um dispositivo médico”, observa Fu. Empresas envolvidas na resolução desse problema precisarão ter flexibilidade para essas realidades, adiciona ele.

Algumas empresas já começaram a desenvolver estratégias parar criar essas salvaguardas, declara Mike Ahmadi, especialista em segurança de dispositivos médicos.

Empresas de equipamentos médicos ficam hesitantes em anunciar seus produtos como sendo seguros, porque não querem atrair ataques a seus sistemas vindos de hackers que gostam de um desafio. “Eu conheço algumas empresas que estão fazendo um trabalho mais que adequado, mas nenhuma delas vai aparecer e dizer que tem um dispositivo seguro e que você deveria comprá-lo por isso”, conta ele. Fazer propagandas sobre segurança, de acordo com ele, também pode ser um problema jurídico se o sistema for comprometido.

Por enquanto, a questão é administrar os riscos. “Sempre haverá malwares. Da mesma maneira, os Centros de Controle e Prevenção de Doenças dos Estados Unidos não tentam eliminar todas as doenças – eles tentam controlá-las. É o mesmo com malwares – eles existem, e estão por aí”, lembra Fu. “Nesse momento não há controles significativos para malwares e, na maior parte, nós dependemos de esperança; o problema é que há muitos pontos de entrada para citar”.