Uma breve avaliação da segurança cibernética na área da saúde em Portugal

Felizmente, graças aos muitos avanços tecnológicos à disposição desde a última grande pandemia que a humanidade enfrentou, foi possível alocar parte da força de trabalho em casa. Isso possivelmente impediu que o impacto económico do COVID-19 fosse ainda mais catastrófico.

Porém, isto também gerou novos problemas do ponto de vista da segurança cibernética. Fora das dependências das empresas, os riscos de incidentes são maiores. Há menos controlo sobre as boas práticas, como uso de redes seguras, dispositivos de acesso sempre atualizados, guarda de credenciais como para acesso remoto aos sistemas da organização, verificação periódica por malwares e outras ameaças, etc.

Portugal, assim como o Brasil, também sofreu os impactos da pandemia. A seu favor, o país ibérico tem uma legislação consolidada, com políticas e regulamentos bem determinados, que certamente nos ajudaram a alcançar uma das melhores posições em questões de cibersegurança entre os países europeus, segundo dados de 2021 da ESET.

Como exemplo disso, a Lei de Bases da Saúde (LBS) aprovada em setembro de 2019 estabelece explicitamente no item 16 que “o Estado deve promover a utilização eficiente das tecnologias de informação e comunicação no âmbito da saúde e da prestação de cuidados, tendo em atenção a necessidade da proteção dos dados pessoais, da informação de saúde e da cibersegurança.”

Porém, apesar de todo este esforço político no sentido de estabelecer padrões para lidar com ameaças cibernéticas, Portugal tem enfrentado em grande parte os mesmos problemas que a maioria das nações.

As empresas da área da saúde ficaram em décimo lugar entre 15 setores em número de incidentes reportados ao CERT.PT em 2020, com 29 casos reportados (2%, do total). Os dados são do relatório “Cibersegurança em Portugal: Políticas Públicas”, publicado em novembro de 2021 pelo Centro Nacional de Cibersegurança (CNCS) em conjunto com a Universidade de Coimbra.

No caso destas empresas, nos últimos dois anos, o foco foi quase que totalmente voltado para atender as demandas da pandemia do novo coronavírus.

A ameaça cibernética mais em destaque no mundo atualmente são dos ransomware, que são aplicações maliciosas que uma vez instalados no sistema da vítima encriptam os arquivos de forma a torná- -los inacessíveis. A única forma de reaver este acesso é pagando a quantia que os responsáveis pelo ataque exigem, daí o nome “ransom”, de resgate.

Ainda que não figure entre os países mais visados pelos grupos de ransomware, Portugal teve pelo menos dois casos divulgados de ataques à organização da área da saúde. O Centro Hospitalar de Setúbal foi atacado em abril de 2021 pelo grupo Everest e, recentemente, em janeiro de 2022, pelo grupo Stourmous.

As preocupações legítimas com o atendimento dos pacientes contaminados resultaram no esforço para desenvolvimento de novos tratamentos e até mesmo da vacina. A proliferação do vírus gerou novos problemas, como a superlotação de clínicas e hospitais, sobrecarga de trabalho dos profissionais de saúde, necessidade de compra de equipamentos específicos como máscaras de proteção e equipamentos de unidades de terapia intensiva, etc. Tudo isso impactou de forma significativa a capacidade de investimento na área de segurança.

Além disso, organizações da área da saúde têm se tornado cada vez mais dependentes da tecnologia. Sistemas computacionais têm sido utilizados para tarefas como gestão de registo de pacientes ou agenda de profissionais, mas também para tarefas como realização de exames de imagem avançados, monitoração de sinais fisiológicos, auxílio em cirurgias complexas, entre outros.

Muitos destes sistemas possuem componentes interligados ou conectados a redes e até mesmo à internet. Tais equipamentos possuem softwares embarcados que muitas vezes apresentam vulnerabilidades, e se não forem atualizados com frequência, passam a ser uma porta de entrada para cibercriminosos. Ataques deste tipo podem significar um risco significativo para a organização como um todo, que pode ter dados comprometidos e roubados, mas também para pacientes que estejam conectados a tais aparelhos, pois a leitura dos sinais vitais, por exemplo, poderia ser prejudicada ou até mesmo desativada, colocando vidas em perigo.

E há também o facto de que manter a organização a funcionar é uma necessidade absoluta no caso das empresas da área da saúde, o que as torna na vítima ideal. Ao serem extorquidas, estão mais propensas a pagarem os valores exigidos, pois o risco de manter sistemas fora do ar pode trazer mais do que prejuízos financeiros, e sim perigo real para a vida das pessoas.

Proteger-se de ataques cibernéticos pressupõe a adoção de diversas medidas. Torna-se necessária uma política firme de gestão de senhas, com trocas frequentes e uso de senhas fortes, além da utilização de múltiplo fator de autenticação. É essencial realizar atualizações frequentes de softwares, principalmente de sistemas operacionais, e atualização de firmwares de dispositivos frequentemente visados em ataques. Deve-se utilizar aplicações de proteção contra malwares, sempre atualizadas. Treinar a equipa para saber identificar tentativas de ataques como phishing e outros ataques que utilizam engenharia social também pode ser uma medida eficaz em impedir que atores maliciosos tenham acesso aos sistemas da organização.

Portugal está em vantagem com relação a vários destes itens em comparação com outros países, por exemplo, atualização de softwares (em média, mais de 90% das organizações realizam esta tarefa com frequência), controlo rígido de acesso aos sistemas da organização (em média, mais de 80% das organizações) e autenticação através de senhas fortes e seguras (em média, mais de 90% das organizações).

Porém, ainda há questões que exigem um esforço maior para melhorar: em média, apenas cerca de 75% das organizações conservam logs para análise após incidentes de segurança; avaliação de riscos e testes de segurança são realizados, em média, apenas por cerca de 50% das organizações; utilização de métodos biométricos para autenticação só é utilizada por cerca de 40% das organizações.

Mas o mais importante é a informação. Ter acesso à informação atual, acionável e de fontes confiáveis pode ser a diferença entre identificar potenciais ameaças à organização e demorar a tomar uma decisão que poderia evitar um ataque desastroso. Para isso existem as ferramentas de ‘threat intel’, cujo objetivo é fornecer insumos para as empresas, seja para a área de segurança, para a área de compliance, ou quaisquer outras que precisem de informação para executarem suas funções de forma efetiva.

Em Portugal, aquisição e partilha de informação figura na penúltima posição entre as ações implementadas pelas organizações no sentido de melhorar o cenário de cibersegurança no país, segundo o Plano de Ação de Estratégia Nacional de Segurança do Ciberespaço, correspondendo a 8% das atividades, e ficando à frente apenas de ações estruturais e legislativas (3%).

Costuma-se dizer na área da cibersegurança que ser vítima de um ataque cibernético é uma questão de “quando” e não de “se”. O melhor que as organizações podem fazer neste sentido é justamente o que nos impediu de lidar com a pandemia da forma mais adequada e menos dolorosa: estarem preparadas.