Falta de responsabilidades bem definidas afeta IoMT

Taxas alarmantes de ataques cibernéticos às empresas da área de saúde ao redor do mundo não têm saído do noticiário nos últimos tempos. É bem verdade que outros setores de atividade também têm sido alvo de grandes invasões, em particular os de infraestrutura crítica. No entanto,  no caso de hospitais e clínicas, qualquer falha de segurança pode gerar fatalidades e não apenas perdas financeiras.

Não é desconhecido que esse também é um setor que apresenta baixos níveis de proteção para sistemas, redes e, mais recentemente para dispositivos de Internet das Coisas (IoT) e Internet das Coisas Médicas (IoMT). Um relatório elaborado em conjunto pelo Ponemon Institute e pela Cynerio, baseado em dados fornecidos por 517 especialistas em saúde em cargos de liderança em hospitais e sistemas de saúde nos Estados Unidos, apresentou em número os riscos mais comuns enfrentados por instalações de saúde e seus profissionais.

Mais da metade das organizações entrevistadas (56%) já havia sofrido um ou mais ciberataques nos últimos 24 meses envolvendo dispositivos IoMT/IoT, com uma média de 12,5 ataques no período. Por conta das invasões, 45% dos entrevistados relataram impactos adversos no atendimento aos pacientes e 53% desse grupo (24% no total) reportaram impactos que resultaram no aumento das taxas de mortalidade.

Como o que está ruim também pode piorar, outro fato identificado no estudo é que invasores costumam realizar operações de longo prazo com ataques repetidos. Dos 56% dos entrevistados citados anteriormente, que sofreram pelo menos um ataque cibernético nos últimos 24 meses, 82% foram vítimas de uma média de quatro ou mais ataques no período. Em particular, ataques de ransomware tiveram taxas quase parecidas, com 43% dos entrevistados tendo sofrido um ataque e 76% desse conjunto tendo experimentado uma média de três ou mais.

E por falar em ransomware, os hospitais estão cada vez mais considerando pagamentos de resgate como uma opção viável para acelerar a recuperação dos dados – 47% dos que sofreram esse tipo de ataque acabaram pagando o resgate, e  32% dos resgates pagos ficaram na faixa de US$ 250 mil a US$ 500 mil. Aqueles que não pagaram o resgate, em geral, atribuíram suas decisões a uma estratégia de backup eficaz (53%) e à política da empresa (49%).

Revender dados de pacientes segue tendo valor, conforme citado por 43% dos entrevistados que sofreram pelo menos um caso de violação de dados nos últimos 24 meses. Desses, 65% passaram por uma média de 5 ou mais violações de dados no período, com dispositivos IoT/IoMT envolvidos em 88% das vezes. O custo médio da maior violação de dados envolvendo esses dispositivos IoT/IoMT, incluindo despesas diretas e custos indiretos e oportunidades de negócios perdidas, foi estimado em US$ 13 milhões para as organizações representadas na pesquisa.

Principal causa

Uma razão para a insegurança vem da falta de responsabilidades bem definidas. Quando os entrevistados foram questionados sobre que área é a principal responsável por garantir a segurança dos dispositivos em risco, nenhuma função recebeu mais de 18% das respostas. Mesmo as principais respostas variaram muito, incluindo desde CIOs/CTOs (18%), líderes operacionais (14%), CISOs/CSOs (14%) e líderes de redes (11%).

Quando se trata do nível de riscos de segurança gerados por dispositivos IoT/IoMT, 71% dos entrevistados o classificaram como alto ou muito alto, mas apenas 21% relataram estar em um estágio maduro de proatividade na área de cibersegurança. Em cerca de metade dos casos (46%), há verificação básica dos dispositivos, mas dois terços dos entrevistados (67%) não rastreiam o relatório resultante.

A boa notícia é que os responsáveis pelo orçamento têm lutado por mais recursos para proteger seus ambientes. Os investimentos típicos em TI são estimados, em média, em US$ 145 milhões para o ano fiscal, e 17% desse volume se concentrada em segurança. Dos gastos com segurança, uma média de 20% foi direcionada para os dispositivos IoT/IoMT.

Como acontece em outros setores além da área de saúde, são explorados pelos invasores pontos fracos como escassez de pessoal e falta de conhecimento na área de segurança de dispositivos IoT/IoMT. Entre as principais ameaças à IoT e outros dispositivos conectados com as quais os entrevistados expressaram mais preocupação foram a falta de visibilidade nas redes IoT (45%), phishing (45%), ataques zeroday (41%) e de ransomware (39%).