Robôs usados em hospitais estão mais vulneráveis

https://network-king.net/wp-content/uploads/2022/04/robo-769x414.jpg

Robôs comumente usados em centenas de hospitais ao redor do mundo foram identificados com cinco vulnerabilidades que facilitam a ação de  hackers, comprometendo o atendimento a paciente, até podendo permitir o roubo de informações confidenciais. Esses robôs são usados em várias tarefas, como transporte de medicamentos e de material hospitalar e limpeza. Tecnologicamente, são dotados de sistemas de rádio, sensores, câmeras e outros recursos para abrir portas, pegar elevadores e trafegar pelos hospitais sem ajuda, sem esbarrar em pessoas e objetos. É justamente a tecnologia que permite aos robôs se movimentar independentemente é o que torna suas vulnerabilidades tão perigosas.

As vulnerabilidades foram reveladas pela Cynerio, fornecedora de soluções de segurança de Internet das Coisas (IoT) usadas em ambientes de serviços de saúde, e receberam o nome coletivo de JekyllBot:5. Já os robôs afetados são da marca Aethon TUG.  As falhas residem na implementação JavaScript e na API do TUG Homebase Server e também em um WebSocket que depende da comunicação confiável entre o servidor e os robôs para transmitir comandos, explica a equipe da Cynerio.

Alguns dos cenários de ataque mais graves quando essas vulnerabilidades são exploradas, atingindo uma pontuação de 9,8 na classificação CVE são:

  • Interrupção da entrega adequada dos medicamentos e de amostras de laboratório;
  • Interferência no tratamento e nas operações de pacientes críticos ou sensíveis a prazos de atendimento, desligando ou obstruindo elevadores e sistemas de travamento de portas;
  • Monitoramento, vídeos e fotos de pacientes vulneráveis, funcionários e ambientes internos dos hospitais, bem como acesso a prontuários confidenciais;
  • Acesso e controle de áreas restritas, interação com pacientes ou colisões com funcionários, visitantes e equipamentos;
  • Sequestro de sessões de usuários administrativos legítimos no portal dos robôs e instalação de malware para realizar novos ataques cibernéticos.

“Essas vulnerabilidades exigem pouca habilidade para ser explorada, nenhum privilégio e nenhuma interação para realizar um ataque bem-sucedido. “Depois da invasão, é possível assumir o controle, ter acesso a câmeras e dados em tempo real e causar estragos e destruição nos ambientes hospitalares usando os robôs”, afirma Asher Brass, chefe de análise de redes da Cynerio.

A Cynerio diz ter descobertos as vulnerabilidades ao realizar uma implantação em um hospital que prefere não identificar. Foi detectado um tráfego anômalo na rede, que parecia estar relacionado aos sensores de elevadores, e uma investigação mais aprofundada levou a uma porta HTTP aberta que dava acesso ao portal com informações sobre o status atual dos robôs Aethon TUG, mapas de layout do hospital e fotos e vídeos visualizados pelos robôs. Pesquisas adicionais revelaram que também era possível assumir o controle dos robôs por meio desse acesso não autorizado.

A Aethon afirma que as vulnerabilidades foram mitigadas por um patch e que não tem notícias de que as falhas tenham sido exploradas no site da empresa. Além disso, alertou que há algumas declarações falsas ou enganosas sobre o problema.

Alvo preferido de ações judiciais

Não só as tradicionais dores de cabeça associadas à recuperação de ambientes de TI, instalação de patches e implantação de medidas mais rígidas de cibersegurança têm sido as consequências dos incidentes de violações de dados, mas os crescentes processos judiciais já afetam organizações prestadoras de serviços de saúde. Além disso, ainda que as ações coletivas sejam movidas com mais frequência no caso de grandes incidentes envolvendo violação de dados, estão cada vez mais comuns litígios associados a incidentes de menor porte.

Segundo o relatório mais recente sobre incidentes de segurança de dados do escritório de advocacia BakerHostetler nos Estados Unidos, que analisou mais de 1.200 incidentes de segurança de dados em 2021, o setor de saúde foi mais impactado judicialmente, respondendo por 23% dos casos avaliados.

Fonte: BakerHostetler

Anteriormente, litígios multidistritais aconteciam mais frequentemente após grandes incidentes de violação de dados. No entanto, foi registrada em 2021 uma tendência de abertura de múltiplos ações judiciais no mesmo foro em semanas após a notificação do incidente, mesmo para casos menores. Além disso, foram vistos processos judiciais abertos em um foro federal e, concomitantemente, outros tantos em foros estaduais sobre a mesma questão. Essa onda de ações judiciais duplicadas tem aumentado os custos de defesa de litígio e o custo final das sentenças devido ao número de advogados envolvidos, segundo o escritório de advocacia BakerHostetler.

O relatório destaca que ataques de ransomware que podem comprometer dados manipulados pelas prestadoras de serviços de saúde têm suas especificidades. Por exemplo, Interrupções operacionais podem produzir situações que colocam a vida em risco. Quando esses ataques tornam inacessíveis dados de pacientes e sistemas correlatos, é preciso ser ágil para colocar em prática medidas alternativas que podem incluir cancelamento de procedimentos, desvio de ambulâncias e até a transferência de pacientes críticos para outras instalações.

Outro problema específico da área de saúde tem a ver com a necessidade de avisar, às vezes, grupos inteiros de pacientes. Como os ataques estão cada vez mais sofisticados e bem-sucedidos em roubar vários terabytes de dados e cobrir todos os rastros, não há evidências forenses que indiquem com precisão os pacientes afetados. Entao, em vez de gastar tempo e dinheiro para revisar os arquivos afetados, as prestadoras de serviços de saúde simplesmente notificam um grande grupo de pacientes potencialmente impactados.

Para se ter uma ideia da dimensão desses grupos, de acordo com o Cyber Peace Institute, em média, cerca de 155.000 registros de todos os tipos, como números de segurança social, prontuários de pacientes, dados financeiros, resultados de exames, são violados durante ataques às prestadoras de serviços de saúde, e esse número pode ser muito maior, já que alguns incidentes chegam a relatar mais de 3 milhões de registros afetados.

FacebookTwitterLinkedIn