Atualização de segurança de saúde: morte por ransomware, o que vem a seguir?

Como de costume, jogar o jogo da culpa não ajuda ninguém, mas nos lembra da extrema necessidade de trabalhar na segurança da saúde.

O que aconteceu?

Algumas semanas atrás, o hospital universitário Uniklinikum na cidade alemã de Düsseldorf sofreu um ataque de ransomware. O hospital decidiu não admitir novos pacientes até que resolvesse a situação e restaurasse as operações normais.

Por causa da interrupção das internações, uma mulher que precisava de ajuda imediata teve que ser levada ao hospital de Wuppertal, que fica a cerca de 30 quilômetros adiante. Infelizmente, ela morreu ao chegar. Os 30 minutos extras necessários para levá-la ao próximo hospital foram fatais.

No final das contas, o alvo da gangue de ransomware nem mesmo era o hospital, mas a universidade à qual o hospital pertence. Quando os invasores souberam que o hospital também havia sido vítima, eles entregaram a chave de descriptografia gratuitamente. Apesar dessa chave, o hospital levou mais de duas semanas para atingir um nível de operabilidade que lhes permitiu aceitar novos pacientes.

Isso não é apenas trágico porque a mulher poderia ter sido salva se o hospital universitário estivesse funcionando, mas também porque demonstra mais uma vez como uma das partes mais importantes de nossa infraestrutura carece de defesas adequadas contra ameaças prevalentes, como ransomware.

Quais são os principais problemas que a segurança da saúde enfrenta?

No passado, identificamos vários elementos que tornam o setor de saúde, e os hospitais em particular, mais vulneráveis ​​a ameaças cibernéticas do que muitos outros setores.

Aqui estão alguns desses elementos do problema:

• A Internet das Coisas (IoT): devido à sua natureza e método de uso, você encontrará muitos dispositivos IoT em hospitais que funcionam em diferentes sistemas operacionais e exigem configurações de segurança específicas para protegê-los do mundo exterior.
• Sistemas legados: com muita freqüência, equipamentos mais antigos não funcionam adequadamente em sistemas operacionais mais novos, o que resulta em vários sistemas que estão sendo executados em um sistema operacional desatualizado e até mesmo em software que atingiu o ponto de fim de vida . Isso significa que o software não receberá mais patches ou atualizações, mesmo quando houver problemas conhecidos.
• Falta de backups adequados: Mesmo quando o problema subjacente foi resolvido, pode demorar muito para um alvo atacado voltar ao estado operacional. Os institutos precisam ter pelo menos um plano de backup e talvez até mesmo equipamentos e servidores de backup para as funções mais vitais, para que possam mantê-los funcionando em caso de desastre.
• Fatores estressantes extras: problemas adicionais como COVID-19, incêndios e outros desastres naturais podem reduzir o tempo e deixar de lado a necessidade de realizar atualizações, fazer backups ou pensar em qualquer coisa relacionada à segurança cibernética. Esses estressores e outros motivos são frequentemente chamados de “temos coisas mais importantes para fazer”.

Riscos de segurança IoT

Muitos dispositivos médicos que investigam e monitoram o paciente estão conectados à Internet. Nós os consideramos parte da Internet das Coisas (IoT) . Este grupo de dispositivos vem com seu próprio conjunto de riscos de segurança, especialmente quando se trata de informações de identificação pessoal (PII) .

Em todos os casos, é aconselhável investigar se as configurações dos dispositivos permitem acessá-lo pela intranet em vez da Internet. Se possível, isso torna mais fácil proteger o dispositivo contra acesso não autorizado e manter os dados confidenciais dentro do perímetro de segurança.

Sistemas legados

Os sistemas médicos vêm de vários fornecedores e em qualquer hospital você encontrará muitos tipos diferentes. Cada um com seu próprio objetivo, guia do usuário e regime de atualização. Para muitos sistemas legados, a regra prática será não mexer nele se funcionar. O medo de uma falha do sistema supera a urgência de instalar os patches mais recentes. E podemos nos relacionar com esse estado de espírito, exceto quando aplicado a atualizações de segurança em um sistema conectado.

Estresse de desastre

Ok, aqui vem nossa enésima menção de COVID-19 – eu sei, mas é um fator que não podemos ignorar.

A recente pandemia global contribui para a falta de tempo que a equipe de TI de muitas organizações de saúde acha que tem. O mesmo é verdade para muitos outros desastres que requerem a implementação de soluções de emergência.

Em alguns casos, clínicas especializadas inteiras foram construídas para lidar com as vítimas do COVID-19 e para substituir a capacidade perdida em outros desastres, como incêndios florestais e deslizamentos de terra.

Assuntos mais importantes em questão?

É difícil exagerar a importância da “triagem” no sistema de saúde. Profissionais de saúde, como enfermeiras e médicos, provavelmente praticam todos os dias, priorizando as necessidades mais críticas do paciente, segundo a segundo.

Não deve ser surpresa que a triagem também tenha um lugar na administração de TI. Os estabelecimentos de saúde devem determinar quais sistemas requerem atenção imediata e quais sistemas podem esperar.

Curiosamente, o CISO do hospital que sofreu o ataque de ransomware foi acusado de negligência em alguns meios de comunicação alemães. A aplicação da lei na Alemanha está tentando identificar os indivíduos por trás do ataque de ransomware, bem como potencialmente acusando-os de homicídio culposo devido à morte da mulher.

Embora dificilmente possamos culpar o CISO pela morte da mulher, pode chegar um momento em que a segurança inadequada e seus resultados possam resultar em punição para os responsáveis.

Ransomware em particular

O ransomware em jogo no caso alemão foi identificado como DoppelPaymer e foi determinado para ser implantado dentro da organização usando a vulnerabilidade CVE-2019-19781 em VPNs Citrix.

Em notícias mais recentes, soubemos que hospitais UHS nos Estados Unidos foram atingidos por ransomware Ryuk .

Também é importante lembrar que os custos de um ataque de ransomware costumam ser subestimados. As pessoas tendem a olhar apenas para o valor real do resgate exigido, mas os custos adicionais costumam ser muito maiores do que isso.

Demora muitas pessoas-horas para restaurar todos os sistemas afetados em uma organização e retornar a um estado totalmente operacional. O tempo de recuperação será menor em uma organização que vem preparada. Ter um plano de restauração e backups adequados fáceis de implantar pode agilizar o processo de retorno aos negócios. Outra tarefa importante é descobrir como aconteceu e como tampar o buraco, para que não aconteça novamente. Além disso, uma investigação completa pode ser necessária para verificar se o invasor não deixou nenhuma backdoor para trás.

Existe um problema para cada solução

A segurança provavelmente nunca atingirá uma qualidade estanque, portanto, além de tornar nossa infraestrutura, especialmente suas partes vitais, o mais segura possível, também precisamos pensar no futuro e fazer planos para lidar com uma violação. Quer seja uma violação de dados ou um ataque que paralisa partes importantes de nossos sistemas, queremos estar preparados. Saber o que fazer – e em que ordem – pode economizar muito tempo na recuperação de desastres. Ter as ferramentas e backups disponíveis é a segunda etapa para limitar os danos e ajudar com uma recuperação rápida.

Para resumir, você vai precisar de:

• Planos de recuperação para diferentes cenários: violações de dados , ataques de ransomware, etc.
• Backups de arquivos que são recentes e fáceis de implantar ou outro tipo de método de reversão
• Sistemas de backup que podem assumir quando sistemas críticos são danificados
• Treinamento para os envolvidos, ou pelo menos uma oportunidade de familiarizá-los com as etapas dos planos de recuperação

E por último, mas não menos importante, não se esqueça de focar na prevenção. A melhor coisa sobre um plano de recuperação é quando você nunca precisa dele.

Fiquem seguros, todos!

Fonte: https://blog.malwarebytes.com/business-2/2020/10/healthcare-security-death-by-ransomware/