"Como um testador que já trabalhou em muitas
indústrias, cuidados de saúde é o pior em termos de segurança", Avi Rubin,
diretor técnico do Instituto de Segurança da Informação na Universidade Johns
Hopkins, em Maryland, disse aos participantes da Enigma. "O que é realmente
preocupante é que todos nós interagimos com cuidados de saúde, mas suas práticas
de segurança de dados foram até agora abaixo de todas as outras indústrias que
vimos."
Rubin foi contratado para analisar a segurança do sistema de seis
grandes hospitais na costa oeste dos Estados Unidos. Ele encontrou um rosário
de erros básicos que coloca os dados dos pacientes, e em alguns casos, vidas
reais, em risco. Parte do problema é que os médicos são péssimos em segurança, mas
também houve sérios problemas sistêmicos.
Em um hospital, o gerente de TI exigia a todos os usuários a alterem
suas senhas uma vez por hora. Em resposta, os médicos mandaram um enfermeiro
júnior ir para cada uma das suas estações de trabalho a cada sessenta minutos,
alterar a senha, e mantê-los logado.
Um hospital permitiu que mais de 8.000 funcionários em todos os níveis
de acesso a todos os registros da instalação armazenados. Outro permitiu a um
médico fazer logon nos servidores do hospital no mesmo computador que seus
filhos utilizam para jogos e downloads.
O caso mais notório que Rubin viu foi um computador inseguro que cospe
DVDs de raios-X para os pacientes e médicos, um hacker astuto poderia ter infiltrado
malwares em cada disco único.
Material Relacionado: Dispositivos Médicos na Mira dos Hackers
Algumas técnicas de segurança simples poderiam resolver
muitos dos problemas de TI que hospitais estão enfrentando, disse ele.
Controles de acesso multi-fator, whitelisting de aplicações em dispositivos
médicos e de monitoramento de atividade de banco de dados traria uma melhoria
enorme.
Kevin Fu, diretor do Centro Arquimedes para segurança de
Dispositivo Medical na Universidade de Michigan, concordou, dizendo que seria
relativamente simples de resolver 90 por cento dos problemas que ele vê em
profissionais de saúde apenas usando o bom senso.
Por exemplo, ele examinou um hospital, e descobriu que a grande maioria
dos computadores em uso estava executando o Windows XP e não foi remendado, uma
vez que tinha sido comprado há sete anos. Quando ele fez uma varredura de rede,
ele também descobriu uma máquina Windows 95 que estava executando o scanner de
ressonância magnética. Quando ele perguntou sobre isso, descobriu-se que era
impossível executar o software de ressonância magnética em um sistema
operacional mais recente, sem substituir todo o scanner.
 |
| pacemaker, Kevin Fu |
É aí que reside o problema, disse ele, na medida em que o tempo de
espera para os dispositivos médicos é tão longo que eles estão desatualizados
em termos de segurança de hoje. Ele exibiu um pacemaker que teve uma rotina de
depuração que poderia interromper um batimento cardíaco e foi aberto a qualquer
pessoa.
Em alguns casos, os próprios dispositivos médicos eram o ponto de
infecção. Um fabricante do dispositivo tinha enviado uma atualização de
firmware infectado com malware que continha 38 cavalos de Tróia, que, em
seguida, foram distribuídos por hospitais.
"A situação está ficando melhor", opinou Fu. "Eu agora
estou vendo os fabricantes de dispositivos projetando em segurança na fase de
quadro branco. A profissão médica levou mais de 100 anos para aceitar que a
lavagem das mãos reduzia mortes de pessoas, mas os dispositivos de front-end em
hospitais devem ser melhor em poucos anos”.
Nenhum comentário :
Postar um comentário
Deixe seu comentário ou sugestões de postagem.