_Cibersegurança

Hackear equipamentos de hospital é mais simples do que você imagina

Cada vez mais, os hospitais usam dispositivos conectados a uma rede interna, o que torna mais fácil controlá-los e obter seus dados. Mas isso vale tanto para funcionários, como para hackers. E como nota a Wired, hospitais são facilmente hackeáveis. Scott Erven trabalha com segurança da informação e analisou os equipamentos de uma grande rede […]

Cada vez mais, os hospitais usam dispositivos conectados a uma rede interna, o que torna mais fácil controlá-los e obter seus dados. Mas isso vale tanto para funcionários, como para hackers. E como nota a Wired, hospitais são facilmente hackeáveis.

Scott Erven trabalha com segurança da informação e analisou os equipamentos de uma grande rede de saúde nos EUA. Os resultados foram, no mínimo, temerosos:

Em um estudo de dois anos, Erven e sua equipe descobriram bombas de infusão de medicamentos – para gotas de morfina, quimioterapia e antibióticos – que podem ser remotamente manipulados para alterar a dosagem distribuída aos pacientes; desfibriladores com Bluetooth que podem ser manipulados para dar choques aleatórios ao coração de um paciente, ou para evitar que ocorra um choque necessário; raios-X que podem ser acessados ​​por pessoas à espreita na rede do hospital; ajustes de temperatura em refrigeradores que armazenam sangue e medicamentos, que podem deteriorá-los; e registros médicos digitais que podem ser alterados e fazer médicos darem diagnósticos errados…

Ervin afirma que seria difícil um ataque direto a uma pessoa específica: ou seja, se você tem um desafeto que manja de invadir sistemas, pode ficar mais tranquilo no hospital. No entanto, ainda há o risco de ataques aleatórios a pacientes, e eles seriam mais fáceis de realizar: afinal, basta acessar a rede interna via internet (usando malware), ou conectar um laptop diretamente à rede do hospital.

Isso permitiria injetar mais remédio que o aceitável nas veias de um paciente, caso isso seja feito por bombas de infusão. Em uma tomografia, pacientes poderiam receber mais radiação que o permitido, caso os limites fossem alterados.

Isso é possível graças a brechas de segurança bastante comuns. Por exemplo, alguns equipamentos recebem senhas fracas, permanecem com a senha padrão “admin” ou “1234”, enquanto outros nem requerem login (!).

O caso mais assustador é de desfibriladores implantados no coração, que podem ser acessados por Bluetooth:

“Encontramos dois fornecedores que usam Bluetooth para gravar configurações e fazer choques de teste [no paciente] quando o desfibrilador está implantado, ou após a cirurgia”, diz Ervin. “Eles têm senhas padrão fracas para o Bluetooth, que permite se ​​conectar a outros dispositivos. É uma senha simples, como um PIN de iPhone que você podia adivinhar muito rapidamente.”

Erven ainda não revela as marcas com problemas de segurança, já que ainda está tentando resolvê-los. Mas a situação não deve mudar tão cedo: nem mesmo o FDA, órgão americano que controla remédios e equipamentos médicos, impõe padrões mínimos de segurança em seus processos de aprovação.

O ônus de garantir a segurança fica nas mãos das fabricantes, mas só agora a indústria médica está prestando atenção nisso. Em se tratando de saúde e segurança, é melhor prevenir do que remediar. [Wired]

Sair da versão mobile