Topo

Os crimes dos hackers que interrompem até quimioterapia em sequestros virtuais de hospitais

Ataques a equipamentos essenciais podem paralisar atendimentos de emergência, adulterar exames e induzir médicos a erros ou mesmo impedir que pacientes sejam medicados - Vinícius Marinho/Fiocruz Imagens
Ataques a equipamentos essenciais podem paralisar atendimentos de emergência, adulterar exames e induzir médicos a erros ou mesmo impedir que pacientes sejam medicados Imagem: Vinícius Marinho/Fiocruz Imagens

Keila Guimarães - De São Paulo para a BBC Brasil

10/08/2017 06h28

No dia 28 de junho, Mirele Mattos Ribeiro acordou cedo para acompanhar a mãe, Neusa, à sua sessão semanal de quimioterapia contra um agressivo tipo de câncer nos seios da face, diagnosticado no início do ano. Os procedimentos deveriam começar às 6h30, mas um ataque cibernético havia paralisado os computadores do Hospital de Câncer de Barretos, onde Neusa se trata.

"Nós chegamos lá e estava tudo parado. Dos 20 computadores usados para a quimioterapia, apenas um estava funcionando", relembra Ribeiro, que reside em Americana e viaja a Barretos (SP) para acompanhar a mãe na luta contra a doença.

A possibilidade de atraso no tratamento atemorizou a família. "Cada vez que atrasa uma quimioterapia, o problema pode atingir outros órgãos e piorar o estado de saúde da minha mãe. A quimioterapia nada mais faz que tentar reduzir o tamanho do tumor. O medo é o tumor crescer", explica Ribeiro.

Para contornar o problema, o hospital colheu amostras de sangue para os exames necessários antes da sessão e as enviou a um laboratório externo em caráter de emergência. Sete horas após o horário previsto, Neusa deu início à sessão de quimioterapia marcada para aquele dia. "Sentimos indignação porque a vida das pessoas depende disso. O pessoal da radioterapia ficou quatro dias sem poder fazer sessão. Isso afeta muito o tratamento", afirma Ribeiro.

O ataque cibernético que paralisou o hospital foi causado por uma variante do vírus Petya, que em junho infectou computadores com o sistema Windows no mundo todo em troca de "resgates", a serem pagos em moedas digitais - nesse caso, a bitcoin. Chamados de ransomware, vírus de resgate invadem sistemas em que há vulnerabilidades.

Uma vez que rompe as barreiras de proteção, o software malicioso embaralha dados das máquinas infectadas e os criptografa, paralisando os computadores. Para restabelecer o acesso, é preciso uma chave, que fica de posse dos criminosos e é liberada mediante o pagamento de um resgate.

No caso do Hospital de Câncer de Barretos, o resgate era de US$ 300 por máquina, o que geraria ao hospital um custo de US$ 360 mil, o equivalente a R$ 1,08 milhão. Além do custo financeiro, que o hospital conseguiu evitar, houve o custo humano: cerca de 3 mil consultas e exames foram cancelados e 350 pacientes ficaram sem radioterapia por conta da invasão no dia 27 de junho. Outras unidades do hospital, localizadas em Jales (SP) e Porto Velho (RO), também foram afetadas.

"Trabalhamos em regime de 24 horas, nos revezando, para restabelecer o sistema do hospital. Todo mundo virou técnico, foi um trabalho braçal. O problema mais grave foi o 'sequestro' das máquinas", afirma Douglas Vieira, gerente do departamento de TI da instituição. Em três dias, a equipe conseguiu recuperar 800 dos 1200 computadores da instituição. Mas o atendimento aos pacientes só seria completamente normalizado seis dias depois.

Um mês antes, o hospital Sírio-Libanês, em São Paulo, também teve seu sistema atingido por um ataque cibernético que vitimou empresas e instituições de mais de 150 países. O ransomware, chamado WannaCry, infectou mais de 230 mil computadores globalmente e também paralisou hospitais no Reino Unido, num ataque que a polícia europeia, a Europol, classificou como sem precedentes.

Segundo o Sírio-Libanês, o "apenas alguns computadores" do hospital foram infectados. "Nenhum sistema ou servidor foi atingido", afirma a instituição, em nota.

Cada vez mais comuns

Ataques a instituições de saúde são cada vez mais comuns e devem crescer no futuro, já que hospitais aumentam a dependência de máquinas computadorizadas e da conexão à internet, afirmam especialistas em segurança cibernética.

"O princípio de hacking é obter informação. Quanto mais há digitalização e inclusão de tecnologias, mais informações valiosas surgem para serem hackeadas e roubadas", afirma Ghassan Dreibi, gerente de desenvolvimento de negócios em segurança para América Latina da Cisco, empresa que oferece serviços de segurança cibernética.

Em um relatório global apresentado em julho, a Cisco aponta que 49% das empresas já foram alvo de algum tipo de ataque de ransomware, atividade ilegal que rendeu US$ 1 bilhão a criminosos no ano passado. Em um relatório paralelo, produzido pela Symantec, os serviços em saúde aparecem com o segundo maior segmento alvejado em 2016.

"Não tem mistério: o ladrão vai onde está o dinheiro. E qual o melhor lugar que um hospital para ter retorno rápido? Um hospital não pode parar", diz Dreibi.

Além do retorno rápido com resgates, os criminosos digitais também se aproveitam de informações pessoais roubadas que podem ser revendidas a outros criminosos, para que possam ser usadas em falsificações de documentos e cartões bancários, além de outros golpes. "Hospitais são fontes de informações sigilosas, que têm valor e são vendidas. São também fonte natural de pessoas que estão desesperadas, ou seja, vítimas fáceis. É chocante", diz o executivo.

Segundo Fabio Assolini, analista sênior de segurança da Kaspersky Lab, especializada em segurança digital, informações pessoais roubadas nesse esquema são usadas em golpes como o do "falso médico", registrados recentemente em vários Estados - em que, de posse dos dados sobre pacientes, criminosos ligam para parentes se apresentando como médico ou diretor do hospital dizendo precisar de dinheiro para custear um tratamento "urgente".

"O vazamento de dados de pacientes pode ser resultado de um ataque cibernético ou quando algum empregado copia esses dados e os entrega a golpistas, participando do esquema. Existe uma tecnologia que controla e impede que os dados sejam acessados de forma indevida, mas infelizmente boa parte dos hospitais não adota tal tecnologia", diz Assolini.

Ataques no Brasil

É difícil mensurar a abrangência e o impacto desses ataques, pois as empresas brasileiras hoje não precisam vir a público informar que foram vítimas. Nos Estados Unidos, por exemplo, empresas hackeadas onde houve comprometimento de dados dos clientes precisam comunicar isso publicamente. Para Dreibi, hospitais estão sendo atacados continuamente. "Eu diria que os hospitais estão sofrendo mais do que se divulga."

Dados compilados pela Kaspersky Lab, entretanto, mostram que Brasil está na linha de fogo de ataques cibernéticos - o país é o sexto mais atacado no mundo por ameaças digitais. Quando se fala em saúde, o país também tem sérias vulnerabilidades, mostra um relatório da companhia, divulgado em março.

A empresa analisou se softwares utilizados por instituições de saúde para armazenar dados de pacientes podiam ser acessados a partir da internet. Entre eles, estava o Dicom (Digital Imaging and Communications in Medicine), que armazena imagens e resultados de exames. De acordo com Assolini, o Brasil era o quarto país com mais equipamentos Dicom expostos e acessíveis pela internet. "Encontramos resultado de exame de imagem do paciente exposto na rede", afirma.

Vulnerabilidades

Sistemas vulneráveis a ataques cibernéticos são encontrados em todos os setores, mas, no caso dos hospitais, as fragilidades são maiores.

Uma das portas de entrada para criminosos são os sistemas operacionais antigos usados por equipamentos dessas instituições. Softwares de diagnóstico por imagem, por exemplo, acabam sendo acionados por sistemas como Windows Vista ou XP, para os quais não há mais atualizações e que, por isso, são suscetíveis a pragas digitais.

"Os ataques são gerais, afetam a todos. Há áreas mais e menos preparadas para lidar com isso. E os serviços de saúde estão na área dos menos preparados", afirma Assolini.

Backups desatualizados são outro problema. Informações do paciente, como prontuário, dados sobre medicação e resultados de exames, são hoje digitalizados e precisam de backup diário - mas muitos hospitais dão pouca atenção a isso. Ao serem atacados, muitos não veem outra saída a não ser pagar o resgate exigido pelos criminosos para terem acesso novamente ao sistema.

Vítimas de ataques cada vez mais elaborados, instituições de saúde tentam se antecipar aos criminosos por meio de protocolos rígidos de segurança. No Hospital São Vicente de Paulo, no Rio de Janeiro, parte dos computadores não têm acesso para qualquer dispositivo externo - como CDs e pen drives - e só acessam sites aprovados pela equipe de segurança digital da instituição. Se for preciso utilizar um dispositivo desses, ele é escaneado em uma máquina isolada, sem conexão à rede do hospital, para evitar que um vírus ou outra praga invada o sistema central.

A rede também é bloqueada a dispositivos móveis - por exemplo, o acesso a exames de pacientes pelo celular do médico é vetado. "É um grupo grande tentando invadir. Quanto mais segurança a gente coloca, mais a gente mitiga os riscos. Mas nada vai garantir que um hacker não irá entrar pela porta dos fundos", diz André Mallmann, gerente de TI do hospital. "O trabalho é constante", afirma.

O hospital também possui dois data centers, um principal e um secundário, que pode ser acionado em caso de ataques, e faz backups regulares. "É preciso sempre ter um plano B, para que a atividade principal da instituição não seja afetada, que é o acesso ao prontuário eletrônico e o atendimento médico", diz.

A virada cibernética do hospital veio em 2010, quando a instituição buscava informatizar sua operação para ajudar no gerenciamento do hospital. Mallmann trouxe a informatização, mas alertou o hospital sobre a possibilidade de ataques, algo ainda remoto na área da saúde naquele tempo. "Praticamente não se ouvia sobre ataques naquela época, mas sabíamos dos riscos. Hoje, quem não tem protocolos assim ou conta com a sorte ou paga o resgate", diz.

Informatização traz riscos

Com sistemas cada vez mais informatizados, hospitais precisarão melhorar suas defesas digitais - ou poderão expor seus pacientes a riscos severos, que podem levá-los a morte. Ataques a equipamentos essenciais podem paralisar atendimentos de emergência, adulterar exames e induzir médicos a erros ou mesmo impedir que pacientes sejam medicados, o que pode vitimar aqueles já em situação crítica.

Equipamentos digitais implantados em pacientes também oferecem riscos. Um artigo científico publicado em dezembro alertou que a nova versão do cardioversor-desfibrilador implantável, utilizado em pacientes com arritmia cardíaca, podia ser hackeada sem grandes dificuldades. Os aparelhos dispensam choques controlados ao coração para manter o funcionamento correto do órgão. Mas uma invasão no dispositivo, alertam os pesquisadores, daria controle ao criminosos sobre a intensidade de choques dispensada ou mesmo sobre a continuidade do tratamento - em última instância, controle sobre a vida dos usuários do dispositivo.

O caso ilustra a dimensão dos riscos cibernéticos à espreita nas instituições hospitalares. "Quando um setor se digitaliza, ele abre portas. As pessoas não pensam que estão ampliando a superfície de ataque. Antes, era atacar um computador pessoal, mas agora há vários caminhos. E agora há mais informações disponíveis - antes estavam num papel, num porão. Hoje está tudo num só lugar", afirma Dreibi.

Para Antonio Jorge Dias Fernandes dos Santos, educador para a melhoria da qualidade e segurança do Consórcio Brasileiro de Acreditação, parceiro da certificadora em saúde Joint Commission International, os hospitais estão cada vez mais digitais - e isso é preocupante. "Você tem casos de pacientes da UTI ligados a máquinas conectadas a um computador central. Se for invadido, é um risco. Tudo está muito no piloto automático", diz.

"Os computadores controlam tudo, não tem gente trabalhando nas questões estruturais. São as máquinas fazendo o serviço. Hoje tudo está automatizado e tudo que é muito automatizado me preocupa", afirma Santos. "Fazemos isso para nos livrarmos de u0ma série de tarefas, mas em compensação isso demanda um investimento grande em segurança."