Quando um grupo hacktivista aparentemente pró-iraniano chamado Handala alegou ter apagado dados de mais de 200 mil sistemas conectados ao ambiente de gerenciamento de dispositivos da Stryker no início deste ano, o incidente fez mais do que interromper as operações de uma empresa. Ele enviou um alerta a todo o ecossistema de saúde: os adversários que hoje atacam infraestruturas críticas nem sempre estão atrás de um resgate. Às vezes eles perseguem o caos.
Esta distinção é importante e a maioria das organizações de saúde ainda não está preparada para isso.
Um novo cálculo de ameaça
Durante quase uma década, a postura de segurança cibernética na área da saúde foi moldada em grande parte em resposta ao ransomware. Bloqueie os terminais. Faça backup dos dados. Tenha um plano de recuperação. Estas medidas continuam a ser essenciais, mas foram concebidas para combater um adversário com motivação financeira: um adversário que quer o seu dinheiro e irá restaurar os seus sistemas assim que o tiver.
Os atacantes com motivação geopolítica operam sob um motivo fundamentalmente diferente. Os grupos que agem em nome ou de acordo com os interesses do Estado-nação procuram frequentemente demonstrar poder, semear turbulência ou retaliar contra supostos inimigos. Suas ferramentas podem incluir malware destrutivo, limpeza de dados e desinformação coordenada. O objetivo deles não é um salário. É paralisia.
Os cuidados de saúde tornaram-se um alvo preferencial para estes intervenientes precisamente por causa do que está em jogo. Os hospitais não podem simplesmente ficar offline. Os dispositivos médicos nem sempre podem ser desligados com segurança. Uma cadeia de abastecimento interrompida pode atrasar as operações, comprometer a gestão de medicamentos e afetar os resultados dos pacientes de formas que são imediatamente visíveis ao público. Para um adversário que procura criar medo e minar a confiança nas instituições do país, os cuidados de saúde são um ponto de pressão extremamente eficaz.
A cadeia de suprimentos é a superfície de ataque
O incidente da Stryker também ilustra um risco que a indústria demora a internalizar totalmente: a superfície de ataque aos cuidados de saúde estende-se muito para além do perímetro hospitalar. Cada fornecedor, fabricante de dispositivos e fornecedor de software associado a um sistema de saúde representa um potencial ponto de entrada ou, como neste caso, um potencial ponto de falha.
Os hospitais atuais dependem de centenas de sistemas de terceiros. Plataformas de imagem. Bombas de infusão. Ferramentas de comunicação clínica. Software de ciclo de receita. Estas integrações criam eficiências e permitem melhores cuidados, mas também significam que um ataque cibernético contra um prestador pode espalhar-se rapidamente em ambientes clínicos, perturbando os fluxos de trabalho e potencialmente afetando a segurança dos pacientes, mesmo quando o próprio hospital não fez nada de errado.
Após o incidente do Stryker, os hospitais em Michigan desligaram os dispositivos médicos por precaução e ativaram sistemas de comunicação de backup. Estas são as respostas corretas. Mas também revelam uma vulnerabilidade que os líderes da saúde deveriam considerar profundamente embaraçosa: as instalações responderam a um evento que não causaram e que não poderiam ter evitado apenas através dos seus próprios controlos de segurança. Esta é a natureza do risco de terceiros e requer uma resposta mais sofisticada do que a maioria dos programas de gestão de fornecedores oferece atualmente.
A estrutura federal: Construindo resiliência em todos os setores
O governo dos EUA reconhece há anos a vulnerabilidade interligada das infraestruturas críticas. Memorando de Segurança Nacional 22 (NSM-22)assinado em abril de 2024, atualiza o quadro fundamental do país para a proteção de infraestruturas críticas — reconhecendo expressamente que a ameaça passou do contraterrorismo para a competição estratégica e a atividade cibernética do Estado-nação. No início deste ano, A estratégia cibernética da administração Trump para a América reforçou esta posição, identificando os cuidados de saúde, juntamente com a energia, os serviços financeiros e as telecomunicações, como uma prioridade máxima para fortalecer e proteger a cadeia de abastecimento. Tomado junto com uma batida constante de aconselhamento específico do setor da Agência de Segurança Cibernética e de Infraestrutura (CISA)a mensagem de Washington é consistente: numa época de crescentes tensões geopolíticas, os adversários irão sondar os nossos sistemas mais importantes.
Os cuidados de saúde têm o seu próprio mecanismo de coordenação concebido justamente para este tipo de ameaça. O Conselho Coordenador do Setor da Saúde (HSCC), existe uma parceria público-privada entre o Departamento de Saúde e Serviços Humanos e as partes interessadas da indústria para alinhar as protecções do sector e melhorar a resposta colectiva. O Grupo de Trabalho de Segurança Cibernética do HSCC produziu orientações voltadas especificamente para o risco da cadeia de suprimentos, segurança de dispositivos médicos e resposta a incidentes, recursos que são frequentemente subutilizados, especialmente em organizações menores ou com recursos limitados.
Este Verão, o HSCC planeia realizar um exercício cibernético nacional: uma simulação em todo o sector do tipo de ataque coordenado em grande escala que poderia afectar simultaneamente múltiplas instalações, prestadores e sistemas de saúde críticos. Este é exatamente o tipo de evento que deveria estar na agenda de todos os líderes de segurança e operações. Estes exercícios revelam lacunas que as discussões documentais e as revisões de políticas simplesmente não conseguem revelar: os momentos em que a comunicação falha, em que a autoridade para tomar decisões não é clara e em que os procedimentos stand-by que parecem sólidos no papel desmoronam sob pressão simulada. As organizações que participarem sairão com uma imagem muito mais honesta da sua resiliência real e um roteiro para colmatar as lacunas antes que o verdadeiro adversário as descubra primeiro.
Repensando a defesa para um tipo diferente de adversário
A defesa contra atacantes com motivação geopolítica exige que as organizações de saúde pensem de forma diferente sobre a sua inteligência contra ameaças e a sua estratégia de resiliência. Aqui está o que parece na prática.
Primeiro, entenda os motivos e métodos do seu oponente. A inteligência contra ameaças não se destina apenas a grandes centros médicos acadêmicos com centros de operações de segurança dedicados. Toda organização precisa de acesso a feeds de ameaças específicos do setor e precisa entender quais atores de ameaças estão atualmente ativos, quais são suas táticas conhecidas e se eventos geopolíticos recentes aumentaram o risco em sua região ou especialidade específica. Os avisos da CISA e os boletins de ameaças da Health-ISAC são um ponto de partida, mas as organizações também devem garantir que as suas equipas de segurança contextualizam os eventos globais através de uma perspectiva de saúde.
Segundo, verifique se os controles existentes estão calibrados para ameaças disruptivas. Muitas organizações avaliaram sua postura de segurança principalmente em relação a cenários de ransomware. Os ataques destrutivos seguem padrões diferentes, podem não acionar os mesmos alertas, seguir os mesmos tempos de inatividade e podem não fornecer às organizações a janela de recuperação que o ransomware normalmente oferece. Os exercícios de referência e os testes de controle de segurança devem incluir especificamente cenários de malware e violação de infraestrutura.
Terceiro, fortaleça seu programa de gerenciamento de riscos de terceiros. As organizações devem ter visibilidade em tempo real da conectividade entre suas redes internas e os sistemas gerenciados pelo fornecedor. Eles devem saber quais funções clínicas e operacionais dependem de quais fornecedores e devem ter procedimentos de tempo de inatividade documentados que possam ser ativados rapidamente se o suporte do fornecedor for interrompido. A pergunta que você precisa fazer não é simplesmente “nosso provedor foi violado?” mas “o que acontecerá com nossas operações se seus sistemas ficarem escuros?”
Quarto, investir na detecção e resposta, não apenas na prevenção. Os invasores com motivação geopolítica geralmente dispõem de recursos e paciência consideráveis. Um controle de prevenção não impedirá todas as invasões. As organizações que investem em monitoramento contínuo, detecção rápida e recursos bem treinados de resposta a incidentes estarão em melhor posição para minimizar o impacto de um ataque quando a prevenção falhar, e em algum momento isso acontecerá para algumas organizações.
A interconectividade é o novo normal
Na área da saúde, existe a tentação de tratar os incidentes de cibersegurança em prestadores ou outros setores como problema de outra pessoa. O incidente do Stryker deveria acabar com essa tentação. O moderno ecossistema de cuidados de saúde está intimamente interligado com fabricantes de dispositivos, fornecedores de software, empresas de logística e empresas de infraestruturas de TI. Um ataque em qualquer lugar deste ecossistema pode afetar o atendimento ao paciente em qualquer lugar.
É por esta razão que o governo federal designou os cuidados de saúde como infra-estrutura crítica e porque existem mecanismos de coordenação como o HSCC. As ameaças cibernéticas não respeitam os limites organizacionais e nem as nossas defesas. Os líderes do setor da saúde que tratam a cibersegurança como uma questão de TI já estão a ficar para trás. Aqueles que o tratam como um imperativo operacional e de segurança do paciente, que requer atenção do conselho, colaboração interdepartamental e investimento contínuo, são aqueles que constroem a resiliência que será importante quando ocorrer o próximo incidente.
Porque haverá outro incidente. As forças geopolíticas que impulsionam estes ataques são inabaláveis. Os adversários aprendem com cada combate. A única questão é se os cuidados de saúde aprenderão mais rapidamente.
Foto: Traitov, Getty Images
Dave Bailey é vice-presidente de soluções de consultoria e estratégia da Águas Clarasonde liderou o desenvolvimento e a entrega de serviços de segurança cibernética e gerenciamento de risco de nível empresarial para organizações de saúde em todo o país. Com mais de 24 anos de experiência em segurança cibernética, incluindo 14 anos focados em saúde, Dave é um consultor confiável para equipes executivas que gerenciam desafios complexos de riscos regulatórios, operacionais e cibernéticos.
Autoridade reconhecida em gerenciamento de riscos cibernéticos e na avaliação e implementação da Estrutura de Segurança Cibernética do NIST, Dave oferece uma abordagem estratégica e voltada para os negócios para a transformação da segurança. Anteriormente, serviu 13 anos como oficial de comunicações e informações na Força Aérea dos Estados Unidos, com atribuições de liderança abrangendo o Pentágono, bases domésticas e operações no exterior. Dave possui MBA Executivo pela Quantic School of Business and Technology e é CISSP, combinando uma perspectiva executiva com profunda experiência técnica.
Esta postagem aparece em Influenciadores da MedCity programa. Qualquer pessoa pode publicar sua perspectiva sobre inovação em negócios e saúde no MedCity News por meio de Influenciadores do MedCity. Clique aqui para saber como.
