Por Fernando de Carvalho Caliço, Analista de Sistemas – Colaborador do MLA – Miranda Lima Advogados

Imagine o Diretor Clínico de um grande Hospital, seguindo a sua rotina diária. Acorda às 05:00h da manhã, para assumir o turno das 07:00h. Abre a janela e olha para o céu sem uma nuvem, o sol já ameaça a mostrar a sua luz. Toma seu banho e após um belo café da manhã, vai para o trabalho. O trânsito está ótimo. O sol já aberto, mostra todo o resplendor de um céu azul. Estaciona em sua vaga, sobe até a sala de trabalho, senta-se a mesa, liga o computador enquanto a secretária entrega-lhe um café que foi feito aquele momento. Lê os poucos e-mails, abre a agenda de atendimentos e pensa: “Que lindo dia para salvar vidas!”.

Abre o prontuário eletrônico para atender o primeiro paciente e de repente, o sistema fecha. Nada mais funciona, a cada tentativa de um novo comando mais um problema é apresentado. Um pequeno contratempo! Nada irá estragar aquele dia perfeito! Basta ligar para a TI e solicitar a substituição do equipamento e tudo estará resolvido.

De repente, o telefone toca e o chefe do CTI, em total desespero comunica: todos os monitores de suporte a vida estão informando que os pacientes estão em parada cardiorrespiratória; os prontuários médicos estão inacessíveis; a porta da farmácia não abre, pois não aceita qualquer senha; os tomógrafos e os equipamentos de ressonância e raio X estão inoperantes; os laboratórios pararam. Então o telefone emudece. 

O diretor imediatamente abre a porta da sala e pede para secretária entrar em contato urgente com a TI! Ela o informa que todo o sistema de comunicação interno do hospital está inoperante. Já estressado, resolve ir caminhando até a TI. No meio do caminho, descobre que os elevadores não funcionam. Quando pensa que nada podia ser pior, olha para a tela da TV da sala de espera e lê a mensagem: “Bom dia! Somos um grupo de hackers. Nós assumimos o controle de todos os equipamentos do seu hospital através de um vírus Ransomware. Para liberá-los queremos a soma de 100 Bitcoins”. 

100 Bitcoins? Todo o caos devido a um pífio valor? Indaga mentalmente o Diretor. O chefe da TI, descendo as escadas esbaforido, vem em sua direção e antes que ele ouse falar qualquer coisa o Diretor decreta: “Paga logo o valor do resgate! Precisamos que tudo volte ao normal o mais rápido possível!”.  Sussurrando desoladamente, o chefe da TI informa que 1 Bitcoin equivale a aproximadamente US$ 11 mil! 

Infelizmente esses fatos fictícios e terríveis, que poderiam ser capítulo de uma série médica da TV, podem se tornar reais em qualquer grande hospital no mundo. Aliás, já aconteceu! Tendo como exemplo, uma das maiores redes hospitalares da América do Norte e Europa, a Universal Health Services. 

Em 27/09/2020, 400 unidades dessa instituição, distribuídas entre os Estados Unidos, Reino Unido e Porto Rico, tiveram seus sistemas de informática bloqueados devido a um ataque Ransomware (sequestro de dados), causando caos operacional. Os protocolos internos foram acionados levando as equipes a recorrerem aos backups e processos manuais para manterem, de forma precária, suas operações. Mesmo implementando as medidas de mitigação, as consequências foram avassaladoras:  atendimentos de emergência foram redirecionados, resultados dos exames realizados foram adiados e as agendas das consultas médicas foram canceladas. 

A administração da rede, em um comunicado, confirmou o fato classificando como “incidente de segurança de TI” e informou que não existiam indícios de furto dos dados pessoais de pacientes, médicos, enfermeiros e demais funcionários das unidades atingidas. Citou ainda, que ativou seus protocolos para atenuar a situação e garantir o atendimento das emergências médicas. 

No Hospital Universitário de Düsseldorf na Alemanha aconteceu outro caso importante, pois teve como consequência, a primeira morte resultante desse tipo de golpe. A unidade hospitalar foi atacada, no dia 10/09/2020, deixando seus 30 servidores inoperantes. Infelizmente, a paralisação desses equipamentos, ocasionando o fechamento do setor de urgência, ceifou a vida de uma mulher. A demora no atendimento, devido ao redirecionamento a outro centro hospitalar distante 30 Km, foi o motivo de sua morte segundo autoridades locais.

No Brasil, dois casos recentes que ocorreram em São Paulo, apesar de as consequências não serem trágicas como em Düsseldorf, evidenciaram que as intuições brasileiras estão em foco para esse tipo de ataque. 

Thiago Bordini, diretor de inteligência cibernética do Grupo New Space, explica que “Laboratórios e demais instituições conseguiram contornar esses problemas migrando o atendimento do digital para o manual, com fichas e prontuários impressos”. Apesar das medidas terem permitido a continuidade dos atendimentos, houve um aumento considerável no tempo de espera dos pacientes. Segundo Thiago, esse não foi o único reflexo e nem o mais grave. Pois os hackers tiveram acesso a milhões de prontuários e outros dados sensíveis, comprometendo toda a infraestrutura de segurança da informação das instituições. Explica ainda que o valor solicitado de US$ 500 mil pela chave de liberação dos dados, não foi pago.

Entendendo melhor, os vírus cibernéticos do tipo Ransomware são softwares maliciosos que se infiltram nos servidores e unidades de backups das instituições. Terminada a fase de infecção, geralmente imperceptível aos gestores e operadores da organização atacada, os malwares avisam aos seus produtores que estão aptos a serem iniciados. Os hackers tomam o controle da rede e disparam o processo de criptografia “embaralhando” todo o conteúdo armazenado. A criptografia, impede a utilização normal dos arquivos em suas funções, deixando assim, os equipamentos atacados inoperantes. A normalização da operação só ocorrerá mediante o pagamento de um considerável montante financeiro. O valor para a obtenção da chave necessária ao processo de descriptografia (liberação dos dados) é cobrado pelo grupo de hackers que desenvolveu o vírus, configurando assim, o sequestro dos dados. A cobrança geralmente é feita em BITCOINS, moeda cibernética de difícil rastreabilidade e de fácil conversão.

De acordo com a Check Point Software Technologies, empresa especializada na área de segurança digital, essa modalidade de ataque cibernético cresceu vertiginosamente desde julho de 2020, com uma média de 20 empresas atingidas por semana no mundo. O valor de resgate pode ultrapassar US$ 1 milhão, dependendo da corporação infectada, o volume dos negócios e importância dos dados sequestrados.

Segundo o Relatório de Ameaças Cibernéticas da SonicWall 2020, a COVID-19 fez dos hospitais, clínicas médicas e laboratórios, alvos preferencias para seus ataques. Segundo esse mesmo relatório, em 2019, foram descobertos 18,9 milhões de ataques desse tipo de software no mundo. 

Dos 40 principais vazamentos de dados pessoais nos EUA, 18% tiveram como alvo empresas do setor de saúde, resultando no vazamento de informações de 42 milhões de pacientes. 

Outra informação preocupante está no fato que na grande maioria das empresas médicas verificadas, a segurança foi considerada insuficiente para deter um ataque cibernético.  

Os criminosos que antes distribuíam os ataques para uma gama bem diversificada de empresas e organizações atuantes em diversas áreas empresariais, agora concentram-se nas organizações do setor de saúde. Esse direcionamento justifica-se pelo intuito de alcançar uma maior rentabilidade, devido a relevância e potencial destrutivo dos dados sequestrados nesse setor. Já que o gestor que não pagar o valor solicitado, perderá informações críticas para o tratamento de seus pacientes.

A grande maioria das entidades médicas, que em um ataque são submetidas a um enorme estresse, pagam com rapidez o valor exigido. Essa prática é altamente condenável pois faz subir o número de ataques e o preço solicitado. De acordo com a pesquisa realizada pela Bloomberg News, já foi verificado o considerável aumento no número de casos e especialmente no valor cobrado.

A fim de reduzir a probabilidade de um ataque, se faz necessário que todos os protocolos internos de Segurança da Informação sejam revistos e reforçados o mais rápido possível nos ambientes hospitalares. Se o ambiente de TI não for suficientemente seguro e em especial, se os colaboradores forem mal treinados, um simples e-mail aberto por uma secretária, poderá escancarar as portas dos sistemas de informática para um ataque externo.

Os investimentos destinados para a área de Segurança da Informação devem ser colocados em prática imediatamente. Pois os prejuízos derivados dos ataques cibernéticos serão com toda certeza superiores aos investimentos necessários para sua contenção e mitigação.

Semanas serão necessárias para a completa restauração dos sistemas de informática de um grande hospital. Gerando diversos problemas operacionais e demandando um elevado gasto financeiro nos processos de mitigação/regularização. Recursos que poderiam, aliás deveriam, ser utilizados em investimentos para o setor de TI serão desperdiçados para a “reconstrução” dos sistemas e dados afetados.

Sem contar com os altos prejuízos financeiros ocasionados por multas e ações judiciais derivadas do vazamento dos dados pessoais dos pacientes e funcionários. A LGPD (Lei Geral de Proteção de Dados), classifica tais informações como sensíveis atribuindo as maiores multas e condenações pelo seu vazamento.  

Todo investimento em novas tecnologias e principalmente em treinamentos, devem sempre ser considerados insuficientes. Pois a cada dia dezenas de novas ameaças são inventadas e com elas, a necessidade de implementação de inovadas medidas protetivas.

Nesse momento de pandemia, as informações sobre os pacientes como doenças pré-existentes, medicamentos e alérgenos são tão cruciais para salvar suas vidas quanto os respiradores e demais equipamentos de suporte e ressuscitação, sendo essas as informações o principal alvo dos ataques cibernéticos.

Fernando Caliço