ATAQUES DIGITAIS QUE MATAM

“Ataques digitais irão provocar eventos físicos causando desde distração até a destruição em potencial de ativos do mundo físico” (Leonardo Scudere)

E eu acrescento:

ATAQUES DIGITAIS VÃO MATAR

Indivíduo X, portador de problemas cardíacos para as quais a única solução para continuar a viver é implantar um marcapasso. Vida salva, vida nova, recuperação 100%. O que ele e a maioria de nós não sabe é que embora seu problema de saúde tenha sido contornado ele pode ter virado alvo de hackers (crackers, na verdade).

IMG_20180313_150137

Certamente não estamos acostumados a falar em crimes digitais contra a vida humana, e possivelmente imaginemos que um ataque desse tipo ocorreria numa usina nuclear, no setor energético ou mesmo nos equipamentos de uma UTI da unidade hospitalar, mas não, o que tenho para falar hoje é sobre o risco de ataques direcionados a uma vítima bastando para isso a condição de portadora de um equipamento médico habilitado para monitoramento remoto implantado em seu corpo.


Como assim Angela? Alguns modelos de marcapasso, muito comumente utilizados nos EUA permitem o acesso remoto (por bluetooth e wi-fi). Esse acesso remoto possibilita o monitoramento dos dados de saúde do paciente, evitando assim visitas desnecessárias ao médico, pois, é possível ajustar o equipamento à distância, de forma que qualquer sinal anormal possa ser identificado imediatamente. Não há dúvidas sobre quanto isso beneficia o paciente, contudo, como TUDO que está conectado pode ser invadido, esses equipamentos se tornaram um problema para a segurança dos usuários, pois da mesma forma que o ajuste pode ser feito para evitar a morte do paciente, um acesso de má-fé pode causar-lhe a morte.

Isso não ocorre somente com os marcapassos, há também os neuroestimuladores, bombas de insulina pré-programadas, implantes cocleares, ou seja, todo o tipo de equipamento que possa ser implantado no corpo humano e que aceite monitoramento remoto. Isso não seria um problema tão grande se o número de usuários fosse pequeno, entretanto, o número de pessoas utilizando esse tipo de equipamento já ultrapassa de longe a cifra de um milhão e tem aumentado muito anualmente (somente nos EUA esse número ultrapassa 300.000 novos usuários por ano) isso se deve ao fato de que a existência do monitoramento proporciona melhoria na qualidade de vida de portadores de doenças crônicas.

No Brasil, a portaria nº 26 de agosto de 2017 incorporou esse tipo de tecnologia no âmbito do SUS, o que certamente deve ampliar o número de usuários desse equipamento, essa liberação veio após muita luta de uma ONG que representa os interesses dos usuários de marcapasso e por isso uma conquista bastante comemorada.

O que preocupa quem entende um pouco sobre esse mundo hiperconectado é a precariedade de que se revestem as políticas de segurança da informação adotadas em nosso país, especialmente no que diz respeito ao setor da saúde. Para ratificar essa preocupação, ontem, dia 12/03/2018, a McAfee divulgou um relatório que mostra que no ano de 2017 houve um aumento em 211% no número de incidentes de segurança envolvendo tecnologia na área da saúde. Segundo o relatório a maior parte dessas invasões poderia ter sido evitada com cuidados básicos no desenvolvimento e na utilização dos softwares médicos. Esse relatório apenas comprova que o Brasil é um terreno fértil para o cibercrime, e como já escrevi anteriormente as informações médicas valem muito dinheiro no mercado negro. Para termos uma ideia informações de janeiro desse ano destacam que o Brasil é o segundo país que mais perdeu dinheiro em 2017 com crimes cibernéticos (estamos aqui falando de um valor de aproximadamente U$ 22 bilhões (vinte e dois bilhões de dólares) ) de acordo com relatório da Symantec. Somos alvo fácil ficando apenas atrás da China.


Há quem aposte que crimes como sequestro relâmpago possam migrar do mundo físico para o mundo virtual se utilizando, por exemplo, desses equipamentos que podem ser acessados remotamente para concretizar a prática. Por exemplo, o cibercriminoso invadiria o equipamento médico e com a vítima totalmente vulnerável ao seu comando exigiria transferência de valores e de bens, tal método também poderia ser empregado para realizar outros tipos de chantagens.

Parece tudo muito futurístico? Meio coisa de filme? Mas não é, ainda em 2012 um hacker americano comprovou que essa invasão é possível e totalmente factível. Nos EUA um processo que correu perante a FDA (Food and Drug Administration) uma fabricante de implantes cardíacos monitorados admitiu que vários de seus modelos de dispositivos médicos implantáveis estão sujeitos a ameaças de segurança cibernética (https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm). Essa foi uma das empresas que se manifestou, mas isso só ocorreu após um longo processo movido por um usuário de marcapasso que desconfiou da segurança do equipamento que portava. Mas e quanto aos demais fabricantes? Tem sido submetido algum processo de verificação da segurança de seus equipamentos? Há fiscalização em torno dos mecanismos de segurança disponíveis, e falo de segurança digital, não segurança física, em relação a essa a preocupação sempre foi grande.


É certo que diante dos fatos quando pensarmos em segurança digital para a área da saúde a preocupação deve ir muito além do que aquela que já motivei aqui sobre segurança dos dados, que nem de longe deve ser negligenciada visto que dados médicos relacionam-se diretamente com a dignidade humana, deve existir também preocupação com os equipamentos que são utilizados pois como foi possível perceber a falta de atenção com a segurança neles empregada pode custar a vida das pessoas. E vejamos que estou falando aqui somente daqueles equipamentos implantados, mas a ameaça se alastra também para equipamentos de quimioterapia, por exemplo, ou ainda aqueles utilizados para dosar medicamentos para o controle da dor, se estiverem conectados em uma rede vulnerável serão alvos fáceis.


Dentro da minha linha de estudo a pergunta que eu tenho me feito é: se alguém for vítima de um crime praticado através da invasão de um equipamento desses, qual será a responsabilidade penal do fabricante? E da casa de saúde? E do profissional que implantou o equipamento?

Quanto à responsabilidade civil ela é objetiva, fundamentada na Teoria do Risco, aqui não cabe muita discussão, bastando que se comprove que o incidente ocorreu através do equipamento o que certamente demandará a participação de um perito digital. Mais do que nunca nesses casos recorrer ao perito digital se faz primordial, a necessidade da coleta correta de provas é o diferencial para esclarecer o que de fato ocorreu no caso concreto e se for o caso estabelecer o nexo de causalidade entre o incidente ocorrido e o meio (equipamento monitorado) utilizado.


Encerrando eu deixo dois alertas:

Primeiramente para as casas de saúde e profissionais que utilizam o monitoramento remoto de pacientes a orientação é: invista em uma consultoria em segurança da informação para identificar quais os pontos falhos da segurança digital que podem ser encontrados em seu negócio para que possam ser sanados e assim evitar uma série de transtornos.

Por fim para os pacientes: informem-se antes sobre a marca do equipamento, procure informações sobre ele é seu direito como consumidor.


A conclusão quando tratamos de crimes cibernéticos é sempre a mesma:

No mundo hiperconectado em que vivemos a única certeza que temos é que uma hora nossos sistemas serão atacados, apenas não sabemos quando.

 Para saber mais sobre como adotar medidas preventivas entre em contato comigo.

Reportagens sobre o tema:


http://www.securityreport.com.br/destaques/saude-sofre-aumento-de-211-no-numero-de-incidentes-de-seguranca/#.WqfWr-zwZQI

https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm

https://canalcienciascriminais.com.br/dispositivos-medicos-eletronicos-na-mira-dos-hackers/

https://canaltech.com.br/hacker/perigos-da-tecnologia-e-possivel-hackear-um-marcapasso-e-matar-o-paciente-82795/

http://www.lex.com.br/legis_27481775_PORTARIA_N_26_DE_2_DE_AGOSTO_DE_2017.aspx