Brechas de segurança podem afetar até equipamentos médicos

Departamento de Segurança Nacional dos EUA está investigando possíveis brechas em aparelhos médicos, que podem ser usadas até para tirar a vida dos alvos

O Departamento de Segurança Nacional dos EUA (DHS) iniciou investigações envolvendo equipamentos médicos de diversos tipos, segundo matéria publicada pela agência Reuters nesta última quarta-feira. O objetivo é encontrar e corrigir possíveis brechas de segurança nos aparelhos – de bombas de infusão e de insulina a implantes de coração –, que podem ser usadas por cibercriminosos até para prejudicar tratamentos e tirar a vida dos alvos.

As investigações envolvem produtos feitos por grandes empresas do ramo, como Hospira, Medtronic e St. Jude Medical, de acordo com fontes anônimas ouvidas pela reportagem. Os problemas estão nos software usados, e as possíveis falhas ainda permitiriam que invasores acessassem a rede de hospitais para roubar dados e prejudicassem os pacientes diretamente. As empresas não quiseram comentar o assunto, mas disseram que levam a segurança a sério.

Um oficial do DHS comparou o caso a um mostrado no episódio “Broken Hearts“, da série dramática “Homeland”, em que o presidente dos EUA é morto após um ciberataque atingir o marca-passo em seu coração. “Não está descartada a possibilidade de se causar danos severos ou morte”, disse à Reuters o agente, que preferiu não ser identificado devido à gravidade da situação.

A preocupação com a proteção dos equipamentos médicos vem de pelo menos dois anos atrás, quando o órgão do governo começou as análises. Na mesma época, especialistas em segurança começaram a se interessar mais pelo assunto, incentivados especialmente pela adição de novos recursos a esses produtos – que passaram a entrar na Internet das Coisas e a se parecer cada vez mais com computadores, inclusive se comunicando sem fios com outros aparelhos.

O problema é que, ao mesmo tempo em que ganharam novas funcionalidades e ficaram mais práticos, os aparelhos parecem não ter evoluído da mesma forma em termos de cibersegurança – e esse atrado precisa ser tirado. “Era de conhecimento geral no passado que os produtos só precisavam ser protegidos de ameaças não intencionais”, disse à agência William Maisel, cientista-chefe da Food and Drugs Association (FDA), órgão que regula a venda desses equipamentos. “Agora eles também precisam ser protegidos de ameaças intencionais”, completou.

De acordo com a reportagem, os casos investigados incluem um apontado pelo pesquisador Billy Rios. O especialista descobriu uma falha em uma bomba de infusão usada para “injetar medicamentos diretamente na corrente sanguínea de um paciente”. Graças à brecha, um programa que ele mesmo conseguiu desenvolver poderia ser usado para controlar o aparelho remotamente – e forçar múltiplas injeções do remédio e provocar até uma overdose.

Problema geral – Não são apenas os equipamentos médicos os afetados por possíveis brechas, visto que nem de longe são eles os únicos a participar da “era dos dispositivos conectados”. Uma pesquisa divulgada em julho deste ano pela Fortify apontava que 70% dos aparelhos conectados à chamada “Internet das Coisas” são vulneráveis, “principalmente por causa de códigos ou criptografia inadequados, além de restrições de acesso brandas demais”.

Exemplos que provam o ponto não faltam. Em 2012, a Forbes já havia falado de problemas em aparelhos usados em hospitais, e mais recentemente, geladeiras ligadas à internet foram usadas em botnets. E neste ano, mesmo os tradicionais roteadores também mostraram que não são bons exemplos de segurança, sendo infectados por worms e invadidos.

Até 2020, 50 bilhões de dispositivos devem se encaixar na categoria de “conectados à web”, segundo pesquisa da Cisco. Por isso, não é exagero dizer que casos de invasões a aparelhos “inusitados” deverão aumentar nos próximos anos. Ao menos, é claro, que a preocupação com segurança tome outro rumo, voltando-se aos equipamentos que não se parecem muito com computadores.

* Com informações da agência Reuters