Aproximadamente um terço de todos os dispositivos conectados tem padrões inseguros, como proteção por senha inexistente ou fraca ou design de software ruim, que os tornam prontos para explorações.
Na semana passada, o Internet Crime Complaint Center do FBI emitiu um aviso público alegando que eles “identificaram um número crescente de vulnerabilidades representadas por dispositivos médicos não corrigidos”. Eles afirmaram que esses dispositivos, como bombas de insulina e marca-passos, estão executando firmware desatualizado. Eles também não possuem recursos de segurança adequados, o que significa que os hackers podem alterar as configurações do dispositivo e criar condições perigosas para os pacientes que literalmente dependem deles. Tudo isso não é um problema novo, mas o aviso do FBI é um bom lembrete de como a aplicação da lei pode concentrar sua atenção nessa área.
Os avisos trouxeram à tona vários problemas exclusivos para esta indústria específica. Primeiro, muitos dispositivos são usados com frequência por mais de uma década, enquanto seu firmware não é atualizado com frequência (se é que é) e os patches são poucos e distantes entre si. Muitos hospitais e grupos de prática médica não são proativos com a manutenção do ambiente de software — ou nem consideram isso como parte de sua responsabilidade. E cerca de um terço de todos os dispositivos conectados têm padrões inseguros, como nenhuma ou proteção por senha fraca ou design de software ruim, que os tornam prontos para explorações.
O aviso do FBI citou uma série de relatórios de segurança cibernética que ilustram como as coisas ficaram terríveis: muitos dispositivos têm várias vulnerabilidades e 40% estão chegando ao fim da vida útil. No início deste ano, pesquisadores de segurança descobriram que mais de 100.000 bombas de infusão eram suscetíveis a duas vulnerabilidades conhecidas que foram divulgadas em 2019. A FDA retirou essas bombas ou componentes 16 vezes diferentes nos últimos dois anos. Outro relatório divulgado na semana passada
