.
Os dispositivos médicos conectados ainda operam em sistemas operacionais sem suporte e permanecem sem patches, mesmo com os ataques cibernéticos crescendo no setor de saúde altamente direcionado.
Tomemos o exemplo dos sistemas de chamada de enfermagem, que permitem que os pacientes se comuniquem com os enfermeiros caso necessitem de assistência. A especialista em segurança Armis, que monitora mais de três bilhões de ativos em todo o mundo, relata que 48% dos sistemas de chamada de enfermagem têm vulnerabilidades e exposições comuns (CVEs) não corrigidas. Pouco mais de um terço (39%) são CVEs de gravidade crítica, com a Armis obtendo essa percepção analisando dispositivos médicos e IoT conectados em sua plataforma.
Além disso: esses especialistas estão correndo para proteger a IA dos hackers. O tempo está se esgotando
Esse nível de vulnerabilidade torna os sistemas de chamada de enfermeira os dispositivos médicos de Internet das Coisas (IoT) “mais arriscados”, de acordo com Armis. Os sistemas de alto risco têm a maior porcentagem de CVEs de gravidade crítica sem correção entre todos os dispositivos médicos e IoT conectados que a Armis analisa.
As bombas de infusão, usadas para fornecer fluidos mecânica ou eletricamente aos pacientes, são os segundos dispositivos médicos de IoT mais arriscados, com quase um terço (30%) operando com CVEs não corrigidos. Além disso, 27% desses dispositivos carregam CVEs de gravidade crítica não corrigidos.
Também: O que é phishing? Tudo o que você precisa saber
Quando se trata de sistemas de dispensação de medicamentos, 86% têm CVEs não corrigidos, dos quais 4% são de gravidade crítica. Pouco menos de um terço (32%) desses dispositivos operam em versões do Microsoft Windows que não são mais suportadas. No total, Armis diz que 19% das unidades IoT médicas são executadas em versões de sistema operacional não suportadas.
Mais da metade (59%) das câmeras IP monitoradas pela Armis em ambientes clínicos têm CVEs não corrigidos, dos quais 56% são de gravidade crítica. As impressoras são o próximo dispositivo de IoT mais arriscado em instalações clínicas, com 37% carregando CVEs não corrigidos, 30% dos quais são de gravidade crítica. Os dispositivos de voz sobre IP ocupam o terceiro lugar, com 53% com CVEs não corrigidos, embora apenas 2% sejam de gravidade crítica.
“Os avanços na tecnologia são essenciais para melhorar a velocidade e a qualidade da prestação de cuidados, pois a indústria é desafiada pela escassez de provedores de cuidados, mas com os cuidados cada vez mais conectados surge uma superfície de ataque maior”, disse Mohammad Waqas, principal arquiteto de soluções da Armis para assistência médica .
“Proteger todos os tipos de dispositivos conectados, médicos, IoT, até mesmo os sistemas de gerenciamento predial, com visibilidade total e monitoramento contextualizado contínuo, é um elemento-chave para garantir a segurança do paciente.”
Além disso: estes são os dispositivos com maior risco de serem hackeados
A prevalência de dispositivos desprotegidos ocorre quando o setor de saúde continua a enfrentar novos riscos de segurança cibernética. O setor registrou um aumento de 31% nas atividades de ameaças entre janeiro e março deste ano em comparação com o trimestre anterior, segundo a Armis, citando dados de sua plataforma de inteligência.
Outras evidências sugerem que o setor de saúde depende cada vez mais de dispositivos conectados. Um estudo da Juniper Research de 2022 estimou que hospitais inteligentes em todo o mundo implantariam 7,4 milhões de dispositivos IoT médicos até 2026, com cada hospital executando mais de 3.850 dispositivos conectados em média. A China foi projetada para liderar o grupo, com seus hospitais inteligentes respondendo por 41% dos dispositivos IoT até 2026, seguido pelos EUA com 21%.
Com a saúde sendo um dos principais alvos de ataques de ransomware, países como Cingapura têm concentrado esforços no reforço da resiliência cibernética de seus setores críticos de infraestrutura de informações.
Em outubro passado, Cingapura expandiu seu programa de rotulagem de segurança cibernética para incluir dispositivos médicos, especificamente aqueles que lidam com dados confidenciais e podem se comunicar com outros sistemas. O programa compreende quatro níveis de classificação, com cada nível indicando um nível adicional de teste e avaliação do produto. A rotulagem de nível um, por exemplo, mostra um dispositivo médico que atendeu aos requisitos regulatórios básicos, que estão atualmente alinhados com os requisitos de registro para dispositivos médicos aprovados pela Health Science Authority.
Além disso: Falha na atualização do sistema identificada como causa de atrasos na imigração de Cingapura
A Agência de Segurança Cibernética (CSA) de Cingapura também alertou que dispositivos IoT críticos são alvos potenciais de ataques de ransomware, com criminosos cibernéticos reconhecendo que a infecção desses dispositivos pode levar a custos e danos significativos de tempo de inatividade. “Se as organizações em setores críticos e sensíveis ao tempo, como saúde, forem infectadas com ransomware, pode haver consequências graves e com risco de vida”, disse a CSA.
.
