.
Entrevista À medida que as gangues de ransomware têm como alvo infraestruturas críticas – especialmente hospitais e outras organizações de saúde – a DARPA adicionou outra agência governamental parceira ao seu Desafio Cibernético de Inteligência Artificial (AIxCC).
AIxCC é a competição de dois anos que a DARPA anunciou no verão passado na Black Hat, que desafia as equipes a construir ferramentas baseadas em IA que protegem automaticamente o código usado em infraestruturas críticas.
A mais recente agência governamental parceira dos EUA é a Agência de Projetos de Pesquisa Avançada para Saúde (ARPA-H), uma entidade de pesquisa independente dentro dos Institutos Nacionais de Saúde dos EUA.
Ao unir forças com o braço de pesquisa do Pentágono, a ARPA-H visa promover o desenvolvimento de tecnologia baseada em IA que possa encontrar e corrigir vulnerabilidades críticas em dispositivos médicos, biotecnologia e sistemas de TI hospitalares, evitando assim ataques cibernéticos destrutivos contra equipamentos que salvam vidas e instalações.
“Os cuidados de saúde estão sendo alvos agudos e têm sido cada vez mais direcionados nos últimos anos”, disse o gerente do programa ARPA-H, Andrew Carney. Strong The One. “Também é especialmente sensível a interrupções em comparação com muitos outros setores de infraestrutura crítica.”
Ele aponta para as coisas que todos nós consideramos certas em nossas casas, como água potável e eletricidade. “Se houver um aviso de fervura de água, podemos cuidar disso por alguns dias”, disse Carney. “Se houver uma queda de energia, temos maneiras de lidar com isso.”
A água e a energia são infraestruturas críticas e, se forem interrompidas – seja por um ataque cibernético ou por um carro colidindo com uma linha de energia – será desagradável e insustentável a longo prazo se o problema não for resolvido. Mas, em geral, por um período limitado, temos a infra-estrutura para resolver o problema e ajudar os necessitados através de abrigos de emergência, por exemplo, ou de outros serviços fornecidos pelo governo ou pela comunidade.
Com os hospitais, as coisas são diferentes.
“Quando falamos em prestar cuidados a pacientes num sistema que já está sob forte utilização, retirando recursos, dificultando as coisas para os médicos, tornando as coisas menos confortáveis e menos seguras para os pacientes – estes efeitos negativos são bastante significativos, “Carney disse.
“E assim manter o tempo de atividade, manter e defender estes outros setores de infraestrutura crítica auxilia indiretamente os nossos setores de saúde e de saúde pública.”
Criminosos colocam a saúde na mira
A maior parte da América testemunhou isso em primeira mão no mês passado, quando uma infecção por ransomware fechou os sistemas de TI da Change Healthcare em fevereiro, deixando muitas farmácias off-line e impedindo que os pacientes recebessem medicamentos e outros cuidados.
“Embora as repercussões deste incidente tenham sido principalmente – embora não totalmente – financeiras, o que me mantém acordado à noite é a possibilidade de um ataque generalizado semelhante afectar directamente o cuidado e a segurança dos pacientes”, disse anteriormente o senador norte-americano Mark Warner (D-VA). este mês.
De acordo com os números mais recentes do FBI, as infecções por ransomware custaram às vítimas mais de US$ 59,6 milhões em perdas no ano passado, com o número de invasões de rede aumentando 18% e as perdas crescendo 74% em comparação com 2022.
A infraestrutura crítica foi especialmente atingida e o FBI recebeu 1.193 reclamações de organizações desta categoria em 2023, um aumento de 37% em relação ao ano anterior. Dos 16 setores que os EUA consideram críticos, os cuidados de saúde e a saúde pública foram os que mais sofreram, com 249 organizações a reportarem infeções por ransomware no ano passado.
É aqui que a DARPA, em parceria com a APRA-H, entra em ação para impulsionar a tecnologia habilitada para IA para proteger os sistemas de saúde – e aumentar as recompensas monetárias.
Desafio Cibernético de Inteligência Artificial
As equipes concorrentes recebem desafios baseados em software do mundo real usado em sistemas de infraestrutura crítica. Trazer a APRA-H como parceira ajudará a garantir que a concorrência resolva falhas críticas na área da saúde. Além disso, a agência de pesquisa comprometeu US$ 20 milhões adicionais em recompensas para o concurso.
AIxCC tem dois cursos: o Open Track e o Small Business Track financiado pela DARPA. Embora as inscrições para este último já tenham sido encerradas com o AIxCC anunciando sete vencedores de pequenas empresas, os participantes podem se inscrever para competir no Open Track até 30 de abril.
Após o término do prazo de inscrição, as equipes competirão em testes para determinar quais avançarão para as semifinais na DEF CON neste verão. No Hacker Summer Camp, sete dessas equipes receberão US$ 2 milhões cada, e também avançarão para a competição final na DEF CON 2025. A equipe vencedora receberá um prêmio de US$ 4 milhões, enquanto o segundo colocado ganhará US$ 3 milhões e o terceiro colocado ganhará US$ 1,5 milhão em prêmios em dinheiro.
Embora Carney não possa revelar muito sobre o que os concursos envolverão, um que já foi anunciado é o projeto de desafio do kernel Linux [PDF]. “Sabemos que o sistema operacional Linux alimenta muitos dispositivos e sistemas em muitos – senão em todos – nossos setores de infraestrutura crítica”, disse ele.
Este exemplo de desafio reintroduz uma vulnerabilidade da vida real, CVE-2021-43267, no subsistema Transparent Inter Process Communication (TIPC) do kernel Linux, que permite a comunicação entre clusters em uma rede. A vulnerabilidade do desafio é uma falha de buffer overflow baseada em heap.
“E os sucessos que obtivemos contra esse desafio são implicitamente muito representativos do software que precisaríamos de garantir nestes sectores em geral”, disse Carney.
“E, especificamente para a saúde, se começarmos a olhar para os dispositivos médicos, 60% de todos os dispositivos médicos executam algum tipo de sistema operacional Linux”, acrescentou. “Então, mais uma vez, à medida que os concorrentes encontram e corrigem vulnerabilidades nesse exemplo de desafio, isso se traduz em segurança no mundo real e em sistemas mais bem defendidos e mais seguros”. ®
.
