Uma clínica médica trabalha com dados sensíveis dos doentes. No entanto, por outro lado, quase nenhum médico possui os conhecimentos necessários para tornar a sua informática à prova de rebites e pregos contra ciberataques externos. Isto pode ser dispendioso – em muitos aspectos. E quem pensa que o perigo só afecta os grandes hospitais e centros, enquanto os “pequenos” consultórios não interessam aos hackers, está a subestimar a abordagem dos criminosos.
Se ainda não foi vítima de um ataque de ransomware, fique feliz, mas não seguro. Porque, mais cedo ou mais tarde, é muito provável que todos os proprietários de clínicas sejam afectados. O ransomware é um malware utilizado para se infiltrar em dados ou em infra-estruturas de TI inteiras, roubar dados, encriptá-los parcial ou totalmente e, assim, impedir o acesso aos mesmos (visão geral 1).
De acordo com o Relatório Ransomware, publicado anualmente pelo fornecedor global de segurança informática Sophos, cerca de 60% de todas as empresas do sector da saúde foram afectadas por ataques de ransomware em 2023. De acordo com o relatório, a razão para esta situação reside provavelmente em “tecnologias e controlos de infra-estruturas desactualizados”: é provavelmente “mais difícil para as empresas protegerem os dispositivos, restringirem o movimento lateral e impedirem a propagação de ataques”. No sector das TI, tecnologias e telecomunicações, por outro lado, a proporção de dispositivos afectados foi de apenas 33%.
O objetivo é claro: os dados bloqueados só podem ser libertados mediante o pagamento de um resgate. De acordo com a Sophos, o montante médio dos resgates pagos foi de 1.470.000 dólares. No entanto, os montantes, por vezes horrendos, exigidos são apenas um aspeto do problema. Antes que isso aconteça, o proprietário do consultório é confrontado com o desafio de manter o seu negócio – e, portanto, o seu sustento. Em tempos de digitalização, os médicos estão também muito dependentes das tecnologias de informação do seu consultório: sem acesso a elas, não é possível consultar os processos dos doentes, não é possível emitir receitas médicas e não é possível consultar imagens de raios X ou de ressonância magnética. Em suma: os doentes já não podem ser tratados.
Duplo perigo através da ameaça de publicação
Em geral, existe uma forma relativamente simples de se proteger contra a perda de dados, criando cópias de segurança. Os sistemas informáticos modernos executam este passo automaticamente, sem que o proprietário da clínica tenha de fazer nada ativamente. Deste modo, é possível restaurar os dados rapidamente e minimizar a perturbação das operações. No entanto, engana-se quem pensa que os cibercriminosos não o podem prejudicar só por causa disso: Embora os dados possam ser acedidos novamente através de cópias de segurança, isso não altera o facto de os hackers ainda estarem na posse dos dados. O seu próximo passo: uma dupla extorsão, não só exigindo um resgate, mas também ameaçando publicar os dados dos doentes na Internet.
Com uma tal ameaça, há muito mais em jogo para um médico do que a mera perda financeira causada por um pagamento de resgate. Se os dados sensíveis dos pacientes forem roubados e se tornarem acessíveis a toda a gente na Internet, isso significa, em primeiro lugar, uma enorme perda de confiança nos pacientes em causa – para não falar dos danos a longo prazo para a imagem da clínica e das eventuais consequências legais. Quem não estiver preocupado com a paralisação das suas TI pensará, o mais tardar nesta altura, em pagar, em vez de sofrer danos ainda maiores.
Este facto provoca frequentemente o pânico entre os proprietários de clínicas, que se sentem compreensivelmente sobrecarregados com a situação. Além disso, nestes casos, as pessoas tentam frequentemente resolver o problema por si próprias, sem procurar ajuda profissional. O relatório da Sophos concluiu que as organizações afectadas raramente pagam o montante inicialmente exigido pelos atacantes. No sector dos cuidados de saúde, o montante pago foi superior à exigência inicial dos chantagistas em 57% dos casos – em última análise, também um sinal da impotência com que as pessoas afectadas são confrontadas pelos ciberataques.
Os consultórios são tão afectados como os grandes hospitais
Mas, para começar, como é que os proprietários de clínicas acabam na mira dos hackers? Raramente de uma forma direcionada. Em vez disso, os cibercriminosos trabalham de acordo com o princípio do regador: atacam indiscriminadamente o maior número possível de alvos e alguns deles acabam por morder.
O malware dos criminosos é especialmente programado para software que é frequentemente utilizado por empresas. Quem é que os criminosos acabam por atingir é uma questão de sorte. As grandes empresas e os hospitais universitários que foram atingidos por ciberataques nos últimos anos acabaram por ser vítimas apenas porque utilizavam um software específico.
Por este motivo, nenhum proprietário de consultório deve ter a falsa sensação de segurança de que o seu pequeno consultório individual é completamente desinteressante em comparação com os grandes hospitais. As grandes estruturas informáticas, como os hospitais, são mais susceptíveis de serem alvo de ataques, mas também são geralmente muito mais complexas e mais bem protegidas. Os piratas informáticos estão, por isso, a deslocar-se cada vez mais para as pequenas e médias empresas, cujos mecanismos de proteção não são tão eficazes e podem oferecer lacunas.
Fator de risco humano
Por muito que tenha investido em firewalls, proteção antivírus e afins, a maior ameaça a um sistema informático continua a vir dos próprios médicos e do pessoal do consultório. Quando se clica num anexo de correio eletrónico ou numa hiperligação desconhecida por descuido, o malware carrega-se no computador, extrai dados do sistema – por vezes durante semanas – até que finalmente fecha as comportas e deixa de permitir o acesso.
Com o desenvolvimento constante da inteligência artificial, está também a ser atingida uma nova dimensão de ciberataques: imagens geradas por IA, cartas de apresentação de correio eletrónico e até clips de vídeo são tão enganadoramente reais que se torna cada vez mais difícil para um médico ou assistente médico reconhecer a tentativa de fraude no stress diário da sua prática. Não é uma boa perspetiva!
| Série medizinonline “O perigo da Internet” A série “O perigo da Internet” apresenta-lhe, em três partes, as ameaças e as possíveis consequências dos ataques informáticos, bem como medidas de prevenção. Na segunda parte da próxima edição da Hausarzt Praxis, pode ler como proceder se o seu próprio sistema informático tiver sido pirateado: Deve ou não pagar os pedidos de resgate? Ficará também a saber como pode recuperar os seus dados, quais as opções legais disponíveis e como deve abordar os seus pacientes em termos de perda de confiança e de eventuais pedidos de indemnização. |
Mas como é que uma clínica se pode proteger? Em primeiro lugar, o risco pode ser minimizado através da sensibilização de toda a equipa do consultório. A formação especializada ou os workshops são adequados para realçar os riscos potenciais. Se um funcionário não tiver a certeza de ter cometido um erro e aberto a porta ao malware, deve lidar com o assunto abertamente e sem atribuir culpas. Deve ter especial cuidado se, por exemplo, clicar numa ligação mas não abrir nenhuma página ou se o computador ficar muito lento por razões que não são óbvias. Por razões de segurança, é aconselhável contactar o fornecedor de serviços informáticos logo que estes sinais apareçam, para que este possa efetuar uma verificação aprofundada. Afinal, por mais qualificado e experiente que seja o profissional médico na sua área de especialização, como leigo está a travar uma batalha perdida contra os hackers.
HAUSARZT PRAXIS 2024; 19(10): 42–43 (publicado em 17.10.24, antes da impressão)
InFo ONKOLOGIE & HÄMATOLOGIE 2024; 12(5): 34–35
