Vulnerabilidades de softwares de dispositivos médicos e ameaças cibernéticas levantam questão de responsabilidade importante para CIOs e CISOs
A tecnologia já está virtualmente em todos os aspectos de nossas vidas, trazendo muitos pontos positivos e alguns negativos. Isso também significa que mundo se tornara altamente dependente da tecnologia. E conforme essa dependência aumenta, também aumenta nossa vulnerabilidade com falhas dos sistemas e com ataques cibernéticos.
Este ano, especialistas em cibersegurança preveem que a guerra cibernética patrocinada por países irá se ampliar e alguns acreditam que alguns ciberataques resultarão em mortes.
Basta observar rapidamente o papel da tecnologia e software na indústria de saúde e percebe-se o porquê de essa especulação não ser mais uma ameaça vã. E o setor de saúde não está sozinho: aumenta também as novas preocupações de quem fabrica esses produtos que dependem de softwares. Isso porque surgem questionamentos sobre acusações criminais de negligência se não levarem as vulnerabilidades de seus produtos a sério.
Os Estados Unidos possui o maior mercado de saúde do mundo. Inúmeros relatórios sugerem que mais da metade dos dispositivos médicos vendidos dentro do país, dependem de software. Jay Radcliffe, um paciente com diabetes, está entre os primeiros a mostrar com um hacker pode escanear uma bomba de insulina vulnerável a centenas de metros de distâncias e forçar o dispositivo médico a administrar uma dose letal de insulina. Isso chamou a atenção do Department of Homeland Security (DHS), dos reguladores governamentais, bem como de muitas organizações na comunidade médica.
No ano passado, o National Cibersecurity and Communications Integration Center, centro de comunicação e segurança do DHS, emitiu um documento não classificado – apenas para uso oficial – chamando atenção para o impacto potencial de ameaças cibernéticas no setor de saúde, calculada na casa de trilhões de dólares. Alertou as organizações a respeito de como “a falha na implementação de um programa robusto de segurança impactará na habilidade da organização em proteger os pacientes e suas informações médicas de perda ou dano, sendo esse intencional ou não”.
Enquanto alguns apenas deram uma olhada nesse aviso, outros perceberam que “proteger os pacientes” significava proteger suas vidas.
O DHS não é o único órgão chamando a atenção para o grande problema de cibersegurança. A Food and Drug Administration, responsável por regular dispositivos médicos no país, emitiu um alerta em junho para fabricantes, instituições de saúde e provedores, dizendo que havia sido informado de “vulnerabilidades e incidentes de cibersegurança que podiam impactar diretamente dispositivos médicos ou operações de rede dos hospitais”.
“Num mundo no qual as redes de comunicação e os dispositivos médicos podem ditar a vida ou a morte, esses sistemas, se comprometidos, são uma ameaça significativa para o setor público e privado”, declara o documento. Outros setores governamentais e privados também expressaram sua crescente preocupação em relação às vulnerabilidades potenciais de dispositivos médicos em redes de TI.
Com tudo isso combinado, há um claro quadro de risco; risco esse que deve ser avaliado imediatamente levando em conta o que está em jogo.
Quando se examina os softwares usados em dispositivos médicos, até mesmo as pessoas que não têm conhecimento técnico podem perceber riscos maciços que vêm com a distribuição dos patches (pacotes de correções). Especialistas em cibersegurança já avisam há muito tempo sobre quão crítico é aplicar correções de código em softwares regularmente para corrigir as vulnerabilidades conhecidas. Esqueçam o “Patch Tuesdays” para dispositivos e sistemas médicos! Há testes rigorosos exigidos que são aplicados quando mudanças/modificações são feitas em dispositivos e sistemas médicos.
A FDA desenvolveu uma abordagem de validação avançada com base no risco e emitiu orientações. Com base nas suas definições, a validação requer o estabelecimento usando evidências objetivas, de que um processo produz consistentemente um resultado ou que um produto atenda suas especificações pré-determinadas.
E mais importante, se a correção de software é aplicada no sistema operacional subjacente de um dispositivo ou sistema médico, deve ser refeito um teste para obter “evidência objetiva” de que o dispositivo ou sistema está funcionando adequadamente e vai ao encontro das especificações pré-determinadas.
O custo adicional da aplicação das correções e atualizações e a revalidação do software dos sistemas/dispositivos será repassado pra o proprietário/operador do dispositivo e sistema médico. Na maioria dos casos, isso exigiria um novo acordo de manutenção entre fabricante ou provedor de serviço, bem como o do proprietário/operador do aparelho. Tudo isso sendo adicionado a tempo, o documento deve considerar custo e atraso nas correções às vulnerabilidades descobertas desde que o dispositivo/sistemas foi projetado ou atualizado pela última vez.
Há outra questão que também é problemática. Quando as empresas testam as correções em seus respectivos ambientes, muitas vezes descobrem que a correção causa problemas com o software personalizado e outros aplicativos que usam. Uma vez que esse problema é identificado, deve ser diagnosticado, remediado, testado e então migrado pra dentro do ambiente de produção. Tudo isso leva tempo – e não estamos falando de minutos ou horas, mas dias, semanas, meses, talvez até mesmo anos.
A grande questão é: temos esse tempo? Alguém pode explorar uma vulnerabilidade, em um software comumente usado em dispositivos e sistemas médicos devido aos atrasos inerentes da atualização e revalidação do software? A resposta é sim.
Medidas adicionais devem ser tomadas para garantir a integridade desses sistemas até que a correção seja aplicada com segurança com um alto nível de confiança na operação do sistema ou dispositivo. Era a isso que o DHS se referia quanto ao “programa de segurança robusto”.
Bugs de software e vulnerabilidades de segurança são inevitáveis. Perder patches e atualizações é uma realidade – e uma que tem implicações muito além do setor de saúde. As organizações de vários setores lutam com o gerenciamento de vulnerabilidades e o problema de corrigir dispositivos especializados para encarar o aumento da sofisticação dos ciberataques.
Curiosamente, não consegui achar instruções para a avaliação de riscos de segurança de software da Occupational Safety and Health Administration para sistemas SCADA (supervisory control and data acquisition), mas é provável que logo eles sigam o exemplo.
Da mesma forma, o National Highway Traffic Safety Administration provavelmente terá que pesar as vulnerabilidades de software para transportes de veículos, especialmente após os recentes comentários de Richard Clarke. O ex-coordenador de proteção de infraestrutura de segurança e da luta contra o terrorismo afirmou que pesquisadores da universidade mostraram que “é relativamente fácil invadir o sistema de controle de um carro”.
Há também os céticos que acreditam que isso não é realmente um problemas e que os especialistas em segurança estão prontos para o desafio e para cuidar desses problemas. Eu sugiro a eles a leitura de “The Seven Deadly Myths of Software Security.” (Os sete mitos mortais de segurança de software)
O que muitos também não veem chegando é o aumento legal de riscos que os executivos encaram devido à ameaça de ciberataques. Enquanto pesquisava para a produção desse artigo, conversei com alguns advogados. O que começou como uma conversa sobre a responsabilidade do produto se tornou em uma discussão sobre os riscos de processos civis por negligência. Pode um fabricante, CIO ou CISO ser processado criminalmente por negligência se falharem em aplicar as correções e de forma adequada segurarem e manterem seus sistemas, no caso de um ataque cibernético que explore esses fatores resulte em morte de uma pessoa ou de várias?
Essa é uma pergunta capciosa e um vislumbre do que espera aqueles que não levarem o novo mundo de ameaças cibernéticas a sério
.
.
0 comentários:
Postar um comentário