Uma funcionária do University of Vermont Medical Center abriu acidentalmente um arquivo enviado por e-mail da associação de proprietários de sua casa, que havia sido hackeado, em outubro de 2020.
Esse único erro acabou levando a University of Vermont Health Network, que inclui o maior hospital do estado em Burlington, a cancelar cirurgias, adiar consultas de mamografia e atrasar alguns tratamentos de pacientes com câncer.
O ataque de ransomware que se seguiu forçou as autoridades a desligar todas as conexões de internet, incluindo o acesso aos registros eletrônicos de saúde dos pacientes, para evitar que os cibercriminosos causassem mais danos.
“Estava tudo em baixo. Então nossos telefones estavam desligados. Não tínhamos mais aparelhos de fax. … Você não poderia usar o e-mail para se comunicar”, disse o Dr. Stephen Leffler, presidente e diretor de operações do sistema, sobre o ataque em um recente podcast da American Hospital Association. “Naquela primeira noite, na verdade, enviamos pessoas à Best Buy para comprar walkie-talkies.”
Nos últimos anos, um número crescente de hospitais e organizações de saúde nos EUA enfrentou ataques cibernéticos, interrompendo o atendimento e colocando os pacientes em risco. Isso inclui algumas instalações de saúde pública administradas por governos estaduais ou locais.
“Os hospitais foram duramente atingidos por ataques de ransomware de alto impacto durante a pandemia”, disse John Riggi, consultor nacional de cibersegurança e risco da American Hospital Association.
Riggi observou que, durante a pandemia, os hospitais tiveram que expandir rapidamente a rede e a tecnologia conectada à Internet e implantar sistemas remotos para dar suporte aos funcionários que mudaram para o teletrabalho.
“Os bandidos se aproveitaram disso e tiveram mais oportunidades de entrar em nossas redes”, disse ele.
Os ataques de ransomware forçaram alguns hospitais a interromper a quimioterapia, atrasar a divulgação de resultados de laboratório e adiar consultas para pacientes de maternidade.
Alguns tiveram que desviar ambulâncias porque suas salas de emergência não podiam aceitar novos pacientes.
“Vimos isso em vários ataques de ransomware, especialmente em pequenos hospitais”, disse Riggi. “O próximo departamento de emergência pode estar a 125 milhas de distância.”
No mês passado, o Departamento de Saúde e Serviços Humanos dos EUA emitiu um alerta sobre uma gangue agressiva de ransomware que ataca organizações de saúde. Entre suas vítimas: uma rede de hospitais e clínicas em Ohio e West Virginia que teve que cancelar cirurgias e desviar pacientes com emergências para outras instalações.
E com o aumento da ameaça de ciberataques russos nos EUA após a invasão da Ucrânia, os sistemas de saúde estão ainda mais vulneráveis porque são considerados infraestrutura crítica, dizem os especialistas.
“Não temos conhecimento de nenhuma ameaça direta crível específica aos hospitais e sistemas de saúde dos EUA”, disse Riggi. “Mas estamos preocupados que eles possam se tornar danos colaterais em ataques lançados pela Rússia. Ou que gangues de língua russa lançarão ataques de retaliação contra o Ocidente.”
Em fevereiro, a Agência de Segurança Cibernética e de Infraestrutura dos EUA emitiu um alerta “Shields Up” sobre a crescente ameaça cibernética russa às organizações.
O ransomware sequestra os sistemas de computador e os mantém como reféns até que as vítimas paguem um resgate ou restaurem o sistema por conta própria. Ele normalmente se espalha por meio de phishing, no qual hackers enviam links ou anexos maliciosos por e-mail e as pessoas clicam neles involuntariamente, liberando malware.
Em 2020 e 2021, houve pelo menos 168 ataques de ransomware afetando 1.763 clínicas, hospitais e organizações de saúde nos EUA, de acordo com Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft.
Uma pesquisa de novembro com 132 executivos da área de saúde, a maioria dos Estados Unidos, descobriu que o ransomware era a ameaça nº 1 à segurança cibernética, mais do que violações de dados ou ameaças internas, de acordo com o Health Information Sharing and Analysis Center, uma organização global sem fins lucrativos grupo de compartilhamento de ameaças cibernéticas para o setor de saúde.
“A mudança de registros de saúde em papel para registros de saúde eletrônicos tornou as informações de saúde do paciente mais acessíveis, no entanto, esses registros são mais vulneráveis a ataques e são extremamente lucrativos”, observou o relatório. Ele disse que os hackers podem exigir US$ 50 por um registro de saúde parcial, contra US$ 1 por um número de seguro social ou cartão de crédito roubado.
Historicamente, o setor de saúde vem se atualizando quando se trata de segurança cibernética, de acordo com Errol Weiss, diretor de segurança do grupo de compartilhamento de informações de saúde.
“O foco era estar em conformidade com [os requisitos federais relacionados à] privacidade dos dados do paciente, não à segurança cibernética”, disse Weiss. “Infelizmente, muitas organizações de saúde não são tão boas quanto deveriam e foram presas fáceis.”
A pandemia piorou as coisas, pois os hospitais estavam acima da capacidade e ocupados lidando com pacientes com COVID-19 gravemente enfermos.
“Tem sido a tempestade perfeita, entre o ransomware, todo o excesso de capacidade, as pessoas sobrecarregadas e a vulnerabilidade dos sistemas”, disse Weiss.
Alguns cibercriminosos visam deliberadamente organizações de saúde; outros ataques são campanhas massivas de phishing que prendem um funcionário ou contratado e introduzem malware na rede, como o ataque ao Centro Médico da Universidade de Vermont.
Os invasores acabaram criptografando os 1.300 servidores do hospital e depositando malware em 5.000 dispositivos, disse o Dr. Doug Gentile, vice-presidente sênior de tecnologia da informação da University of Vermont Health Network.
A rede eletrônica de saúde estava em uma parte separada da rede, mas a equipe a derrubou proativamente no hospital principal e nos ambulatórios de três outros hospitais para evitar que fossem atacados, de acordo com Gentile.
As autoridades nunca contataram os cibercriminosos ou pagaram qualquer resgate, disse ele, e nenhum dado do paciente foi comprometido.
Embora o hospital tivesse um bom sistema de backup de computador, ainda levou 28 dias para reconstruir a infraestrutura e obter os registros eletrônicos de saúde, disse Gentile. Demorou vários meses para restaurar todo o sistema.
Durante quase um mês, médicos e enfermeiros tiveram de fazer tudo no papel.
“Tínhamos acabado de passar uma década tirando o papel de nosso sistema”, disse Gentile. “De repente, tínhamos papel por toda parte. Tivemos que conseguir armários de arquivo.
Para os médicos mais jovens, foi uma experiência de aprendizado.
“A maioria deles nunca havia escrito ordens no papel antes”, disse ele. “Tivemos pessoas circulando pelos andares ajudando essas pessoas a escrever pedidos no papel, porque os médicos mais novos não sabiam como fazer isso.”
Outro problema: os funcionários não conseguiam acessar os horários das clínicas para os pacientes, então, por vários dias, eles não sabiam quem estava programado para vir ou quando.
O ciberataque custou ao sistema hospitalar de Vermont cerca de US$ 54 milhões, incluindo a reconstrução da rede de computadores e perda de receita, disseram autoridades.
Desde o ataque, eles reforçaram a proteção avançada de firewall e software antivírus e bloquearam o acesso a e-mail pessoal em computadores de trabalho, disse Gentile. Eles também enviam regularmente e-mails de phishing para os funcionários como um teste.
“Esta é uma guerra armamentista em curso. Os grupos que fazem esses ataques são muito sofisticados, muito corporativos”, disse ele. “Estamos sempre em alerta máximo, tentando construir nossas defesas contra outro ataque.”
Este artigo foi publicado pela primeira vez no Stateline, uma iniciativa do Pew Charitable Trusts.