Trace Id is missing

Saúde nos EUA em risco: fortalecendo a resiliência contra ataques de ransomware

Compartilhar
Grupo de profissionais médicos olhando para um tablet

O setor de saúde está enfrentando uma crescente diversidade de ameaças cibernéticas, sendo os ataques de ransomware uns dos mais sérios. A combinação de dados valiosos de pacientes, dispositivos médicos interconectados e equipes de TI/cibersegurança reduzidas e com recursos limitados faz das organizações de saúde alvos interessantes para atores de ameaças. À medida que as operações de saúde se digitalizam, passando a incluir registros eletrônicos de saúde (EHR), plataformas de telemedicina e dispositivos médicos conectados, a superfície de ataque nos hospitais se torna mais complexa, aumentando assim sua vulnerabilidade.

As seções a seguir oferecem uma visão geral do cenário atual de cibersegurança no setor de saúde, destacando esse setor como alvo principal, o aumento dos ataques de ransomware e as sérias consequências financeiras e de atendimento ao paciente que essas ameaças podem causar.

Um vídeo apresentado por Sherrod DeGrippo, diretora de estratégias de inteligência cibernética da Microsoft, explora esses temas críticos, trazendo insights de especialistas sobre atores de ameaças, estratégias de recuperação e vulnerabilidades no setor de saúde.

O Resumo das Informações sobre ameaças da Microsoft: Serviços de saúde

Sherrod DeGrippo, diretora de estratégias de inteligência cibernética das Informações sobre ameaças da Microsoft, lidera uma animada mesa redonda com especialistas em inteligência cibernética e segurança na saúde. Juntos, eles examinam o que torna o setor de saúde mais suscetível a ataques de ransomware, as táticas empregadas por grupos de ameaças, maneiras de manter a resiliência e muito mais.
  • De acordo com as Informações sobre ameaças da Microsoft, o setor de saúde e saúde pública esteve entre os 10 mais impactados no segundo trimestre de 2024.1
  • Ransomware como Serviço (RaaS) reduziu as barreiras de entrada para invasores sem conhecimento técnico, enquanto a Rússia se tornou um porto seguro para grupos de ransomware. Como resultado, os ataques de ransomware aumentaram 300% desde 2015.2
  • Neste ano fiscal, 389 instituições de saúde nos EUA foram atingidas por ransomware, levando a paralisações de rede, sistemas fora do ar, atrasos em procedimentos médicos críticos e reagendamentos de consultas3. Os ataques são custosos; um relatório do setor aponta que organizações de saúde podem perder até US$ 900.000 por dia apenas devido ao tempo de inatividade.4
  • Entre as 99 organizações de saúde que admitiram pagar o resgate e divulgaram os valores, o pagamento médio foi de US$ 1,5 milhão, com uma média de US$ 4,4 milhões.5

Grave impacto no atendimento ao paciente

A interrupção das operações de saúde causada por um ataque de ransomware pode impactar fortemente a capacidade de tratar pacientes de forma eficaz. Não apenas nos hospitais afetados, mas também nas regiões vizinhas, que acabam absorvendo o aumento no volume de pacientes em seus pronto-socorros.6

Considere as descobertas de um estudo recente que mostrou que um ataque de ransomware contra quatro hospitais (dois afetados e dois não afetados) resultou em um aumento no volume de pacientes nos pronto-socorros, tempos de espera mais longos e maior pressão sobre os recursos, especialmente em cuidados urgentes, como o tratamento de AVC, nos dois hospitais próximos que não foram afetados.7
Aumento nos casos de AVC: o ataque de ransomware colocou uma pressão significativa em todo o ecossistema de saúde, pois os hospitais não afetados precisaram absorver os pacientes dos hospitais comprometidos. As ativações de código de AVC nos hospitais próximos praticamente dobraram, passando de 59 para 103, enquanto os casos confirmados de AVC aumentaram em 113,6%, saltando de 22 para 47 casos.
Aumento nos casos de parada cardíaca: a sobrecarga no sistema de saúde fez com que os casos de parada cardíaca nos hospitais não afetados aumentassem de 21 para 38, representando um crescimento de 81%. Esse cenário reflete o impacto em cadeia de uma unidade comprometida, forçando hospitais próximos a lidar com um maior número de casos críticos.
Redução na sobrevivência com desfechos neurológicos favoráveis: a taxa de sobrevivência em casos de parada cardíaca fora do hospital, com desfechos neurológicos favoráveis, despencou nos hospitais não afetados durante o ataque, caindo de 40% antes do incidente para apenas 4,5% no período do ataque.
Aumento nas chegadas de ambulâncias: houve um crescimento de 35,2% nas chegadas de serviços médicos de emergência (EMS) aos hospitais "não afetados" durante o ataque, indicando um desvio significativo do tráfego de ambulâncias devido à interrupção causada pelo ransomware nos hospitais comprometidos.
Aumento no volume de pacientes: com o ataque comprometendo quatro hospitais da área (dois diretamente atingidos e dois indiretamente afetados), os departamentos de emergência (EDs) dos hospitais não afetados enfrentaram um influxo significativo de pacientes. O censo diário nesses hospitais aumentou em 15,1% durante o ataque, em comparação com o período anterior à fase de ataque.
Disrupções adicionais no atendimento: durante os ataques, os hospitais não afetados apresentaram aumentos notáveis no número de pacientes que saíam sem atendimento, nos tempos de espera nas salas de emergência e na duração total da estadia dos pacientes internados. Por exemplo, o valor mediano do tempo de espera na sala de emergência subiu de 21 minutos antes do ataque para 31 minutos durante o ataque.

Estudos de caso sobre ransomware

Os ataques de ransomware no setor de saúde podem ter consequências devastadoras, não apenas para as organizações diretamente atacadas, mas também para o atendimento ao paciente e a estabilidade operacional dos hospitais vizinhos. Os estudos de caso a seguir ilustram os efeitos de longo alcance do ransomware em diferentes tipos de organizações de saúde, desde grandes sistemas hospitalares até pequenos provedores rurais, e destacam as várias maneiras como os invasores se infiltram nas redes, causando interrupções nos serviços essenciais de saúde.
  • Invasores usaram credenciais comprometidas para acessar a rede por meio de um gateway de acesso remoto vulnerável, que não contava com autenticação multifator. Eles criptografaram infraestruturas críticas e exfiltraram dados confidenciais em um esquema de dupla extorsão, ameaçando divulgar as informações caso o resgate não fosse pago.

    Impacto:     o ataque causou interrupções significativas, impedindo que 80% dos provedores de saúde e farmácias verificassem seguros ou processassem solicitações. 
  • Os invasores exploraram uma vulnerabilidade em um software legado desatualizado do hospital, movendo-se lateralmente para comprometer os sistemas de agendamento de pacientes e registros médicos. Utilizando a tática de dupla extorsão, exfiltraram dados confidenciais e ameaçaram divulgá-los caso o resgate não fosse pago.

    Impacto: o ataque interrompeu as operações, causando cancelamentos de consultas, atrasos em cirurgias e a necessidade de processos manuais, o que sobrecarregou a equipe e atrasou o atendimento aos pacientes. 
  • Os invasores usaram emails de phishing para acessar a rede do hospital e exploraram vulnerabilidades não corrigidas para implantar ransomware, criptografando sistemas de EHR e de atendimento ao paciente. Em uma tática de dupla extorsão, exfiltraram dados confidenciais de pacientes e financeiros, ameaçando vazá-los caso o resgate não fosse pago. 

    Impacto:     o ataque interrompeu as operações de quatro hospitais e mais de 30 clínicas, atrasando tratamentos e encaminhando pacientes de emergência, além de gerar preocupações com a possível exposição de dados. 
  • Em fevereiro de 2021, um ataque de ransomware paralisou os sistemas de um hospital rural de 44 leitos, forçando o uso de operações manuais por três meses e atrasando consideravelmente o processamento de seguros.

    Impacto:     a incapacidade do hospital de coletar pagamentos de forma rápida resultou em dificuldades financeiras, deixando a comunidade rural sem acesso a serviços essenciais de saúde. 

O setor de saúde americano é um alvo atrativo para criminosos cibernéticos motivados financeiramente, devido à sua ampla superfície de ataque, ao uso de sistemas legados e a protocolos de segurança muitas vezes inconsistentes. A dependência de tecnologias digitais, a presença de dados confidenciais e as restrições orçamentárias (em grande parte devido às margens financeiras apertadas) limitam a capacidade de muitas organizações de investir integralmente em segurança cibernética, tornando-as bastante vulneráveis. Além disso, organizações de saúde priorizam o cuidado ao paciente a qualquer custo, o que pode levar ao pagamento de resgates para evitar interrupções graves.

Uma reputação por pagar resgates

Um dos motivos pelo qual o ransomware se tornou um problema tão crítico para o setor de saúde é o histórico de pagamento de resgates. As organizações de saúde colocam o cuidado com o paciente como prioridade máxima e, se for preciso pagar milhões de dólares para evitar interrupções, muitas vezes estão dispostas a fazê-lo.

De fato, um relatório recente, com base em uma pesquisa com 402 organizações de saúde, revelou que 67% delas sofreram um ataque de ransomware no último ano. Dentre essas, 53% admitiram pagar resgates em 2024, em comparação com 42% em 2023. O relatório também destaca o impacto financeiro, com o pagamento médio de resgate atingindo USD 4,4 milhões.12

Recursos e investimentos limitados em segurança

Outro desafio significativo enfrentado pelo setor de saúde é o orçamento limitado e a escassez de recursos dedicados à segurança cibernética. Segundo o recente relatório A segurança cibernética na saúde precisa de um check-up13, da CSC 2.0 (grupo que dá continuidade ao trabalho da Cyberspace Solarium Commission, instituída pelo Congresso), "os orçamentos apertados e a necessidade de priorizar gastos em serviços essenciais para os pacientes resultam em um subfinanciamento da segurança cibernética, deixando as organizações de saúde mais vulneráveis a ataques."

Além disso, mesmo com a gravidade do problema, os provedores de saúde ainda não investem o suficiente em segurança cibernética. Isso ocorre devido a uma série de fatores complexos, incluindo um modelo de pagamento indireto que tende a priorizar necessidades clínicas imediatas em detrimento de investimentos menos visíveis, como a segurança cibernética, levando o setor a subinvestir na área ao longo das últimas duas décadas.10

A lei americana HIPAA (Health Insurance Portability Accountability Act) levou à priorização de investimentos em confidencialidade de dados, mas muitas vezes deixou a integridade e a disponibilidade dos dados em segundo plano. Esse foco pode reduzir a resiliência organizacional, principalmente em relação à diminuição dos RTOs (objetivos de tempo de recuperação) e RPOs (objetivos de ponto de recuperação).

Sistemas legados e vulnerabilidades na infraestrutura

Um dos efeitos do subinvestimento em segurança cibernética é a dependência de sistemas legados, que são desatualizados e difíceis de atualizar, tornando-se alvos principais para exploração. Além disso, o uso de diferentes tecnologias cria uma infraestrutura fragmentada, com brechas de segurança que elevam o risco de ataques.

Essa infraestrutura vulnerável se torna ainda mais complexa com a tendência recente de consolidação no setor de saúde. As fusões hospitalares aumentaram 23% em 2022, e atingiram os níveis mais altos desde 202014, criam organizações com infraestruturas complexas espalhadas por várias localidades. Sem o investimento adequado em segurança cibernética, essas estruturas tornam-se altamente suscetíveis a ataques.

Superfície de ataque em expansão

As redes de cuidados clinicamente integradas, que conectam dispositivos médicos e tecnologias avançadas, têm ajudado a melhorar os resultados dos pacientes e a salvar vidas, mas também ampliam a superfície de ataque digital, algo que os atores de ameaças têm explorado cada vez mais.

Os hospitais estão mais conectados do que nunca, integrando dispositivos médicos críticos, como tomógrafos, sistemas de monitoramento de pacientes e bombas de infusão, às redes hospitalares. No entanto, essa conectividade nem sempre vem acompanhada da visibilidade necessária para identificar e mitigar vulnerabilidades que podem impactar seriamente o atendimento.

Os médicos Christian Dameff e Jeff Tully, co-diretores e cofundadores do Centro de Cibersegurança em Saúde da Universidade da Califórnia em San Diego, observam que, em média, 70% dos pontos de acesso em um hospital não são computadores, mas sim os dispositivos médicos.   
Uma sala hospitalar equipada com dispositivos médicos, uma gaveta branca e uma cortina azul.

As organizações de saúde também transmitem grandes volumes de dados. Segundo os dados do Escritório do Coordenador Nacional de Saúde de TI, mais de 88% dos hospitais relatam o envio e a obtenção eletrônica de informações de saúde dos pacientes, e mais de 60% integram essas informações diretamente nos registros eletrônicos de saúde (EHRs).15

Pequenos provedores rurais enfrentam desafios únicos

Os hospitais rurais de acesso crítico são particularmente vulneráveis a incidentes de ransomware, pois frequentemente têm recursos limitados para prevenir e remediar riscos de segurança. Nesses casos, um ataque pode ser devastador para a comunidade, pois esses hospitais costumam ser a única opção de saúde disponível por muitos quilômetros nas regiões que atendem.

De acordo com Dameff e Tully, os hospitais rurais geralmente carecem da infraestrutura de segurança cibernética e da expertise encontrada em hospitais maiores, localizados em áreas urbanas. Eles observam também que os planos de continuidade de negócios nesses locais tendem a estar desatualizados ou inadequados para lidar com ameaças modernas, como o ransomware.

Muitos hospitais pequenos ou rurais operam com restrições financeiras significativas e margens de lucro muito reduzidas. Essa realidade financeira torna desafiador para eles investirem em medidas robustas de segurança cibernética. Com frequência, a segurança digital nessas instalações dependem de um único profissional generalista de TI, alguém que possui habilidades gerais para resolver problemas técnicos diários, mas sem conhecimento especializado em cibersegurança.

Um relatório da Força-Tarefa de Cibersegurança da Indústria de Saúde do Departamento de Saúde e Serviços Humanos, criado como parte do Ato de Cibersegurança de 2015, destaca que muitos hospitais rurais de acesso crítico não têm uma contratação em tempo integral focada em segurança cibernética, ressaltando os desafios de recursos enfrentados por esses provedores de saúde menores.

"Esses generalistas de TI, muitas vezes, são pessoas com experiência em gerenciamento de rede e computadores, acostumados a resolver problemas como: 'Não consigo imprimir, não consigo entrar, qual é minha senha?'", explica Dameff. "Eles não são especialistas em segurança cibernética. Não têm equipe, orçamento e muitas vezes nem sabem por onde começar".

O processo de ataque de um criminoso cibernético geralmente segue uma abordagem em duas etapas: primeiro, obter acesso inicial à rede, muitas vezes através de phishing ou exploração de vulnerabilidades; depois, implantar ransomware para criptografar sistemas e dados críticos. A evolução dessas táticas, incluindo o uso de ferramentas legítimas e a popularização do RaaS, tornou os ataques mais acessíveis e frequentes.

A etapa inicial de um ataque de ransomware: obtenção de acesso à rede de saúde

Jack Mott, que já liderou uma equipe focada em inteligência contra ameaças e engenharia de detecção de na Microsoft, aponta que "o email continua sendo um dos maiores vetores para o envio de malware e ataques de phishing em campanhas de ransomware"16

Uma análise das Informações sobre ameaças da Microsoft sobre 13 sistemas hospitalares, incluindo hospitais rurais, revelou que 93% da atividade cibernética maliciosa observada estava relacionada a campanhas de phishing e ransomware, com a maioria das ameaças originando-se de emails.17
"O e-mail continua sendo um dos maiores vetores para a entrega de malware e ataques de phishing em campanhas de ransomware."
Jack Mott 
Informações sobre ameaças da Microsoft

Campanhas direcionadas a organizações de saúde frequentemente usam iscas altamente segmentadas. Mott explica que os atores de ameaças elaboram e-mails com jargões do setor de saúde, como referências a laudos de autópsia, para dar credibilidade e enganar profissionais de saúde. 

Essas táticas de engenharia social exploram o senso de urgência, comum em ambientes de alta pressão como o setor de saúde, facilitando possíveis lapsos de segurança. 

Mott também observa que os invasores estão se sofisticando cada vez mais, usando "nomes reais, serviços legítimos e ferramentas comuns de TI, como ferramentas de gerenciamento remoto" para evitar a detecção. Essas táticas complicam a identificação de atividades maliciosas pelos sistemas de segurança. 

Dados das Informações sobre ameaças da Microsoft mostram que os invasores frequentemente exploram vulnerabilidades conhecidas no software ou nos sistemas da organização, identificadas no passado. Essas CVEs (vulnerabilidades e exposições comuns) são bem documentadas e contam com patches disponíveis. No entanto, os invasores visam essas vulnerabilidades antigas, sabendo que muitas organizações ainda não as corrigiram.18

Após o acesso inicial, os invasores costumam realizar o reconhecimento da rede, que pode ser identificado por indicadores como atividades de varredura incomuns. Essas ações permitem que os atores de ameça mapeiem a rede, identifiquem sistemas críticos e se preparem para a próxima fase do ataque: a implantação do ransomware.

A etapa final de um ataque de ransomware: implantação do ransomware para criptografar sistemas críticos

Após o acesso inicial, geralmente obtido por meio de phishing ou malware enviado por email, os atores de ameças vão para a segunda fase: a implantação do ransomware.

Mott explica que o aumento dos modelos de RaaS contribuiu significativamente para o aumento da frequência dos ataques de ransomware no setor de saúde. "As plataformas de RaaS democratizaram o acesso a ferramentas sofisticadas de ransomware, permitindo que até aqueles com habilidades técnicas mínimas lancem ataques altamente eficazes", destaca Mott. Esse modelo reduz a barreira de entrada para os invasores, tornando os ataques de ransomware mais acessíveis e eficientes.
"As plataformas de RaaS democratizaram o acesso a ferramentas sofisticadas de ransomware, permitindo que até aqueles com habilidades técnicas mínimas lancem ataques altamente eficazes". 
Jack Mott 
Informações sobre ameaças da Microsoft

Mott explica ainda como o RaaS opera, afirmando: "Essas plataformas frequentemente incluem um pacote completo de ferramentas, como software de criptografia, processamento de pagamentos e até mesmo um serviço de atendimento ao cliente para negociar os pagamentos de resgate. Essa abordagem turnkey permite que uma gama mais ampla de atores de ameaça execute campanhas de ransomware, levando ao aumento no número e na gravidade dos ataques."

Mott também destacada a natureza coordenada desses ataques, enfatizando que: "Uma vez que o ransomware é implantado, os invasores geralmente agem rapidamente para criptografar sistemas e dados críticos, muitas vezes em questão de horas. Eles visam infraestruturas essenciais, como registros de pacientes, sistemas de diagnóstico e operações de faturamento, para maximizar o impacto e a pressão sobre as organizações de saúde a pagar o resgate."

Ataques de ransomware nas saúde: um perfil dos principais grupos de atores de ameaças

Os ataques de ransomware no setor de saúde são frequentemente conduzidor por grupos de atores de ameaças altamente organizados e especializados. Esses grupos, que incluem criminosos cibernéticos financeiramente motivados e atores estatais sofisticados, empregam ferramentas e estratégias avançadas para se infiltrar nas redes, criptografar dados e exigir resgates das organizações.

Entre esses atores de ameaças, há indícios de que hackers patrocinados por governos autoritários têm usado ransomware e até mesmo colaborado com grupos de ransomware para fins de espionagem. Por exemplo, suspeita-se que atores de ameaças do governo chinês estejam utilizando ransomware cada vez mais como uma fachada para atividades de espionagem.19

Em 2024, os atores de ameaças iranianos têm sido os mais ativos nas atividades direcionadas a organizações de saúde.20 Em agosto de 2024, o governo dos EUA emitiu um alerta para o setor de saúde sobre um ator de ameaças baseado no Irã, conhecido como Lemon Sandstorm. Esse grupo estaria "explorando acessos não autorizados à rede de organizações dos EUA, incluindo o setor de saúde, para facilitar, executar e lucrar com futuros ataques de ransomware, aparentemente em colaboração com gangues de ransomware associadas à Rússia."21

Os perfis a seguir fornecem insights sobre alguns dos grupos de ransomware mais notórios financeiramente motivados que têm como alvo o setor de saúde, detalhando seus métodos, motivações e o impacto de suas atividades no setor.
  • Lace Tempest é um grupo de ransomware prolífico que destina seus ataques ao setor de saúde. Usando um modelo de RaaS, eles possibilitam que afiliados implantem ransomware com facilidade. Associado a ataques de alto impacto em sistemas hospitalares, o grupo criptografa dados críticos de pacientes e exige pagamento de resgate. Conhecido por usar dupla extorsão, o Lace Tempest não apenas criptografa os dados, mas também exfiltra informações confidenciais, ameaçando vazar esses dados caso o resgate não seja pago.
  • Sangria Tempest é notório por ataques de ransomware avançados contra organizações de saúde. Utilizando uma criptografia sofisticada, eles dificultam ao máximo a recuperação de dados, deixando-os praticamente impossível de recuperar sem o pagamento do resgate. Assim como o Lace Tempest, este grupo também adota a dupla extorsão, exfiltrando dados de pacientes e ameaçando vazá-los publicamente. Seus ataques causam grandes interrupções operacionais, obrigando sistemas de saúde a desviar recursos, o que impacta negativamente o atendimento aos pacientes.
  • Cadenza Tempest, inicialmente conhecido por ataques distribuídos de negação de serviço (DDoS), agora tem focado cada vez mais em operações de ransomware contra o setor de saúde. Identificado como um grupo hacktivista pró-Rússia, eles atacam sistemas de saúde em regiões hostis aos interesses russos. Seus ataques sobrecarregam os sistemas hospitalares, interrompendo operações críticas e criando caos, principalmente quando combinados com campanhas de ransomware.
  • Ativo desde julho de 2022 e motivado financeiramente, o grupo Vanilla Tempest recentemente começou a usar o ransomware INC, adquirido através de provedores de RaaS para atacar o setor de saúde dos EUA. Explorando vulnerabilidades, o grupo utiliza scripts personalizados e ferramentas padrão do Windows para roubar credenciais, mover-se lateralmente e implantar ransomware. Como outros grupos, eles recorrem à dupla extorsão, exigindo resgate para liberar os sistemas e evitar o vazamento dos dados roubados.

Diante do aumento na sofisticação dos ataques de ransomware, as organizações de saúde precisam adotar uma abordagem multifacetada para a segurança cibernética. Precisam estar preparadas para suportar, responder e se recuperar de incidentes cibernéticos, garantindo a continuidade do atendimento aos pacientes.

As orientações a seguir oferecem um quadro abrangente para aprimorar a resiliência, assegurar uma recuperação rápida, promover uma cultura de segurança na força de trabalho e fomentar a colaboração em todo o setor de saúde.

Governança: garantindo preparação e resiliência

Um prédio com muitas janelas sob um céu azul com nuvens

Uma governança efetiva em segurança cibernética no setor de saúde é essencial para se preparar e responder a ataques de ransomware. Dameff e Tully, do Centro de Cibersegurança em Saúde da Universidade de Califórnia em San Diego, recomendam o estabelecimento de um framework robusto de governança com papéis bem definidos, treinamentos regulares e colaboração interdisciplinar. Isso ajuda as organizações de saúde a aprimorar sua resiliência contra ataques de ransomware e a assegurar a continuidade do atendimento, mesmo enfrentando grandes interrupções.

Um aspecto fundamental desse framework envolve a eliminação de barreiras entre as equipes clínicas, de segurança de TI e de gerenciamento de emergências para desenvolver planos de resposta a incidentes integrados. A colaboração interdepartamental é crucial para proteger a segurança dos pacientes e manter a qualidade do atendimento quando os sistemas tecnológicos são comprometidos.

Dameff e Tully destacam também a importância da criação de um órgão ou conselho de governança dedicado, que se reúna regularmente para revisar e atualizar os planos de resposta a incidentes. Eles recomendam que esses conselhos realizem simulações e treinamentos realistas para testar os planos de resposta, assegurando que toda a equipe, incluindo os profissionais de saúde mais jovens, que podem não estar familiarizados com registros em papel, esteja preparada para operar sem ferramentas digitais.

Além disso, Dameff e Tully comentam sobre a importância da colaboração externa. Eles defendem frameworks regionais e nacionais que permitam que  hospitais se ajudem durante incidentes em grande escala, destacando a necessidade de um "estoque estratégico nacional", que forneça sistemas temporários em caso de comprometimento.

Resiliência e respostas estratégicas

A resiliência em cibersegurança no setor de saúde vai além da simples proteção de dados, abrangendo a capacidade de todo o sistema resistir e se recuperar de ataques. Uma abordagem abrangente de resiliência é essencial, fortalecendo não só a proteção dos dados dos pacientes, mas também a infraestrutura que sustenta as operações de saúde. Isso incluir o sistema como um todo, incluindo a rede, a cadeia de suprimentos, dispositivos médicos e mais.

Adotar uma estratégia de defesa aprofundada é essencial para criar uma postura de segurança em camadas que possa combater efetivamente os ataques de ransomware.

Adotar uma estratégia de defesa aprofundada é essencial para criar uma postura de segurança em camadas que possa combater efetivamente os ataques de ransomware. Essa estratégia envolve proteger cada camada da infraestrutura de saúde, desde a rede e os pontos de extremidade até a nuvem. Com várias camadas de defesa, as organizações de saúde podem reduzir o risco de um ataque de ransomware bem-sucedido.

Para clientes Microsoft, as equipes de Informações sobre ameaças da Microsoft monitoram continuamente o comportamento de adversários. Quando atividades suspeitas são detectadas, notificações diretas são enviadas.

Esse não é um serviço pago ou baseado em níveis, pois empresas de todos os tamanhos recebem a mesma atenção. O objetivo é fornecer alertas rapidamente quando potenciais ameaças, incluindo ransomware, forem detectadas, ajudando a tomar medidas para proteger a organização.

Além de implementar essas camadas de defesa, é importante ter um plano de resposta a incidentes e detecção eficaz. Ter um plano não basta; as organizações de saúde precisam estar preparadas para executá-lo de forma eficiente durante um ataque real, minimizando danos e garantindo uma rápida recuperação.

Finalmente, capacidades de monitoramento contínuo e detecção em tempo real são componentes essenciais de para um framework robusto de resposta a incidentes, garantindo que ameaças potenciais possam ser identificadas e abordadas prontamente.

Para mais informações sobre resiliência cibernética na saúde, o HHS (Departamento de Saúde e Serviços Humanos) publicou voluntariamente os CPGs (objetivos de desempenho em segurança cibernética), específicos para o setor de saúde, para ajudar as organizações a priorizarem a implementação de práticas de segurança cibernética de alto impacto.

Criados por meio de uma parceria público-privada, utilizando frameworks comuns de segurança cibernética do setor, diretrizes e melhores práticas, os CPGs oferecem um conjunto de práticas que as organizações de saúde podem adotar para fortalecer a preparação cibernética, melhorar a resiliência cibernética e proteger as informações e a segurança dos pacientes.

Etapas para restaurar rapidamente as operações e fortalecer a segurança após um ataque

Recuperar-se de um ataque de ransomware requer uma abordagem sistemática para garantir um retorno rápido às operações normais e, ao mesmo tempo, prevenir incidentes futuros. Abaixo estão etapas práticas para avaliar os danos, restaurar sistemas afetados e reforçar as medidas de segurança. Seguindo essas diretrizes, as organizações de saúde podem mitigar o impacto de um ataque e fortalecer suas defesas contra ameaças futuras.
Avaliar o impacto e conter o ataque

Isole imediatamente os sistemas afetados para evitar que o ataque se espalhe.
Restaurar a partir de backups confiáveis

Verifique se há backups limpos e verificados antes de restaurar as operações. Mantenha backups offline para evitar que também sejam criptografados pelo ransomware.
Desenvolver novamente os sistemas

Em vez de apenas aplicar patch nos sistemas comprometidos, considere desenvolvê-los novamente para eliminar qualquer malware residual. Utilize a orientação da equipe de Resposta a Incidentes da Microsoft para garantir um desenvolvimento seguro. 
Reforçar os controles de segurança pós-ataque

Fortaleça a postura de segurança ao abordar vulnerabilidades após o ataque, aplicando patches nos sistemas e aprimorando as ferramentas de detecção de ponto de extremidade.
Conduzir uma análise pós-incidente

Colabore com um fornecedor de segurança externo para analisar o ataque, identificar pontos fracos e melhorar as defesas contra incidentes futuros.

Construindo uma equipe com foco em segurança

Um homem e uma mulher olhando para o rosto de uma mulher.

Criar uma equipe focada em segurança requer colaboração contínua entre diferentes áreas.

Criar uma equipe focada em segurança requer colaboração contínua entre diferentes áreas. É essencial eliminar barreiras entre as equipes de segurança de TI, gerentes de emergência e a equipe clínica para desenvolver planos de resposta a incidentes coerentes. Sem essa colaboração, o restante do hospital pode não estar adequadamente preparado para responder de forma eficaz durante um incidente cibernético.

Educação e conscientização

Treinamento eficaz e uma cultura forte de comunicação de problemas são componentes essenciais da defesa de uma organização de saúde contra ransomware. Como os profissionais de saúde costumam priorizar o cuidado com o paciente, nem sempre estão atentos à segurança cibernética, tornando-se mais vulneráveis a ameaças.

Para mitigar esse risco, o treinamento contínuo deve incluir noções básicas de segurança cibernética, como identificar emails de phishing, evitar clicar em links suspeitos e reconhecer táticas comuns de engenharia social.

Os recursos da Conscientização sobre segurança cibernética da Microsoft podem auxiliar nesse processo.

"Incentivar a equipe a relatar problemas de segurança sem medo de punições é fundamental", explica Mott. "Quanto antes puder relatar algo, melhor. Se for algo benigno, esse é o melhor cenário."

Simulações e treinamentos regulares também devem imitar ataques reais, como phishing ou ransomware, permitindo que a equipe pratique sua resposta em um ambiente controlado.

Compartilhamento de informações, colaboração e defesa coletiva

Com o aumento geral na frequência de ataques de ransomware (a Microsoft observou um crescimento de 2,75 vezes ano a ano entre nossos clientes16), uma estratégia de defesa coletiva torna-se essencial. A colaboração entre equipes internas, parceiros regionais e redes nacionais/globais é fundamental para proteger as operações de saúde e garantir a segurança dos pacientes.

Unir diferentes grupos para criar e implementar planos abrangentes de resposta a incidentes pode evitar o caos operacional durante os ataques.

Dameff e Tully enfatizam a importância de integrar equipes internas, como médicos, gerentes de emergência e pessoal de segurança de TI, que frequentemente trabalham de forma isolada. Unir diferentes grupos para criar e implementar planos abrangentes de resposta a incidentes pode evitar o caos operacional durante os ataques.

Em nível regional, as organizações de saúde devem estabelecer parcerias que permitam compartilhar capacidade e recursos entre as instalações, garantindo a continuidade do atendimento ao paciente, mesmo quando alguns hospitais são afetados por ransomware. Esse modelo de defesa coletiva facilita a gestão do fluxo de pacientes e a distribuir a carga de trabalho entre os provedores de saúde.

Além da colaboração regional, as redes de compartilhamento de informações nacionais e globais desempenham um papel crucial. ISACs (centros de compartilhamento e análise de informações), como o Health-ISAC, funcionam como plataformas para que as organizações de saúde troquem inteligência vital sobre ameaças. Errol Weiss, diretor de segurança do Health-ISAC, compara essas organizações a "programas de vigilância comunitária virtual", onde membros podem compartilhar rapidamente detalhes sobre ataques e técnicas comprovadas de mitigação. Esse compartilhamento de inteligência ajuda outras organizações a se prepararem ou eliminarem ameaças semelhantes, fortalecendo a defesa coletiva em uma escala mais ampla.

  1. [1]
    Dados internos de inteligência contra ameaças cibernéticas da Microsoft, T2, 2024
  2. [2]
    (Resumo Executivo para CISOs: Panorama atual e emergente de ameaças cibernéticas no setor de saúde; Health-ISAC e AHA (Associação Americana de Hospitais))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "TRANSCRIÇÃO: Audiência do comitê da câmara para avaliar as deficiências em segurança cibernética da Microsoft", Tech Policy Press, 15 de junho de 2024
  4. [4]
    "Em média, as organizações de saúde perdem US$ 900.000 por dia com o tempo de inatividade causado por ataques de ransomware", Comparitech, 6 de março de 2024
  5. [5]
    "Ataques de Ransomware no Setor de Saúde Continuam Aumentando em Número e Gravidade", The HIPAA Journal, setembro de 2024
  6. [6]
    Hackeado por completo? Os efeitos dos ataques de ransomware em hospitais e pacientes; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ataque de ransomware associado a interrupções em pronto-socorros adjacentes nos EUA; Ataque de ransomware associado a interrupções em pronto-socorros adjacentes nos EUA | Medicina de emergência | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Ataque de ransomware à Ascension afeta a recuperação financeira", The HIPAA Journal, 20 de setembro de 2024
  10. [10]
    "Dados de pacientes expostos em ataque de phishing na UC San Diego Health", The HIPAA Journal, 13 de março de 2024
  11. [11]
    "Ataque de ransomware como fator-chave na decisão de fechar hospital rural em Illinois", The HIPAA Journal, 14 de junho de 2023
  12. [12]
    "Ataques de Ransomware no Setor de Saúde Continuam Aumentando em Número e Gravidade", The HIPAA Journal, setembro de 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Houve mais fusões hospitalares em 2023, e a dificuldade financeira está impulsionando mais negócios (chiefhealthcareexecutive.com.)
  15. [15]
    Interoperabilidade e métodos de troca entre hospitais em 2021 | HealthIT.gov
  16. [16]
    Relatório de Defesa Digital da Microsoft de 2024, Microsoft, página 27
  17. [17]
    Telemetria das Informações sobre ameaças da Microsoft, 2024
  18. [18]
    "Catálogo de vulnerabilidades e explorações conhecidas," CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Dados das Informações sobre ameaças da Microsoft sobre ameaças cibernéticas no setor de saúde, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Crime cibernético

Mais da Segurança

Guia de higiene de resiliência cibernética

Praticar uma higiene cibernética básica continua sendo a melhor maneira de defender as identidades, os dispositivos, os dados, os aplicativos, a infraestrutura e as redes de uma organização contra 98% de todas as ameaças cibernéticas. Descubra dicas práticas em um guia abrangente.
Saiba mais

Por dentro da luta contra os hackers que perturbaram hospitais e colocaram vidas em risco

Saiba mais sobre as últimas ameaças emergentes com base nos dados e pesquisas da Microsoft. Confira análises sobre tendências e orientações práticas para fortalecer sua primeira linha de defesa.
Saiba mais

Alimentando-se da economia da confiança: fraude de engenharia social

Explore um cenário digital em evolução em que a confiança é tanto uma moeda quanto uma vulnerabilidade. Descubra as táticas de fraude de engenharia social mais usadas pelos atacantes cibernéticos e analise as estratégias que podem ajudá-lo a identificar e superar as ameaças de engenharia social criadas para manipular a natureza humana.
Saiba mais

Siga a Segurança da Microsoft