Trace Id is missing

Cuidados de Saúde dos E.U.A. em risco: Fortalecer a resiliência contra ataques de ransomware

Partilhar
Um grupo de profissionais de saúde a olhar para um tablet

O setor dos cuidados de saúde enfrenta uma variedade cada vez maior de ameaças à cibersegurança, com os ataques de ransomware a surgirem como uma das mais significativas. A combinação de dados valiosos de pacientes, dispositivos médicos interligados e uma equipa pequena de operações de TI/cibersegurança, que dispersa e dilui os recursos, pode tornar as organizações de cuidados de saúde alvos ideias dos atores de ameaças. À medida que as operações de cuidados de saúde se tornam cada vez mais digitalizadas, desde registos eletrónicos de saúde (EHR) a plataformas de telemedicina e dispositivos médicos em rede, a superfície de ataque dos hospitais torna-se mais complexa, aumentando ainda mais a sua vulnerabilidade a ataques.

As secções seguintes apresentam uma descrição geral do atual panorama da cibersegurança nos cuidados de saúde, destacando o estatuto do setor como um alvo principal, a frequência crescente dos ataques de ransomware e as graves consequências financeiras e para os cuidados dos pacientes que estas ameaças estão a impor.

Um debate em vídeo conduzido por Sherrod DeGrippo, Diretora de Estratégia de Informações sobre Ameaças da Microsoft, explora mais aprofundadamente estas questões críticas, oferecendo informações de especialistas sobre atores de ameaças, estratégias de recuperação e vulnerabilidades dos cuidados de saúde.

Briefing das Informações sobre Ameaças da Microsoft: Cuidados de Saúde

Sherrod DeGrippo, Diretora de Estratégia de Informações sobre Ameaças para as Informações sobre Ameaças da Microsoft, conduz uma animada mesa redonda com especialistas em informações sobre ameaças e segurança dos cuidados de saúde, que analisam o que torna os cuidados de saúde excecionalmente suscetíveis a ataques de ransomware, quais as táticas que os grupos de atores de ameaças estão a utilizar, como manter a resiliência e muito mais.
  • De acordo com as Informações sobre Ameaças da Microsoft, o setor dos cuidados de saúde/saúde pública foi um dos 10 setores mais afetados no segundo trimestre de 2024.1
  • O ransomware como serviço (RaaS) reduziu as barreiras de entrada para os atacantes sem conhecimentos técnicos, enquanto a Rússia proporciona um porto seguro para os grupos de ransomware. Como resultado, os ataques de ransomware aumentaram 300% desde 2015.2
  • Este ano fiscal, 389 instituições de cuidados de saúde dos E.U.A. foram afetadas por ransomware, causando encerramentos de redes, sistemas offline, atrasos em procedimentos médicos críticos e consultas reagendadas.3. Os ataques são dispendiosos, com um relatório da indústria a mostrar que as organizações de cuidados de saúde perdem até 900 000 USD por dia só em tempo de inatividade.4
  • Das 99 organizações de cuidados de saúde que admitiram ter pago o resgate e divulgaram o valor do resgate pago, o pagamento mediano foi de 1,5 milhões USD e o pagamento médio foi de 4,4 milhões USD.5

Grave impacto nos cuidados prestados aos pacientes

A disrupção das operações de cuidados de saúde causada por um ataque de ransomware pode afetar gravemente a capacidade de tratar eficazmente os pacientes, não só nos hospitais afetados, mas também nos hospitais das zonas próximas, que absorvem o volume de pacientes deslocados dos serviços de urgência.6

Considere-se as conclusões de um estudo recente que mostra como um ataque de ransomware contra quatro hospitais (dois atacados e dois não afetados) levou a um aumento do volume de pacientes nos serviços de urgência, a tempos de espera mais longos e a uma pressão adicional sobre os recursos, em especial nos cuidados urgentes, como o tratamento de acidentes vasculares cerebrais, em dois hospitais vizinhos não afetados.7
Aumento dos casos de acidentes vasculares cerebrais: O ataque de ransomware colocou uma pressão significativa no ecossistema global de cuidados de saúde, uma vez que os hospitais não afetados tiveram de absorver os pacientes dos hospitais afetados. As ativações do código de acidente vascular cerebral nos hospitais próximos quase duplicaram, passando de 59 para 103, enquanto os acidentes vasculares cerebrais confirmados aumentaram 113,6%, passando de 22 para 47 casos.
Aumento das paragens cardíacas: O ataque colocou o sistema de cuidados de saúde sob pressão, uma vez que os casos de paragem cardíaca no hospital não afetado aumentaram de 21 para 38, o que representa um aumento de 81%. Isto reflete o impacto em cadeia do comprometimento de uma instalação, obrigando os hospitais próximos a tratar casos mais críticos.
Diminuição da sobrevivência com resultados neurológicos favoráveis: A taxa de sobrevivência para paragens cardíacas ocorridas fora de ambientes hospitalares com resultados neurológicos favoráveis caiu drasticamente nos hospitais não afetados durante o ataque, passando de 40% antes do ataque para 4,5% durante a fase de ataque.
Aumento da chegada de ambulâncias: Verificou-se um aumento de 35,2% nas chegadas de serviços de emergência médica (EMS) a hospitais "não afetados" durante a fase de ataque, o que sugere um desvio significativo do tráfego de ambulâncias devido à disrupção induzida pelo ransomware nos hospitais afetados.
Aumento do volume de pacientes: Dado que o ataque comprometeu quatro hospitais da zona (dois atacados e dois não afetados), os departamentos de urgências (ED) dos hospitais não afetados registaram um afluxo significativo de pacientes. A contagem diária nestes hospitais não afetados aumentou 15,1% durante a fase de ataque, em comparação com a fase pré-ataque.
Disrupções adicionais nos cuidados: Durante os ataques, os hospitais não afetados registaram aumentos notáveis de pacientes que saíram sem serem atendidos, nos tempos na sala de espera e na duração do internamento total dos pacientes internados. Por exemplo, o tempo mediano na sala de espera aumentou de 21 minutos antes do ataque para 31 minutos durante o ataque.

Casos práticos de ransomware

Os ataques de ransomware nos cuidados de saúde podem ter consequências devastadoras, não só para as organizações visadas, mas também para os cuidados prestados aos pacientes e a estabilidade operacional. Os seguintes casos práticos ilustram os efeitos de grande alcance do ransomware em diferentes tipos de organizações de cuidados de saúde, desde grandes sistemas hospitalares a pequenos prestadores rurais, destacando as várias formas como os atacantes se infiltram nas redes e as consequentes disrupções nos serviços essenciais de cuidados de saúde.
  • Os atacantes utilizaram credenciais comprometidas para aceder à rede através de um gateway de acesso remoto vulnerável sem autenticação multifator. Encriptaram infraestrutura críticas e transferiram dados confidenciais de forma não autorizada, num duplo esquema de extorsão, ameaçando divulgá-los a menos que fosse pago um resgate.

    Impacto:     O ataque causou disrupções, impedindo 80% dos prestadores de cuidados de saúde e farmácias de verificar os seguros ou processar os pedidos. 
  • Os atacantes exploraram uma vulnerabilidade no software legado não atualizado do hospital, movendo-se lateralmente para comprometer o agendamento de pacientes e os registos médicos. Utilizando uma tática de dupla extorsão, transferiram dados confidenciais de forma não autorizada e ameaçaram divulgá-los a menos que fosse pago um resgate.

    Impacto: O ataque perturbou as operações, provocando o cancelamento de consultas, o atraso de cirurgias e uma mudança para processos manuais, sobrecarregando o pessoal e atrasando os cuidados de saúde. 
  • Os atacantes utilizaram e-mails de phishing para aceder à rede do hospital e exploraram vulnerabilidades não atualizadas para implementar ransomware, encriptando o EHR e os sistemas de cuidados dos pacientes. Utilizando uma tática de dupla extorsão, transferiram dados confidenciais financeiros e de pacientes de forma não autorizada e ameaçaram divulgá-los a menos que fosse pago um resgate. 

    Impacto:     O ataque afetou quatro hospitais e mais de 30 clínicas, atrasando os tratamentos e desviando os pacientes urgentes, o que levantou preocupações em termos de exposição de dados. 
  • Em fevereiro de 2021, um ataque de ransomware paralisou os sistemas informáticos de um hospital rural com 44 camas, obrigando a que fossem realizadas operações manuais durante três meses e atrasando gravemente os pedidos de seguros.

    Impacto:     A incapacidade do hospital para cobrar pagamentos atempados levou a dificuldades financeiras, deixando a comunidade rural local sem serviços de saúde crítico. 

O sector dos cuidados de saúde americano constitui um alvo atrativo para os cibercriminosos com motivações financeiras, devido à sua ampla superfície de ataque, sistemas legados e protocolos de segurança inconsistentes. A combinação da dependência dos cuidados de saúde em relação às tecnologias digitais, os respetivos dados confidenciais e as restrições de recursos que muitas organizações enfrentam, muitas vezes devido a margens muito reduzidas, podem limitar a sua capacidade de investir totalmente na cibersegurança, tornando-as especialmente vulneráveis. Além disso, as organizações de cuidados de saúde dão prioridade aos cuidados dos pacientes a todo o custo, o que pode levar a uma disponibilidade para pagar resgates de modo a evitar disrupções.

Uma reputação de pagamento de resgates

Parte da razão pela qual o ransomware se tornou um problema tão pronunciado para os cuidados de saúde é o historial do setor em termos de realização de pagamentos de resgates. As organizações de cuidados de saúde dão prioridade aos cuidados dos pacientes acima de tudo e, se tiverem de pagar milhões de dólares para evitar disrupções, estão muitas vezes dispostas a fazê-lo.

De facto, de acordo com um relatório recente baseado num inquérito a 402 organizações de cuidados de saúde, 67% sofreram um ataque de ransomware no ano passado. Entre estas organizações, 53% admitiram ter pago resgates em 2024, contra 42% em 2023. O relatório também destaca o impacto financeiro, com o pagamento médio de resgate admitido a ascender a 4,4 milhões USD.12

Recursos e investimentos limitados em matéria de segurança

Outro desafio significativo são os orçamentos e recursos limitados destinados à cibersegurança no setor da saúde. De acordo com o relatório Healthcare Cybersecurity Needs a Check-Up (A Cibersegurança nos Cuidados de Saúde Precisa de um Exame Geral) recente13, elaborado pelo CSC 2.0 (um grupo que dá continuidade ao trabalho da Cyberspace Solarium Commission, mandatada pelo Congresso), "uma vez que os orçamentos são apertados e os prestadores de cuidados de saúde têm de dar prioridade às despesas com os serviços essenciais aos pacientes, a cibersegurança tem sido frequentemente subfinanciada, deixando as organizações de cuidados de saúde mais vulneráveis a ataques."

Além disso, apesar da severidade do problema, os prestadores de cuidados de saúde não estão a investir o suficiente em cibersegurança. Devido a uma série de fatores complexos, incluindo um modelo de pagamento indireto que leva muitas vezes a dar prioridade às necessidades clínicas imediatas em detrimento de investimentos menos visíveis como a cibersegurança, os cuidados de saúde sub-investiram significativamente na cibersegurança nas últimas duas décadas.10

Além disso, a Health Insurance Portability and Accountability Act (HIPAA) levou a que se desse prioridade aos investimentos na confidencialidade dos dados, tornando frequentemente a integridade e a disponibilidade dos dados em preocupações secundárias. Esta abordagem pode resultar na redução do foco na resiliência organizacional, particularmente na redução dos Objetivos de Tempo de Recuperação (RTO) e dos Objetivos de Ponto de Recuperação (RPO).

Vulnerabilidades dos sistemas legados e da infraestrutura

Um dos resultados do sub-investimento na cibersegurança é a dependência de sistemas legados desatualizados e difíceis de atualizar que se tornaram alvos ideias de exploração. Além disso, a utilização de tecnologias díspares cria uma infraestrutura fragmentada com lacunas na segurança, aumentando o risco de ataques.

Esta infraestrutura vulnerável torna-se ainda mais complexa devido à recente tendência do setor da saúde para a consolidação. As fusões de hospitais, que estão a aumentar (mais 23% em 2022 e representam os níveis mais elevados desde 202014), criam organizações com infraestruturas complexas espalhadas por vários locais. Sem um investimento suficiente na cibersegurança, estas infraestruturas tornam-se altamente vulneráveis a ataques.

Superfície de ataque em expansão

Embora as redes de cuidados clinicamente integrados de dispositivos ligados e tecnologias médicas ajudem a melhorar os prognósticos dos pacientes e a salvar vidas, também alargaram a superfície de ataque digital, algo que os atores de ameaças estão a explorar cada vez mais.

Os hospitais estão mais online do que nunca, ligando dispositivos médicos críticos, como tomografias computadorizada, sistemas de monitorização de pacientes e bombas de infusão, às redes, mas nem sempre com o nível de visibilidade necessário para identificar e mitigar as vulnerabilidades que podem afetar gravemente os cuidados dos pacientes.

Os médicos Christian Dameff e Jeff Tully, Co-Diretores e Co-Fundadores do Centro de Cibersegurança nos Cuidados de Saúde da Universidade da Califórnia em San Diego, referem que, em média, 70% dos pontos finais de um hospital não são computadores, mas sim dispositivos.   
Um quarto de hospital com equipamento médico, uma gaveta branca e um cortinado azul.

As organizações de cuidados de saúde também transmitem grandes quantidades de dados. De acordo com os dados do Gabinete do Coordenador Nacional para as TI na Saúde, mais de 88% dos hospitais comunicam que enviam e obtêm eletronicamente informações sobre a saúde dos pacientes e mais de 60% comunicam que integram essas informações nos seus registos eletrónicos de saúde (EHR).15

Os pequenos prestadores rurais enfrentam desafios únicos

Os hospitais rurais de acesso crítico são particularmente vulneráveis a incidentes de ransomware porque muitas vezes têm meios limitados para prevenir e remediar os riscos de segurança. Isto pode ser devastador para uma comunidade, uma vez que estes hospitais são frequentemente a única opção de cuidados de saúde ao longo de muitos quilómetros nas comunidades que servem.

De acordo com Dameff e Tully, os hospitais rurais não dispõem normalmente do mesmo nível de infraestrutura ou conhecimentos de cibersegurança que os seus congéneres urbanos de maior dimensão. Observam também que muitos dos planos de continuidade das atividades destes hospitais podem estar desatualizados ou ser inadequados para fazer face a ciberameaças modernas como o ransomware.

Muitos hospitais pequenos ou rurais enfrentam restrições financeiras significativas, operando com margens de lucro muito reduzidas. Esta realidade financeira torna difícil para estas organizações investir em medidas robustas de cibersegurança. Muitas vezes, estas instalações dependem de um único generalista de TI, alguém que é competente na gestão de questões técnicas quotidianas, mas que não possui conhecimentos especializados em cibersegurança.

Um relatório do Grupo de Trabalho para a Cibersegurança do Setor dos Cuidados de Saúde do Departamento de Saúde e Serviços Humanos, criado no âmbito da Lei da Cibersegurança de 2015, salienta que uma proporção significativa de hospitais rurais de acesso crítico não dispõe de um colaborador a tempo inteiro dedicado à cibersegurança, o que sublinha os desafios mais vastos, em termos de recursos, enfrentados pelos pequenos prestadores de cuidados de saúde.

"Estes generalistas de TI, muitas vezes apenas alguém com experiência em gestão de redes e computadores, estão habituados a lidar com coisas como: "Não consigo imprimir, não consigo iniciar sessão, qual é a minha palavra-passe?"" explica Dameff. "Não são peritos em cibersegurança. Não têm o pessoal, não têm o orçamento e nem sequer sabem por onde começar."

O processo de ataque de um cibercriminoso segue normalmente uma abordagem de dois passos: obter acesso inicial à rede, muitas vezes através de phishing ou da exploração de vulnerabilidades, seguido da implementação de ransomware para encriptar sistemas e dados críticos. A evolução destas táticas, incluindo a utilização de ferramentas legítimas e a proliferação de RaaS, tornou os ataques mais acessíveis e frequentes.

A fase inicial de um ataque de ransomware: Obter acesso à rede de cuidados de saúde

Jack Mott, que liderou anteriormente uma equipa focada na engenharia de deteção e informações sobre ameaças ao e-mail empresarial na Microsoft, indica que "O e-mail continua a ser um dos maiores vetores de distribuição de malware e de ataques de phishing para ataques de ransomware.16

Numa análise das Informações sobre Ameaças da Microsoft de 13 sistemas hospitalares que representam múltiplas operações, incluindo hospitais rurais, 93% da ciberatividade maliciosa observada estava relacionada com campanhas de phishing e ransomware, sendo a maior parte da atividade representada por ameaças baseadas em e-mail.17
"O e-mail continua a ser um dos maiores vetores de distribuição de malware e de ataques de phishing para ataques de ransomware."
Jack Mott 
Informações sobre Ameaças da Microsoft

As campanhas dirigidas às organizações de cuidados de saúde utilizam frequentemente iscos muito específicos. Mott destaca, por exemplo, a forma como os atores de ameaças criam mensagens de e-mail com terminologia específica aos cuidados de saúde, como referências a relatórios de autópsias, para aumentar a sua credibilidade e enganar com êxito os profissionais de saúde. 

Táticas de engenharia social como estas, especialmente em ambientes de alta pressão como os cuidados de saúde, exploram a urgência frequentemente sentida pelos profissionais de saúde, levando a potenciais falhas de segurança. 

Mott observa também que os atacantes estão a tornar-se cada vez mais sofisticados nos seus métodos, utilizando frequentemente "nomes reais, serviços legítimos e ferramentas habitualmente utilizadas nos departamentos de TI (por exemplo, ferramentas de gestão remota)" para evitar a deteção. Estas táticas fazem com que seja difícil para os sistemas de segurança distinguir entre atividade maliciosa e legítima. 

Os dados das Informações sobre Ameaças da Microsoft também mostram que os atacantes estão frequentemente a explorar vulnerabilidades conhecidas no software ou sistemas da organização que foram identificados no passado. Estas Vulnerabilidades e Exposições Comuns (CVE), estão bem documentadas, têm atualizações ou correções disponíveis e os atacantes visam muitas vezes estas vulnerabilidades mais antigas porque sabem que muitas organizações ainda não abordaram estas fragilidades.18

Depois de obterem o acesso inicial, os atacantes realizam frequentemente o reconhecimento da rede, que pode ser identificado por indicadores como uma atividade de análise invulgar. Estas ações ajudam os atores de ameaças a mapear a rede, identificar sistemas críticos e a prepararem-se para a fase seguinte do ataque: a implementação de ransomware.

A fase final de um ataque de ransomware: Implementação de ransomware para encriptar sistemas críticos

Uma vez obtido o acesso inicial, normalmente através de phishing ou malware entregue por e-mail, os atores de ameaças passam à segunda fase: a implementação de ransomware.

Jack Mott explica que o aumento dos modelos de RaaS contribuiu significativamente para o aumento da frequência dos ataques de ransomware no setor da saúde. "As plataformas de RaaS democratizaram o acesso a ferramentas sofisticadas de ransomware, permitindo que mesmo aqueles com competências técnicas mínimas lancem ataques altamente eficazes," observa Mott. Este modelo reduz a barreira à entrada dos atacantes, tornando os ataques de ransomware mais acessíveis e eficientes.
"As plataformas de RaaS democratizaram o acesso a ferramentas sofisticadas de ransomware, permitindo que mesmo aqueles com competências técnicas mínimas lancem ataques altamente eficazes." 
Jack Mott 
Informações sobre Ameaças da Microsoft

Mott elabora ainda sobre como funciona o RaaS, afirmando: "Estas plataformas incluem frequentemente um conjunto abrangente de ferramentas, incluindo software de encriptação, processamento de pagamentos e até serviço de apoio ao cliente para negociar pagamentos de resgates. Esta abordagem chave na mão permite que um leque mais vasto de atores de ameaças execute campanhas de ransomware, levando a um aumento do número e da severidade dos ataques."

Adicionalmente, Mott destaca a natureza coordenada destes ataques, sublinhando que, "Assim que o ransomware é implementado, os atacantes agem rapidamente para encriptar sistemas e dados críticos, muitas vezes numa questão de horas. Visam infraestrutura essencial, como registos de pacientes, sistemas de diagnóstico e até operações de faturação, para maximizar o impacto e a pressão sobre as organizações de cuidados de saúde para que paguem o resgate."

Ataques de ransomware nos cuidados de saúde: Um perfil dos principais grupos de atores de ameaças

Os ataques de ransomware no setor da saúde são frequentemente levados a cabo por grupos de atores de ameaças altamente organizados e especializados. Estes grupos, que incluem tanto cibercriminosos com motivações financeiras como atores de ameaças sofisticados de estados-nação, utilizam ferramentas e estratégias avançadas para se infiltrarem em redes, encriptarem dados e exigirem resgates às organizações.

Entre estes atores de ameaça, hackers patrocinados por governos de nações autoritárias têm alegadamente utilizado ransomware e até colaborado com grupos de ransomware para fins de espionagem. Por exemplo, suspeita-se que os atores de ameaças do governo chinês estejam a utilizar cada vez mais o ransomware como cobertura para atividades de espionagem.19

Os atores de ameaças iranianos parecem ser os mais ativos no ataque a organizações de cuidados de saúde em 2024.20 De facto, em agosto de 2024, o Governo dos E.U.A. emitiu um aviso ao setor da saúde sobre um ator de ameaças baseado no Irão conhecido como Lemon Sandstorm. Este grupo estava "a tirar partido do acesso não autorizado à rede de organizações dos E.U.A., incluindo organizações de cuidados de saúde, para facilitar, executar e lucrar com futuros ataques de ransomware por parte de grupos de ransomware aparentemente afiliados à Rússia."21

Os perfis que se seguem fornecem informações sobre alguns dos mais notórios grupos de ransomware com motivação financeira que visam os cuidados de saúde, descrevendo em pormenor os seus métodos, motivações e o impacto das suas atividades no sector.
  • O Lace Tempest é um grupo de ransomware prolífico que tem como alvo os cuidados de saúde. Através de um modelo de RaaS, possibilitam que os afiliados implementem facilmente ransomware. O grupo está ligado a ataques de grande impacto a sistemas hospitalares, encriptando dados críticos de pacientes e exigindo um resgate. Conhecidos pela dupla extorsão, não só encriptam os dados como também os transferem de forma não autorizada, ameaçando divulgar informações confidenciais se o resgate não for pago.
  • O Sangria Tempest é conhecido pelos ataques avançados de ransomware a organizações de cuidados de saúde. Através de uma encriptação sofisticada, tornam a recuperação de dados quase impossível sem o pagamento de um resgate. Também recorrem à dupla extorsão, transferindo dados de pacientes de forma não autorizada e ameaçando divulgá-los. Os seus respetivos ataques causam disrupções operacionais generalizadas, o que obriga os sistemas de saúde a desviar recursos, levando a um impacto negativo nos cuidados prestados aos pacientes.
  • O Cadenza Tempest, conhecido pelos ataques denial of service (DDoS), tem vindo a concentrar-se cada vez mais em operações de ransomware no setor da saúde. Identificado como um grupo hacktivist pró-russo, tem como alvo sistemas de cuidados de saúde em regiões hostis aos interesses russos. Os seus respetivos ataques sobrecarregam os sistemas hospitalares, interrompendo operações críticas e criando o caos, especialmente quando combinados com campanhas de ransomware.
  • Ativo desde julho de 2022, o grupo Vanilla Tempest, com motivações financeiras, começou recentemente a utilizar ransomware INC adquirido através de fornecedores de RaaS para visar os cuidados de saúde nos E.U.A. Exploram vulnerabilidades, utilizam scripts personalizados e tiram partido de ferramentas padrão do Windows para roubarem credenciais, moverem-se lateralmente e implementarem ransomware. O grupo também recorre à dupla extorsão, exigindo um resgate para desbloquear os sistemas e impedir a divulgação dos dados roubados.

Face aos ataques de ransomware cada vez mais sofisticados, as organizações de cuidados de saúde têm de adotar uma abordagem multifacetada à cibersegurança. Têm de estar preparadas para resistir, responder e recuperar de ciberincidentes, ao mesmo tempo que mantêm a continuidade dos cuidados aos pacientes.

As orientações que se seguem fornecem um quadro abrangente para reforçar a resiliência, garantir uma recuperação rápida, fomentar uma equipa de trabalhadores que privilegie a segurança e promover a colaboração em todo o setor dos cuidados de saúde.

Governação: Assegurar a preparação e a resiliência

Um edifício com muitas janelas sob um céu azul com nuvens

A governação eficaz da cibersegurança nos cuidados de saúde é essencial para preparar e responder a ataques de ransomware. Dameff e Tully, do Centro para a Cibersegurança dos Cuidados de Saúde da UC San Diego, recomendam o estabelecimento de um quadro de governação robusto com funções claras, formação regular e colaboração interdisciplinar. Isto ajuda as organizações de cuidados de saúde a melhorarem a sua resiliência contra ataques de ransomware e a garantirem a continuidade dos cuidados aos pacientes, mesmo perante disrupções significativas.

Um aspeto fundamental deste quadro envolve a dissolução de silos entre o pessoal clínico, as equipas de segurança de TI e os profissionais de gestão de emergências para desenvolver planos coesos de resposta a incidentes. Esta colaboração interdepartamental é vital para manter a segurança dos pacientes e a qualidade dos cuidados de saúde quando os sistemas tecnológicos estão comprometidos.

Dameff e Tully sublinham também a necessidade de ter um órgão ou conselho de governação específico que se reúna regularmente para rever e atualizar os planos de resposta a incidentes. Recomendam que se confiram poderes a estes órgãos de governação para testarem os planos de resposta através de simulações e exercícios realistas, assegurando que todo o pessoal, incluindo os clínicos mais jovens que podem não estar familiarizados com os registos em papel, está preparado para funcionar eficazmente sem ferramentas digitais.

Além disso, Dameff e Tully sublinham a importância da colaboração externa. Defendem a criação de quadros regionais e nacionais que permitam aos hospitais apoiarem-se mutuamente durante incidentes de grande escala, reiterando a necessidade de "uma reserva estratégica nacional" de tecnologia que possa substituir temporariamente os sistemas comprometidos.

Resiliência e respostas estratégicas

A resiliência na cibersegurança dos cuidados de saúde vai para além da simples proteção dos dados, implica garantir que sistemas inteiros podem resistir e recuperar de ataques. É essencial uma abordagem abrangente da resiliência, centrada não só na salvaguarda dos dados dos pacientes, mas também no reforço de toda a infraestrutura que suporta as operações de cuidados de saúde. Isto inclui todo o sistema, rede, cadeia de fornecimento, dispositivos médicos, entre outros.

A adoção de uma estratégia de defesa detalhada é fundamental para criar uma postura de segurança estratificada que possa impedir eficazmente os ataques de ransomware.

A adoção de uma estratégia de defesa detalhada é fundamental para criar uma postura de segurança em camadas que possa impedir eficazmente os ataques de ransomware. Esta estratégia envolve a proteção de todos as camadas da infraestrutura de cuidados de saúde, desde a rede aos pontos finais e à nuvem. Ao assegurar a existência de várias camadas de defesa, as organizações de cuidados de saúde podem reduzir o risco de um ataque de ransomware bem sucedido.

Como parte desta abordagem em camadas para os clientes da Microsoft, as equipas das Informações sobre Ameaças da Microsoft monitorizam ativamente o comportamento dos adversários. Quando tal atividade é detetada, é enviada uma notificação direta.

Não se trata de um serviço pago ou por escalões, as empresas de todas as dimensões recebem a mesma atenção. O objetivo é fornecer prontamente um alerta quando são detetadas potenciais ameaças, incluindo ransomware, e ajudar a tomar medidas para proteger a organização.

Para além de implementar estas camadas de defesa, é crucial ter um plano eficaz de deteção e resposta a incidentes. Ter um plano não é suficiente; as organizações de cuidados de saúde devem estar preparadas para o executar eficazmente durante um ataque real para minimizar os danos e garantir uma recuperação rápida.

Por último, a monitorização contínua e as capacidades de deteção em tempo real são componentes essenciais de um quadro sólido de resposta a incidentes, garantindo que as potenciais ameaças podem ser identificadas e tratadas prontamente.

Para mais informações sobre a ciber-resiliência nos cuidados de saúde, o Departamento de Saúde e Serviços Humanos (HHS) publicou Objetivos de Desempenho de Cibersegurança (CPG) específicos para os cuidados de saúde, de modo a ajudar as organizações de cuidados de saúde a dar prioridade à implementação de práticas de cibersegurança de elevado impacto.

Criados através de um processo colaborativo de parceria público-privada, utilizando quadros, diretrizes, melhores práticas e estratégias comuns de cibersegurança da indústria, os CPG compreendem um subconjunto de práticas de cibersegurança que as organizações de cuidados de saúde podem utilizar para reforçar a preparação cibernética, melhorar a ciber-resiliência e proteger a informação e a segurança da saúde dos pacientes.

Passos para restaurar rapidamente as operações e reforçar a segurança pós-ataque

A recuperação de um ataque de ransomware requer uma abordagem sistemática para garantir um regresso rápido às operações normais, prevenindo simultaneamente futuros incidentes. Seguem-se passos acionáveis para ajudar a avaliar os danos, restaurar os sistemas afetados e reforçar as medidas de segurança. Ao seguirem estas orientações, as organizações de cuidados de saúde podem ajudar a mitigar o impacto de um ataque e a reforçar as suas defesas contra futuras ameaças.
Avalie o impacto e contenha o ataque

Isole imediatamente os sistemas afetados para impedir a sua propagação.
Restaure a partir de cópias de segurança de qualidade conhecida

Assegure que estão disponíveis cópias de segurança limpas e que estas são verificadas antes de restaurar as operações. Mantenha cópias de segurança offline para evitar a encriptação de ransomware.
Reconstrua os sistemas

Considere a possibilidade de reconstruir sistemas comprometidos em vez de aplicar patches, para eliminar qualquer malware persistente. Utilize a documentação de orientação da equipa de Resposta a Incidentes da Microsoft sobre a reconstrução segura de sistemas. 
Reforce os controlos de segurança pós-ataque

Reforce a postura de segurança pós-ataque, ao resolver as vulnerabilidades, atualizar os sistemas e melhorar as ferramentas de deteção de pontos finais.
Efetue uma revisão pós-incidente

Ao trabalhar em conjunto com um fornecedor de segurança externo, analise o ataque para identificar pontos fracos e melhorar as defesas para futuros incidentes.

Criar uma equipa de trabalhadores que privilegie a segurança

Um homem e uma mulher a olharem para o rosto de uma mulher.

A criação de uma equipa de trabalhadores que privilegie a segurança exige uma colaboração contínua entre disciplinas.

A criação de uma equipa de trabalhadores que privilegie a segurança exige uma colaboração contínua entre disciplinas. É importante eliminar os silos entre as equipas de segurança de TI, os gestores de emergências e o pessoal clínico para desenvolver planos coesos de resposta a incidentes. Sem esta colaboração, o resto do hospital pode não estar devidamente preparado para responder eficazmente durante um incidente cibernético.

Educação e consciencialização

Uma formação eficaz e uma forte cultura de comunicação são componentes essenciais da defesa de uma organização de cuidados de saúde contra o ransomware. Dado que os profissionais de saúde dão muitas vezes prioridade aos cuidados com os pacientes, podem nem sempre estar tão conscientes da cibersegurança, o que os pode tornar mais suscetíveis às ciberameaças.

Para tal, a formação contínua deve incluir noções básicas de cibersegurança, tais como identificar mensagens de e-mail de phishing, evitar clicar em ligações suspeitas e reconhecer táticas comuns de engenharia social.

Os recursos de Consciencialização para a Cibersegurança da Microsoft podem ajudar nesta tarefa.

"Incentivar o pessoal a comunicar problemas de segurança sem receio de ser responsabilizado é fundamental," explica Mott, da Microsoft. "Quanto mais cedo se puder comunicar algo, melhor. Se for benigno, esse é o melhor cenário."

Os exercícios e simulações regulares também devem imitar ataques reais, como phishing ou ransomware, ajudando a equipa a praticar a sua resposta num ambiente controlado.

Partilha de informações, colaboração e defesa coletiva

Uma vez que os ataques de ransomware estão a aumentar geralmente em frequência (a Microsoft observa um aumento de 2,75 ano após ano entre os nossos clientes16), uma estratégia de defesa coletiva torna-se essencial. A colaboração, entre equipas internas, parceiros regionais e redes nacionais/globais mais amplas, é crucial para garantir as operações de cuidados de saúde e a segurança dos pacientes.

Reunir estes grupos para conceber e implementar planos abrangentes de resposta a incidentes pode evitar o caos operacional durante os ataques.

Dameff e Tully sublinham a importância de unir as equipas internas, tais como médicos, gestores de emergências e a equipa de segurança de TI, que muitas vezes trabalham isoladamente. Reunir estes grupos para conceber e implementar planos abrangentes de resposta a incidentes pode evitar o caos operacional durante os ataques.

A nível regional, as organizações de cuidados de saúde devem estabelecer parcerias que permitam às instalações de cuidados de saúde partilhar capacidades e recursos, garantindo que os cuidados dos pacientes continuam, mesmo quando alguns hospitais são afetados pelo ransomware. Esta forma de defesa coletiva também pode ajudar a gerir o excesso de pacientes e a distribuir as responsabilidades pelos prestadores de cuidados de saúde.

Para além da colaboração regional, as redes nacionais e mundiais de partilha de informações são fundamentais. Os ISAC (Centros de Análise e Partilha de Informações), como o Health-ISAC, servem de plataforma para as organizações de cuidados de saúde trocarem informações sobre ameaças vitais. Errol Weiss, Diretor de Segurança da Health-ISAC, compara estas organizações a "programas virtuais de vigilância comunitária," onde as organizações associadas podem partilhar rapidamente detalhes sobre ataques e técnicas de mitigação comprovadas. Esta partilha de informações ajuda os outros a prepararem-se para ameaças semelhantes ou a eliminá-las, reforçando a defesa coletiva a uma escala maior.

  1. [1]
    Dados de informações sobre ameaças internas da Microsoft, T2, 2024
  2. [2]
    (Resumo executivo para os CISO: Panorama Atual e Emergente das Ameaças Cibernéticas nos Cuidados de Saúde; Health-ISAC e a Associação Hospitalar Americana (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "TRANSCRIÇÃO: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls (Comissão da Câmara dos Representantes, Audiência de Avaliação das falhas de Cibersegurança da Microsoft)," Tech Policy Press, 15 de junho de 2024
  4. [4]
    "Em média, as organizações de cuidados de saúde perdem 900 000 USD por dia devido ao tempo de inatividade provocado por ataques de ransomware,"  Comparitech, 6 de março de 2024
  5. [5]
    "Os Ataques de Ransomware nos Cuidados de Saúde Continuam a Aumentar em Número e Gravidade," The HIPAA Journal, setembro de 2024
  6. [6]
    Hacked to Pieces? (Acesso de Modo Ilícito Devastador?) The Effects of Ransomware Attacks on Hospitals and Patients (Os Efeitos dos Ataques de Ransomware nos Hospitais e nos Pacientes); https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US (Ataque de Ransomware Associado a Disrupções em Departamentos de Emergência Adjacentes nos EUA) Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US (Ataque de Ransomware Associado a Disrupções em Departamentos de Emergência Adjacentes nos EUA) | Medicina de Emergência | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Ascension Ransomware Attack Hurts Financial Recovery (Ataque de Ransomware à Ascension Prejudica a Recuperação Financeira),” The HIPPA Journal, 20 de setembro de 2024
  10. [10]
    "Patient Data Exposed in Phishing Attack on UC San Diego Health (Dados dos Pacientes Expostos em Ataque de Phishing na UC San Diego Health)," The HIPPA Journal, 13 de março de 2024
  11. [11]
    "Ransomware Attack Key Fator in Decision to Close Rural Illinois Hospital (Ataque de Ransomware é Fator Chave na Decisão de Encerrar Hospital Rural do Illinois)," The HIPPA Journal, 14 de junho de 2023
  12. [12]
    "Healthcare Ransomware Attacks Continue to Increase in Number and Severity (Os Ataques de Ransomware nos Cuidados de Saúde Continuam a Aumentar em Número e Gravidade)," The HIPAA Journal, setembro de 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Registaram-se mais fusões de hospitais em 2023, e as dificuldades financeiras estão a impulsionar mais negócios (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 (Interoperabilidade e Métodos de Intercâmbio entre Hospitais em 2021) | HealthIT.gov
  16. [16]
    Relatório de defesa digital da Microsoft de 2024, Microsoft, página 27
  17. [17]
    Telemetria das Informações sobre Ameaças da Microsoft, 2024
  18. [18]
    "Catálogo de Vulnerabilidades Exploradas Conhecidas," CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Dados das Informações sobre Ameaças da Microsoft sobre ciberameaças no Setor dos Cuidados de Saúde, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Cibercrime

Mais sobre Segurança

Guia de Higiene de Ciber-resiliência

A higiene cibernética básica continua a ser a melhor forma de defender as identidades, os dispositivos, os dados, as aplicações, a infraestruturas e as redes de uma organização contra 98% de todas as ciberameaças. Descubra sugestões práticas num guia abrangente.
Saiba mais

Dentro da luta contra os hackers que causaram interrupções em hospitais e puseram vidas em risco

Descubra as ameaças emergentes mais recentes de dados e pesquisa de ameaças da Microsoft. Obtenha análise sobre tendências e orientação acionável para fortalecer a sua primeira linha de defesa.
Saiba mais

Tirar partido da economia de confiança: fraude de engenharia social

Explore um panorama digital em evolução onde a confiança é ao mesmo tempo uma mais-valia e uma vulnerabilidade. Descubra as táticas de fraude de engenharia social que os ciberatacantes mais utilizam e consulte estratégias que podem ajudar a identificar e derrotar ameaças de engenharia social concebidas para manipular a natureza humana.
Saiba mais

Siga o Microsoft Security