País

Ciberataques a hospitais: quando o “vírus” que ataca a saúde não é biológico mas informático

Ciberataques a hospitais: quando o “vírus” que ataca a saúde não é biológico mas informático

Depois dos Laboratórios Germano de Sousa, foi a vez do hospital Garcia de Orta ter sido atacado. Quando o ataque é na saúde, quais os riscos para os utentes?

Desde o início do ano, várias empresas em Portugal foram alvo de ataques informáticos. Recentemente, as instituições de saúde parecem estar na mira desta forma de criminalidade. Depois dos Laboratórios Germano de Sousa, o hospital Garcia de Orta foi, esta segunda-feira, alvo de um ataque que causou impacto na unidade hospitalar, obrigando ao cancelamento de consultas. Em Santiago do Cacém, o hospital sofreu também uma tentativa de ciberataque.

Quando é uma instituição de saúde a sofrer um ataque informático, há várias questões que se levantam: Qual o objetivo dos atacantes? O que acontece aos dados dos utentes – considerados dados sensíveis? Terá o ataque impacto na prestação de cuidados de saúde à população?

Nelson Escravana, especialista em cibersegurança e diretor e administrador do Instituto de Engenharia de Sistemas e Computadores Inovação (INESC-INOV), reconhece que há problemas acrescidos quando o alvo dos ataques é uma instituição de saúde. No entanto, afirma que não é visível um redirecionamento dos ataques para este setor.

“Quando uma instituição de saúde é atacada há dois problemas: o problema do serviço que deixa de conseguir prestar o serviço, mas há também a possibilidade de ser multada caso os dados sejam comprometidos, se houver indícios de que os criminosos acederam aos dados e se a privacidade dos utentes tiver sido violada”, explica o especialista à SIC Notícias, sublinhando que “essa multas são pesadíssimas”.

O relatório de Cibersegurança em Portugal referente a 2021, publicado em maio do ano passado pelo Centro Nacional de Cibersegurança, aponta os setores da banca e da saúde como potenciais alvo. “É expectável que ocorram ataques oportunistas aos trabalho remoto, às cadeias de fornecimento, aos setores da banca e saúde e às tecnologias emergente”, pode ler-se no documento.

Também a norte-americana Centro para a Queixa de Crime na Internet (IC3, na sigla inglesa) identifica o setor da saúde pública como uma das 16 áreas críticas no que aos ataques informáticos diz respeito. Dentro desta lista de áreas críticas, o setor dos cuidados de saúde e saúde pública foi o mais atacado durante o de 2021, registando 148 incidências.

Os dados pessoais, incluídos nas bases de dados das instituições de saúde, têm valor comercial, principalmente os de contacto e identificação do utente. Para Nelson Escravana, a ameaça da divulgação dos dados atua como um “elemento de pressão muito elevado sobre a entidade”, devido aos riscos legais, ao comprometimento dos dados e à reputação da empresa. No entanto, a venda e divulgação não será a principal atividade dos hackers que optam por ataques ransomware.

“Esses dados podem ser utilizados para outros tipos de crime”, alerta o especialista. “Mas não é normalmente o objetivo destes crimes em massa. O objetivo é o ransomware e pressionar a entidade a pagar um resgate“, ou seja, se a empresa não pagar o resgate “não obtém os dados, ficam cifrados”.

Há, no entanto, grupos que planeiam ataques mais direcionados, procurando entidades com exposição mediática. É o caso do grupo Lapsus$ – que reivindicou os ataques ao grupo Impresa e ao Parlamento português. “Eles procuram alvos que sejam mediáticos, embora se afirmem apenas um grupo criminoso que age para benefício próprio. Existe uma tentativa de exposição mediática do próprio grupo. Muitos grupos de cibercriminosos nós nem sabemos quem são”, explica.

Ransomware: um crime com elevadas receitas

O ransomware é um dos tipos de ataques informático mais utilizado atualmente, logo a seguir ao phishing/smishing. Depois de entrar no sistema, o atacante encripta os dados da vítima, exigindo um resgate pela libertação dos dados roubados.

“Este tipo de crime e de criminosos está à procura de receitas imediatas. Estamos a falar de uma área extremamente bem organizada e altamente estruturada. Não há, ao contrário do que se pensa, um raciocínio tipicamente específico face à vítima – isto é a regra, há obviamente exceções. É crime em massa e o objetivo das organizações criminosas que operam redes de ransomware é atacar o maior número de entidades possível, comprometer entidades e exigir um resgate”, explica o especialista.

Em 2020, as perdas associadas ao cibercrime atingiu um valor recorde: perto de um bilião de dólares. As projeções do Centro para a Estratégia e Estudos Internacionais da companhia McAfee, citadas pelo The Washington Post, apontavam 945 mil milhões de dólares (cerca de 894 mil milhões de euros) de prejuízo, o que representa quase o dobro do registado dois anos antes.

Em 2021, a IC3 voltou a registar um número recorde de queixas relacionadas ao crime informático com mais de 847 mil denúncias – um aumento de 7% face a 2020. Ao nível das potenciais perdas, o valor estimado ronda os 6,9 mil milhões de dólares (6,5 mil milhões de euros).

“O cibercrime é um tipo de criminalidade extremamente lucrativo. Segundo as estimativas – que já não são de agora, têm dois ou três anos – já supera o negócio dos estupefacientes, já movimenta mais dinheiro do que o negócio da droga”, sublinha o diretor do INESC-INOV.

O que fazer para proteger a empresa

Todos os aparelhos que estão ligados à internet podem ser alvo de ataque informáticos. “Temos de ter noção de que, em média, cada dispositivo ligado à internet é atacado mais de 100 vezes por dia”, alerta Nelson Escravana.

“Muitas vezes o ataque é bem sucedido, não por uma questão tecnológica, não porque havia uma vulnerabilidade no sistema, mas porque alguém forneceu a sua password quando clicou num link que vinha email ou num site e pensou que estava a fornecer a sua password legitimamente. Estava a ser enganado. É o que nós chamamos de phishing”, prossegue, sublinhando que “mais de 80% dos ataques têm um fator humano como determinante para o sucesso”.

A falta de literacia digital é um dos problemas a combater para proteger as empresas e as próprias pessoas. Por outro lado, a existência de cópias de segurança – os chamados backups – podem também ser uma mais-valia na hora de reagir a dados bloqueados pelos atacantes. Este mecanismo retira a pressão à empresa de ter de pagar o resgate exigido. Mas mesmos quem tem backups, pode estar em risco:

“Um erro muito comum, principalmente nas pequenas empresas, é que as cópias de segurança são realizadas em discos que estão permanentemente ligados aos computadores que onde estão os dados. O que significa que quando há estes ataques, o próprio backup é comprometido.” O especialista aconselha a desligar os backups dos servidores como medida de prevenção.

Cada setor pode estar exposto a diferentes riscos. Nelson Escravana destaca a importância de conhecer os riscos e perceber o papel que as tecnologias de informação têm atualmente na atividade diária de cada empresa.

Saiba mais:

Últimas Notícias
Mais Vistos