O ransomware continua a infestar as organizações de saúde, apesar dos grandes esforços dos profissionais de segurança de TI. Os incidentes ocorridos em Wichita, KS e em DeKalb, IA são apenas os mais recentes e certamente não serão os últimos.
O ransomware tornou-se popular entre os criminosos cibernéticos porque, embora somente uma pequena porcentagem dos ataques obtenha êxito, o esforço necessário para iniciá-los é mínimo e a recompensa pode ser enorme. O FBI estima que os bandidos extorquiram 209 milhões de dólares em resgates somente nos três primeiros meses de 2016.
No passado, quem pagava os resgates, em sua maioria, eram indivíduos. Mais recentemente, no entanto, grandes organizações de saúde, como o Hospital Presbiteriano de Hollywood, na Califórnia, pagou os invasores para restaurar o acesso aos seus dados de saúde.
As organizações de saúde não são as únicas empresas vítimas desses ataques. As ameaças exclusivas que o ransomware representa para a saúde, incluindo não apenas os riscos às operações e à receita, mas também à reputação e à capacidade de cuidar do paciente, tornam os ataques de malware particularmente preocupantes para esse setor.
É claro que ceder a chantagens cibernéticas deveria ser o nosso último recurso. Ao seguir algumas práticas recomendadas para segurança de TI, as organizações de saúde podem reduzir significativamente o risco de se tornarem presas do ransomware:
- Garantir que todos os sistemas sejam prontamente atualizados com os últimos patches de segurança do sistema operacional.
- Aplicar a varredura antimalware a todos os departamentos e garantir que os bancos de dados de assinatura de malware estejam atualizados.
- Implementar a varredura e a filtragem baseadas em conteúdo em servidores de e-mail, particularmente onde o acesso a serviços de nuvem como o Gmail, o Yahoo Mail e o Outlook.com é permitido na rede corporativa.
- Restringir o acesso dos usuários aos sistemas necessários para suas funções. Evitar a “proliferação de acesso”.
- Usar a autenticação de dois fatores, para que uma senha roubada não seja suficiente para conceder o acesso.
- Garantir que as contas de usuário sejam desaprovisionadas imediatamente. Não deve haver contas órfãs de antigos funcionários, especialmente se eles tinham uma função técnica.
- Implantar e manter um sistema de backup abrangente, incluindo o armazenamento remoto, caso seja necessário restaurar arquivos.
No entanto, independentemente da importância dessas medidas e de outras semelhantes, elas não serão suficientes para vacinar as organizações contra ransomware, pois um vetor de ataque principal permanece: as mãos por trás dos teclados na organização.
A percepção popular é de que os hackers inserem o malware sorrateiramente nos sistemas da empresa por meio de backdoors e vulnerabilidades secretas, mas a verdade é que um dos maiores elementos de risco para uma organização de saúde é sua própria equipe. Basta um funcionário clicar em um link de aparência inofensiva em um e-mail que supostamente tenha vindo do CEO para desencadear o caos na rede.
É por isso que um treinamento em segurança de TI é essencial para todos os funcionários, com foco principalmente em phishing, spear phishing, “engenharia social” e artifícios semelhantes, projetados para enganar os funcionários e fazer com que eles façam o trabalho dos hackers.
Mas mesmo o treinamento nem sempre é o suficiente. Outro fator que tem deixado as organizações de saúde vulneráveis a ataques de malware é a natureza baseada em herança dos sistemas de TI do setor de saúde. Com frequência, existem aplicativos na rede que são executados de forma confiável há anos, o que significa que há poucos motivos para excluí-los do processo de atendimento ao paciente. Apesar disso, agora eles são tão antigos que exigem versões de sistemas operacionais ou outros componentes que não têm mais suporte e que podem estar expostos a ataques.
Também não estamos falando apenas de sistemas de mainframe arcaicos e antigos. Por exemplo, a Microsoft não libera atualizações de segurança para o Windows XP desde 2014 para os clientes que pagaram por onerosos contratos de Suporte estendido; todas as outras pessoas pararam de recebê-las em 2009. Se ainda existirem falhas de segurança sem relato no Windows XP, elas são conhecidas há anos, mas nunca terão um patch, deixando vulneráveis todos os aplicativos e dispositivos da organização que executa o XP; e, em vários casos, atualizar o sistema operacional não é uma opção.
Fique na defensiva
Esse é um grande desafio, mas não é intransponível. O que isso exigirá, no entanto, é que as organizações de saúde repensem sua abordagem às infraestruturas de TI ao explorarem novas tecnologias que apoiem o data center definido por software (SDDC) moderno.
Por meio da virtualização – as cargas de trabalho do aplicativo e da rede que as sustenta – os administradores de TI podem obter controle inigualável de seus ambientes de data center e ajudar a eliminar as ameaças como o ransomware desde o início.
As modernas ferramentas de virtualização de rede, como a plataforma VMware NSX, permitem que os administradores segmentem suas redes de forma que os ativos críticos do data center possam ser isolados de todo o resto em um modelo de Confiança Zero. O resultado é que os usuários que não devem ter acesso a esses sistemas críticos não podem vê-los e os servidores que não devem se comunicar com eles não podem acessá-los. E mesmo se os servidores isolados forem comprometidos por malware, não poderão escapar de seus “mundos privados” nas redes para infectar qualquer outra coisa.
Outras ferramentas também podem ser usadas para reforçar a segurança dos sistemas de usuário final. Ao empregarem o gerenciamento de configuração baseado em política, por exemplo, os administradores podem garantir que os sistemas de ponto de extremidade na organização estejam executando um ambiente de desktop consistente, sem vulnerabilidades ocultas devido a configurações invasoras.
Naturalmente, nem mesmo essas ferramentas são uma solução definitiva para o problema de ransomware. O cenário de ameaças está em constante mudança. Novas variações de ransomware são descobertas quase que diariamente. Alguns dos tipos mais novos exibem até mesmo propriedades semelhantes a worms, já que podem se propagar por uma rede sem a intervenção humana (o treinamento de usuários já não ajuda mais).
Ainda assim, com a combinação certa de nova tecnologia e das medidas da política em vigor, e uma ênfase em treinamento e em vigilância, as organizações de saúde visionárias poderão se preparar não apenas para a próxima onda de ransomware, mas para qualquer nova ameaça que venha depois. O que virá a seguir, ninguém saberá até que chegue. O importante é que, quando isso acontecer, o impacto seja mínimo. Se as organizações puderem gerenciar e conter essas ameaças em todos os níveis da organização, das profundezas de um data center até quem estiver por trás dos teclados, as equipes de TI do setor de saúde poderão proporcionar aos invasores um desafio maior.
Sobre a VMware
A VMware, líder mundial em infraestrutura de nuvem e mobilidade corporativa, ajuda clientes a agilizarem sua transformação digital. A VMware possibilita às empresas dominar a abordagem de negócios e tecnologias definidos por software com sua arquitetura Cross-Cloud e soluções para datacenter, mobilidade e segurança. Com uma receita de US$6.6 bilhões em 2015 e sediada em Palo Alto, na Califórnia, a VMware possui mais de 500 mil clientes e 75 mil parceiros ao redor do mundo.