Relatório da Claroty revela lacunas alarmantes na segurança de dispositivos médicos diretamente ligados aos cuidados de pacientes
A Claroty, empresa de proteção de sistemas ciberfísicos (CPS), apresentou um novo relatório que revela dados preocupantes sobre a segurança de dispositivos médicos conectados a redes de organizações de saúde, como hospitais e clínicas. O documento revela que 63% das Vulnerabilidades Exploradas e Conhecidas (KEVs) estão nessas redes, e que 23% dos dispositivos médicos, como dispositivos de exames por imagem e clínicos, possuem pelo menos uma dessas vulnerabilidade.
CONTEÚDO RELACIONADO: No Brasil, empresas estão abaixo de um padrão desejável de cibersegurança
Outro ponto de preocupação é que 14% dos dispositivos médicos conectados estão sendo executados em sistemas operacionais sem suporte ou no fim da vida útil. Dos dispositivos sem suporte, 32% são de imagem, incluindo sistemas de raios-X e ressonância magnética, que são vitais para o diagnóstico e tratamento prescritivo, e 7% são dispositivos cirúrgicos.
Um quinto (22%) dos hospitais conectam tanto as redes de visitantes (responsáveis por disponibilizar acesso Wi-Fi a pacientes e visitantes) quanto as redes internas. Isso cria um vetor de ataque perigoso, pois um cibercriminoso pode rapidamente encontrar e direcionar ativos na Wi-Fi pública e usar esse acesso como ponte para as redes internas, onde estão localizados os dispositivos aplicados em cuidados aos pacientes. A pesquisa mostrou que 4% dos dispositivos cirúrgicos – ou seja, equipamentos críticos que, se falharem, podem impactar negativamente o cuidado do paciente – se comunicam em redes de visitantes.
Por fim, a pesquisa analisou quais dispositivos médicos são remotamente acessíveis e descobriu que aqueles com uma alta consequência de falha são desfibriladores, sistemas cirúrgicos robóticos e gateways de desfibriladores. A pesquisa também mostrou que 66% dos dispositivos de imagem, 54% dos dispositivos cirúrgicos e 40% dos dispositivos de pacientes são remotamente acessíveis.
O relatório, chamado “The State of CPS Security: Healthcare 2023”, usou informações e insights de fontes abertas e confiáveis, incluindo o Banco Nacional de Dados de Vulnerabilidades (NVD), a Agência de Segurança Cibernética e Infraestrutura (CISA), o Grupo de Trabalho do Conselho Coordenador do Setor de Saúde, entre outros.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).