O aumento dos ataques ransomware no setor de saúde
O que são ataques ransomware? E por que devemos nos preocupar com isso?
Inegável que era digital trouxe consigo inúmeras vantagens as quais todos nós nos valemos todos os dias. Ao invés de permanecermos em fila de instituição bancária, podemos pagar nossas contas através do internet banking, entre outras coisas mais.
No entanto, como os criminosos estão em todos os lugares, não seria diferente com o ambiente digital, e por isso a existência dos tão falados crimes digitais. A cada dia que passa os eles vêm aperfeiçoando as suas táticas e criando novos ataques para capturar na internet o que é de mais valioso para todos os usuários: os seus dados.
Com isso, são vários dentre os diversos crimes digitais, as espécies de vírus de computadores criados e desenvolvidos cada qual com a sua funcionalidade, porém com um objetivo em comum: obter vantagem ilícita. Temos como exemplo os rootikits, que são trojans específicos que permitem que o dispositivo seja controlado de forma remota. Assim, são programas que aparentemente parecem ser legítimos, no entanto capacita um terceiro a ter o controle total da máquina.
Não podemos esquecer que este assunto também é relativamente novo, pois o primeiro vírus de computador foi identificado em 1986 e se chamava “BRAIN”, que a princípio infectou o setor de boot dos disquetes.
Foi a partir daí que John McAfee decidiu por criar um antivírus, produto este que carrega o seu nome até os dias atuais visando detectar e remover os vírus encontrados nos dispositivos. Não existe mais a figura dos vírus apenas para os computadores. Os criminosos também adaptaram os malwares para os smartphones, de tal forma que acionado o vírus, todos os dados do aparelho também estão comprometidos.
E dentre estes vírus computacionais, vem se destacando fortemente o ransomware. Este modelo é a união de duas palavras, a saber, “ramsom” (resgate) + “malware” (malicious software = software malicioso/vírus computacional).
Assim, se trata do uso de um malware com o fim de bloquear o acesso ao sistema infectado, de tal forma que o criminoso exige uma quantia como forma de “regaste” dos dados ali capturados, em que na maioria das vezes existe um tempo estipulado para pagamento. Caso o usuário opte por não pagar, perde por fim todos os dados ali presentes. É também conhecido como sequestro virtual.
Quanto a tipificação de vírus de computador, a legislação brasileira recrimina tal conduta como expõe no artigo 154-A do Código Penal, em especial o seu §1º, que diz:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
No entanto, com relação à prática do ransomware, por se tratar de um modelo de crime mais complexo tendo em vista que a sua principal característica é o bloqueio do acesso mediante o pagamento de um resgate, inclusive, com a exigência deste resgate em moedas digitais (bitcoins), têm-se que o mesmo se enquadra melhor na figura da extorsão conforme disposto no artigo 158, que diz:
Art. 158. Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena – reclusão, de quatro a dez anos, e multa
Aqui, temos claramente o ocorrido no ataque ransomware: constrangimento de alguém, pois os dados do sistema infectado estão bloqueados por senha, ou seja, criptografados; ameaça, visto que o não pagamento acarreta na perda de todo conteúdo do dispositivo; intuito de obtenção de vantagem econômica, momento em que é solicitado uma determinada quantia em dinheiro da vítima.
Cabe de forma concreta esta tipificação, até mesmo porque se trata de crime formal, onde independentemente do resultado já resta consumado o delito, logo, mesmo que o criminoso não consiga obter o valor oriundo de resgate, já praticou a extorsão.
Ainda, há quem diga que o ransomware se encaixaria na espécie de furto do artigo 155 do Código Penal. Façamos a leitura:
Art. 155. Subtrair, para si ou para outrem, coisa alheia móvel:
Pena – reclusão, de um a quatro anos, e multa.
Ora, não temos aqui uma subtração, e tão somente um bloqueio de informações que podem ser liberadas mediante pagamento, assim, incabível enquadrar o delito de furto. Este crime em especial exige a subtração ou a tentativa de subtração de coisa alheia móvel, e não se encaixaria no perfil do ataque ransomware. Temos hoje, a extorsão como a melhor opção de tipificação.
Agora, se isto já causa prejuízos as pessoas em geral, pois em muitos casos não se tem um backup dos dados e muito menos a quantia solicitada, as empresas, pois estão sem acesso à dados sensíveis e inclusive, de todos os seus clientes, imagine só para o setor de saúde!
Pois bem, pensemos em um hospital, a qual existem pessoas com variados problemas desde aqueles que necessitam dos aparelhos para sobreviver, até aqueles que precisam tomar uma medicação que é comandada por um aparelho para melhorar de alguma doença.
Em caso de bloqueio do sistema mediante ataque ransomware, o que aconteceria? Já existem hospitais em que o comando de medicação é feito através de um computador para o aparelho que está ligado ao paciente. Veja, a partir do momento que alguém depende do aparelho para viver e este é desligado temporariamente, acarreta no falecimento do paciente, bem como aqueles que precisam tomar uma determinada medicação, não “melhoraram”, e ainda mais, e os que estão passando por uma cirurgia?
Mas, o que nós pensamos é porque alguém faria isto em um hospital e a resposta é simples: dinheiro. Os criminosos não estão preocupados se alguém vai falecer, ou piorar da doença que tem. Eles apenas se aproveitam das vulnerabilidades existentes para concretizar o seu ataque.
E o mais impressionante é que isto já ocorreu em um hospital nos Estados Unidos no começo deste ano, onde as redes de computadores ficaram paralisadas por mais de uma semana, deixando cerca de 430 leitos fora do ar, e a necessidade de transferência dos pacientes para outros hospitais.
Dados dos médicos e dos pacientes valem uma quantia alta no mercado negro, e por isto o ataque vem sendo direcionado ao setor de saúde pelos cibercriminosos, que procuram vulnerabilidades tais como falta de treinamento dos funcionários para questões envolvendo a segurança da informação, e ausência de sistemas protetivos nas máquinas para evitar a instalação do vírus. Tudo pode iniciar-se com o envio de um e-mail phishing, que no ato do “clique aqui”, acaba por instalar um software malicioso que dá domínio total a máquina pelo criminoso.
Consequentemente o setor de saúde perde a credibilidade com os seus pacientes, tem aumento de custo de horas extras para o setor de TI, sofre penalidades regulatórias e até processo judicial, caso reste provado dano à algum paciente.
Infelizmente saber que todos nós corremos este risco hoje é preocupante. Será que os hospitais, clínicas e laboratórios estão preparados para isto? Eles estão se protegendo o suficiente para responder a um ataque ransomware?
Quando se fala em gasto preventivo, a maioria não se prepara. Para que custos com auditoria, compliance, treinamentos, se isto nunca vai ocorrer, é o que quase todos pensam. Mas, estamos diante da realidade e estes ataques vão se intensificar ainda mais, nos exigindo uma atitude.
Não podemos mais permanecer inertes diante da onda de crimes digitais que estamos presenciando a cada minuto, e em especial, o ataque ransomware, que diferentemente de um outro malware que captura senhas ou controla o acesso remoto, por exemplo, este tem a função de autodestruição dos dados do dispositivo.
E se acontecer, devemos pagar? A resposta correta seria se prevenir mantendo uma cópia de segurança fora dos sistemas principais, que podem ser restaurados sem prejuízos, pois no momento em que pagamos estamos incentivando e mostrando para os criminosos que eles devem continuar, pois não estamos nos precavendo.
No setor da saúde esta prevenção deve ser ainda maior e mais intensa, pois existem vidas que dependem daquele sistema, e caso ocorra este ataque existe uma grande probabilidade de alguns pacientes irem a óbito, ou permanecerem com danos permanentes.