Cibercrime, você está preparado para enfrentá-lo?

Por José Vital Monteiro

Nos últimos anos, em congressos e reuniões tornaram-se frequentes conversas e relatos de corredor em que médicos oftalmologistas contam casos ocorridos consigo ou com colegas nos quais hackers sequestram e criptografam os dados armazenados nos computadores das clínicas e exigem resgate para fornecerem as senhas que permitam a recuperação das informações.

Compreensivelmente, tais relatos são sempre feitos em ambientes fechados e protegidos e divulgados apenas depois da garantia de anonimato de seus autores. Por conta deste contexto de inquietação e falta de informações precisas, a real dimensão deste tipo de crimes no segmento das clínicas e consultórios médicos em geral e oftalmológicos em particular é de difícil mensuração. 

Mas, se até aqui alguém ainda achava que tudo isso era história de ficção científica, pois bem, tanto não é que está acontecendo diante dos nossos olhos, mesmo que a gente não perceba. São os, cada vez mais comuns, cibercrimes.

Os crimes virtuais são uma ameaça cada vez mais frequentes. Sendo grande parte das vezes causados pelos ransomwares. Ransom o que? Ransomware é o nome genérico de programas maliciosos projetados para bloquear o acesso do usuário ao computador ou criptografar os dados armazenados. Em linhas gerais, o ransomware é um programa malicioso que, uma vez instalado em um computador, criptografa todas as informações armazenadas no disco rígido e exige o pagamento de um resgate ao dono dessas informações para não destruí-las. Os números relativos à expansão dessa praga são assustadores.

O primeiro desses programas foi criado em 1989 por Joseph L. Popp, um biólogo evolucionário com PhD em Harvard. Atualmente existem dezenas de versões que causam prejuízos e apreensões em todos os segmentos empresariais. Como as empresas médicas armazenam informações de pacientes, sujeitas a altos graus de confidencialidade, os receios provocados por este tipo de ameaça no universo da saúde ganha contornos peculiares.

Um ataque de ransomware normalmente começa a partir de um e-mail com um anexo, geralmente com um arquivo executável, ou um arquivo comprimido (zipado), embora existam registros de casos que o vírus tenha sido distribuído a partir de websites. Assim que o anexo é aberto, o programa criminoso começa a ser executado no computador, mas a infecção pode não ser imediatamente percebida pelo usuário.

De acordo com o diretor fundador da empresa desenvolvedora de software para a área de saúde Projesi Software, Marcelo Dias, a invasão é um processo que demora algumas horas, durante as quais os usuários podem perceber que algo está errado. Caso não sejam tomadas providências imediatas ou caso o programa criminoso não seja detectado a tempo, ocorre o bloqueio, a criptografia total dos arquivos e a mensagem avisando a contaminação e exigindo o resgate aparece no monitor.

“A criptografia e a compactação são operações comuns. A criptografia nada mais é do que utilizar um algoritmo, um programa que leia as informações, as codifique e as grave num novo padrão de tal forma que somente quem conhece o padrão utilizado o processo tem condições de fazer a informação voltar ao padrão original. Este processo é muito utilizado para proteger o acesso à informação, inclusive dos prontuários médicos. Só que quando é feito por um malfeitor virtual, impede que a empresa tenha acesso a seus próprios dados, provocando enormes prejuízos”, declara Dias. 

Segundo pesquisas realizadas pela empresa multinacional de segurança de redes e computadores Kaspersky Lab a maior infecção de ransomware da história ocorreu em maio de 2017 com a disseminação de um programa denominado WannaCry, que afetou mais de 200 mil sistemas em 150 países. De lá para cá, segundo a empresa, este tipo de crime reduziu-se em cerca de 30% e surgiu uma nova modalidade de delinquência causada por programas maliciosos denominados cryptominers ou crypjackings, em que os próprios computadores são capturados e passam a “garimpar” criptomoedas no gigantesco universo da web sem que o usuário perceba claramente o que está ocorrendo. Levantamentos parciais realizados pela Kaspersky Lab indicam que na América Latina ocorreram 57.278 ataques de cryptominers em 2017 e mais de 394 mil nos primeiros oito meses de 2018. O Brasil figura como alvo preferencial, detentor da assombrosa cifra de 51,23% do número total desses crimes na região.

“Não existe ninguém tão pequeno que possa passar desapercebido, e nem tão grande que possa se sentir 100% seguro”, essa é a opinião do Diretor Geral Brasil da Kaspersky Lab, Roberto Rebouças. Para ele, a segurança digital ainda é vista como “commoditie” por grande parte das empresas, que nos outros setores atuam e faturam como pessoas jurídicas, mas que em relação à proteção de seus dados, usam os mesmos mecanismos que utilizam nas residências das pessoas físicas de seus diretores.

De acordo com Rebouças, muitas empresas também não realizam os investimentos necessários para a realização de back-ups constantes e regulares. Utilizar um HD externo plugado na USB é algo contraproducente, já que o programa malicioso vai a criptografar os arquivos localizados em todos os discos, incluindo o HD externo e, em alguns casos, até nos arquivos localizados na nuvem, se eles estiverem acessíveis no momento da contaminação. 

“Tivemos até um caso de uma pequena farmácia que passou por uma criptografia de dados, pagou o resgate e recebeu a chave adequada. Depois de recuperar os arquivos, a primeira coisa que o proprietário fez foi plugar um HD externo para fazer back-up e naquele momento, tudo foi criptografado novamente”, afirmou.

E, diante do fato consumado, o especialista recomenda que a vítima não pague o resgaste, já que não existe nenhuma garantia de que os dados serão liberados. Além disso, ressalta que o sucesso da extorsão incentiva os criminosos a persistirem e aprimorarem suas práticas. Reconhece, entretanto, que, da mesma forma quando ocorre um sequestro de uma pessoa, é muito difícil para os afetados seguirem o conselho de não aceitarem a chantagem. Os dados armazenados pelas empresas têm diferentes graus de confidencialidade e de importância e a grande maioria deles não são rapidamente restabelecidos, mas frutos de anos de coletas, armazenamento, tratamento e manipulação. No caso de clínicas, consultórios e hospitais, tais considerações são potencializadas pelo fato de que parte considerável do que está armazenado em seus meios magnéticos são prontuários de pacientes. Assinala também que vários problemas podem surgir com o pagamento do resgate, como por exemplo, a existência de um bug na chave de recuperação que faça com que os dados fiquem irremediavelmente perdidos, mesmo com a chave correta. 

A mesma recomendação de não pagar o resgate também é feita por Marcelo Dias justamente para não encorajar a ação dos cibercriminosos, que com os sucessos podem ser tornar cada vez mais audaciosos e, portanto, mais perigosos.

Empresas de segurança e autoridades de todo mundo procuram combater os crimes cometidos por hackers e ajudar suas vítimas a recuperarem os dados criptografados. Não é tarefa fácil, mas por vezes as autoridades policiais conseguem recuperar servidores que podem servir de base para a elaboração ou descoberta das chaves para descriptografar os arquivos afetados.

“Na maior parte das vezes, os arquivos são perdidos, mas algumas iniciativas conjuntas de empresas e autoridades têm dado resultados. Não se trata de criar falsas esperanças, mas de mostrar que existem iniciativas que podem contribuir para que os usuários recuperarem os dados. Uma destas iniciativas é o projeto No More Ranson, que reúne dezenas de parceiros e mantém o site NoMoreRansom.org para auxiliar as vitimas a recobrarem seus dados e interromper o lucrativo negócio dos cibercriminosos”, informa Roberto Rebouças.

Já o diretor da Pojesi, Marcelo Dias, que é engenheiro eletrônico, mestre em administração e doutor em engenharia da computação, afirma que a recuperação de dados que já estejam comprometidos, sem a utilização de back-ups e sem o conhecimento da chave para descriptografar é praticamente impossível. Acrescenta que mesmo com a existência de back-ups, o processo de recuperação das informações pode ser trabalhoso.

“Recentemente, um de nossos clientes foi afetado por um ransomware e a infecção foi detectada enquanto ocorria. Com a detecção, imediatamente desligamos todas as ligações internas e externas do servidor, paralisando o processo de infecção. Transferimos os arquivos não contaminados para outro servidor, da mesma forma que os arquivos do back-up. Com isso, o sistema de informações da clínica ficou quase dois dias paralisado, com os consequentes prejuízos em seu funcionamento e no atendimento aos pacientes”, conta Dias. 

Os especialistas em cibersegurança preconizam que os usuários tenham sempre pelo menos dois sistemas de realização de back-ups automáticos, um deles com armazenamento na “nuvem e outro físico (HD externo, flash drive, outro computador, etc) que não deve estar ligado sempre ao computador ou servidor original.  Também recomendam a utilização de programas antivírus compatíveis com a quantidade e importância dos arquivos a serem protegidos.

O médico oftalmologista Alexandre Chater Taleb, integrante do Grupo de Trabalho de Telemedicina do Conselho Brasileiro de Oftalmologia (CBO) afirma que se torna cada vez mais necessário que as clínicas e consultórios estabeleçam políticas de realização de back-ups múltiplos e assíncronos. “A única forma de se proteger é manter o antivírus constantemente atualizado, fazer treinamento da equipe para não ficar abrindo arquivos suspeitos e ter pelo menos dois back-ups em mídias diferentes”, afirma.

Já o Diretor Geral Brasil da Kaspersky Lab lembra que o médico não tem o conhecimento e nem tempo, ou recursos, para implementar soluções de segurança semelhantes as de um banco, mas deve entender que a segurança que vem com o sistema operacional ou os programas que são obtidos gratuitamente pela internet são deficientes.  “Existem muitas empresas sérias dedicadas à cibersegurança e muitas delas têm produtos voltadas para pequenos e médios empresários que podem atender perfeitamente a maioria das clínicas e consultórios”, declara Rebouças. 

Além da instalação de sistemas de back-ups e antivírus que ampliem a margem de segurança dos respectivos sistemas e redes, é recomendada a realização de programas de treinamento para funcionários no uso da internet já que os programas maliciosos podem ser enviados através de contas de amigos nas redes sociais, colegas ou parceiros de jogos online entre tantos outros caminhos, e se descobrir um processo desconhecido em execução no computador, desligá-lo imediatamente da internet e de outras ligações de rede.

Marcelo Dias afirma também que é importante que os usuários de médio e grande porte instalem programas de firewall, isto é, equipamentos para controle do tráfego entre a rede interna e as redes externas para deter as invasões de hackers.

“As clínicas precisam de firewalls de cunho corporativo, que permitam a varredura do que está sendo transmitido em tempo real. Alguns programas atuais permitem até a proteção contra ransomwares antes que eles cheguem ao servidor. Além disso, tais equipamentos precisam ser configurados por profissionais de TI que conheçam as regras de segurança de rede”, explicou Marcelo Dias.

Em 14 de agosto último, o presidente Michel Temer sancionou a Lei 13.709 que dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet e que entrará em vigor dezoito meses depois de sua publicação oficial (15 de fevereiro de 2020). A Lei de Proteção de Dados Pessoais (LPD) é inspirada no recentemente aprovado Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) da União Europeia e tem o objetivo de criar regulamento para o uso de dados pessoais no País, tanto online quanto off-line, nos setores privado e público.

Por esta lei, todas as empresas que fazem tratamento de dados pessoais deverão tomar medidas para garantir o cumprimento da lei, incluindo a implementação de políticas corporativas adequadas, contratação de recursos de tecnologia da informação e treinamento dos colaboradores para respeitar os direitos dos titulares de dados pessoais. 

“As empresas poderão ser penalizadas por perda de informação, que pode ser um número de cartão de crédito, CPF, RG ou prontuário médico. Vai doer no bolso e, portanto, tem tudo para funcionar. Para os médicos, a LPD tem mais um ponto que deve ser objeto de atenção: ele vai ter que começar a pedir autorização explícita do paciente para armazenar muitas dessas informações. É uma situação nova para a qual não existem respostas prontas. Temos mais um ano e pouco para resolver este e outros problemas e nos adaptarmos à legislação, que tem pontos bastante interessantes”, revela Roberto Rebouças, da Karspersky Lab.