Um ataque cibernético de grandes proporções iniciado no dia 12 de maio vem preocupando empresas e organizações ao redor do mundo. Chamado de “WannaCry”, ou “vontade de chorar”, em tradução livre, o vírus aproveitou uma falha do sistema operacional Windows e atingiu mais de 150 países. A partir do momento que o computador é infectado, o ransomware – nova categoria de malware – codifica os arquivos e sequestra-os para, então, pedir o resgate em dinheiro. O vírus é tão potente que é capaz, inclusive, de infectar outros computadores vulneráveis ligados à rede. Na Inglaterra, por exemplo, o ataque chegou ao Serviço Nacional de Saúde (NHS, sigla em inglês) e paralisou computadores e telefones de aproximadamente 16 hospitais.

De acordo com os especialistas, o Brasil é o sexto país do mundo que mais sofreu ataques nos últimos anos, porque está na lista dos que menos investem em segurança da informação. No Paraná, dois hospitais informaram ter sido afetados. Um deles foi o Nossa Senhora das Graças (HNSG). A tentativa de invasão aconteceu por meio de um formulário disponível no site, o “Fale Conosco”. Robôs quebraram a criptografia e, assim, como era vinculado para envio de e-mail, esse formulário passou a mandar para cada e-mail do banco de dados 7.500 e-mails infectados por segundo. A equipe de Tecnologia da Informação do hospital identificou o WannaCry e optou por inativar qualquer mensagem que chegasse ao usuário final. Isso só foi possível porque o departamento já estava monitorando a situação por conta dos ataques que aconteceram no mundo inteiro e melhorando a criptografia. “Conseguimos barrar o problema e não deixar o vírus entrar nos computadores da empresa, evitamos danos maiores”, conta Glaucio Erlei Souza, assessor de planejamento e filantropia do HNSG.

Já o Hospital Darcy Vargas, em Rebouças, não teve a mesma sorte. Hackers conseguiram invadir o sistema, quebrar as senhas e compactar todos os dados. “Dentro das pastas dos sistemas havia um arquivo compactado, que estava protegido com senha. No final do arquivo, uma mensagem solicitando que fosse enviado um e-mail para recuperação da senha. Quando fizemos isso, os criminosos pediram US$ 3 mil para liberação do arquivo. Tentamos dizer que somos filantrópicos e que não temos recursos, mas fomos informados que não era possível liberar o sistema sem o pagamento”, comenta Marcio José Gobor, administrador do hospital.

O sistema da instituição faz backup automático todas as noites, mas inclusive o HD externo foi invadido, bloqueando, assim, o backup também. Segundo Gobor, o hospital tinha backup de rotina dos últimos seis meses e foi possível recuperar alguns dados. Depois, foi necessário redigitar todas as informações, tudo para não ter que pagar o resgate.

“Fizemos BO na delegacia como medida preventiva, tiramos o HD infectado, colocamos um novo e guardamos o HD infectado para uma possível perícia policial. Verificamos todos os computadores para saber a origem e detectamos que começou no consultório. O vírus pode ter vindo por um site ou por e-mail. Tiramos o computador infectado e fizemos a limpeza. Tivemos que refazer toda a estrutura do nosso servidor. Agora, cada funcionário está fazendo o backup separado e levando para casa. Tivemos um prejuízo de R$ 5 mil, com hora extra de funcionários para redigitar, novos HDs e outras alterações que foram necessárias”, revela o administrador.

Por conta dessa experiência ruim, Gobor indica que os hospitais não deixem o backup em modo automático e o façam diariamente, manualmente, com dispositivos externos. Outra sugestão é deixar o backup em nuvem, que é seguro e mais fácil de recuperar.

“No hospital, temos contrato de manutenção e monitoramento dos computadores. Foi essa empresa que nos auxiliou em todo o processo para recuperar o backup e tomar outras medidas. A experiência que fica é que por mais que estejamos vivendo um momento de crise, com poucos recursos, é fundamental investir em antivírus e backup para não ter prejuízos ainda maiores”, completa.

Como acontece o ataque

Os ciberataques são um tipo de malware, mais conhecido como vírus. Dentro desses malwares, o mais recente são os ransomwares, uma nova categoria de contaminação. Hoje, scripts maliciosos invadem o computador e acabam criptografando o que foi atacado, seja uma máquina, um banco de dados ou apenas alguns arquivos. O computador infectado é vítima de um sequestro, e a segunda etapa é cobrar o direito de resgate.

Para chegar ao sistema, o assessor do HNSG explica que o meio mais comum é a partir de e-mails, quando o usuário clica em um link contaminado. Outra forma de ataque é no acesso a sites desconhecidos e não seguros, como sites que baixam filmes, por exemplo, ou páginas que abrem muitos pop-ups, porque dentro dessas caixas estão os vírus. “Por isso, dizemos que a porta de entrada de uma contaminação é o usuário, pois é ele quem vai clicar em algo que não deve”, destaca.

Quando o ataque acontece, a máquina fica bloqueada com uma mensagem, na maioria das vezes em inglês, que diz o que aconteceu no computador, o pedido de resgate e as instruções para o pagamento. Segundo Souza, na maioria das vezes os criminosos estipulam um prazo, geralmente curto para não dar tempo de a empresa agir. A recomendação dos especialistas em segurança do mundo todo é que as empresas atacadas não paguem o resgate, primeiro porque o pagamento estimula os hackers a continuarem agindo; e em segundo lugar porque não existe garantia de que os dados serão liberados depois que o pagamento for feito. Atualmente, o assessor afirma que não existe uma empresa 100% segura, porque a tecnologia evolui a todo momento. Ele também descarta a ideia de que os criminosos estejam buscando atacar hospitais preferencialmente.

“Os ataques são a qualquer empresa, a qualquer momento. A diferença dos hospitais é que, por natureza, eles não fazem investimentos em tecnologia e em prevenção. Assim, quando a massa toda está sendo atacada, quem estiver fragilizado, vulnerável, será o escolhido. Por isso, é preciso investir em segurança para evitar danos”, declara.

Outro grande problema das instituições de Saúde, hoje, é que a maioria não utiliza ferramentas de antivírus profissionais. Muitas entidades acabam utilizando a versão gratuita, que não é capaz de detectar os tipos mais atualizados de ransomware. Além disso, poucos hospitais se preocupam com estrutura de backup.

“Não se investe em backup, nem em antivírus de qualidade. Dessa forma, se o hospital sofrer um ataque, não será possível recuperar os dados. Tudo hoje está informatizado. Se perder a vida da empresa no sistema, o problema é grave”, garante.

Para se ter uma ideia da gravidade da situação, segundo Souza, o departamento de Arquivos e Registros da Administração Nacional (Nara, sigla em inglês), divulgou recentemente uma pesquisa que apontou que 94% das empresas que perderam o banco de dados, seja por falta de backup ou por problemas relacionados ao WannaCry, foram à falência em um ano. Deste total, 50% das empresas que não tinham nenhum tipo de segurança foram à falência imediatamente. “É um número assustador”, avalia. “Por isso, os hospitais têm que encarar como um investimento, e não como um custo, pois o barato pode sair caro. Não são investimentos altos. Se bem planejado, é possível ser feito”, reforça.

Prevenção ainda é a melhor forma de evitar ataques

Para evitar um ataque, o primeiro passo é educar o usuário, porque, de acordo com os especialistas em segurança da informação, ele é o melhor antivírus que uma empresa pode ter. Fernando Peres, advogado especialista em direito digital e crimes cibernéticos, afirma que os hospitais devem ter políticas de segurança da informação que ditem as regras de como os dados serão tratados. “Muitos casos de ataques cibernéticos que prejudicaram dados e servidores ocorreram pelo envio de e-mail com vírus. Deve-se tomar cuidado com os sites e e-mails que podem ser acessados dentro da rede. É prudente que o acesso à internet seja limitado, pois se tudo estiver interligado, existe grande possibilidade de a rede inteira ser contaminada”, destaca Peres.

Mas além da possibilidade de contaminação chegar por e-mail, o advogado lembra que o vírus também pode vir de um pen drive ou celular. Por isso, ele sugere que a política de segurança da informação preveja também quais tipos de mídias podem ser instalados em computadores do hospital.

Na opinião de Peres, os hospitais devem ter um cuidado ainda maior com seus computadores e servidores, pela importância das informações que estão guardadas. “Tudo deveria ser colocado num documento, como uma política da informação da empresa, e essas informações podem ser disseminadas em forma de cartilhas ou por meio de palestras educativas para mostrar que um pequeno erro pode causar grande estrago”, ressalta.

Fique atento

Algumas medidas que melhoram a segurança das informações virtuais:

  • Ter um bom antivírus, preferencialmente de marcas reconhecidas no mercado
  • Contar com mecanismos de backup e de recuperação de backup, incluindo os que são feitos em nuvem
  • Realizar testes nas máquinas e atualizações constantes nos sistemas operacionais
  • Elaborar uma política de informação clara e objetiva do hospital, que deve ser divulgada entre os colaboradores

O que fazer em caso de invasão ao sistema

De acordo com a assessoria jurídica da Femipa, as tentativas de invasão não são consideradas crimes e a responsabilização penal dependerá da demonstração da invasão, com provas dos danos causados ao hospital e a indicação do endereço IP de onde partiu o ataque. Assim, apenas os casos efetivos de invasão devem ser reportados à polícia. No Paraná, as vítimas devem procurar o Núcleo de Combate aos Cibercrimes (Nuciber). Os documentos necessários para o boletim de ocorrência podem ser encontrados no site: www.nuciber.pr.gov.br.

Ainda segundo a assessoria, outra medida interessante é a comunicação do caso ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (cert.br), mantido pelo Núcleo de Informação e Coordenação do Ponto BR (nic.br), do Comitê Gestor da Internet no Brasil.

A recomendação da instituição é que as vítimas de ataques enviem um e-mail para cert@cert.br, com o conteúdo das mensagens e cabeçalhos completos. Munido dessas informações, o cert.br pode contatar o site que está hospedando o vírus, verificar se este já é detectado pelos softwares antivírus e tomar as ações necessárias.

Fonte: Jornal Voz Saúde - Femipa