Como o Hospital Northfield usa IA para minimizar o risco de ataques cibernéticos
O hospital comunitário rural recorreu à proteção habilitada por IA para ter visibilidade total de sua rede e entender o cenário de ameaças
Como todos os provedores de assistência médica, o Northfield Hospital, com sede nos Estados Unidos, tem uma grande responsabilidade quando se trata de segurança cibernética, pois dados confidenciais e a vida dos pacientes podem estar em risco. Um estudo da Proofpoint e do Ponemon Institute divulgado em setembro de 2022 descobriu que as taxas de mortalidade de pacientes aumentaram em mais de 20% das organizações de saúde que sofreram os tipos mais comuns de ataques.
“Se essa organização de saúde estiver em baixa e o paciente não tiver acesso a cuidados de saúde, isso atrasa o atendimento e pode aumentar a mortalidade, especialmente se você estiver falando de uma vítima de derrame ou ataque cardíaco, onde o tempo é importante. E quando você não tem automação para mover esse paciente por meio de seu sistema e fornecer a ele o atendimento de que precisa, isso pode aumentar o risco de mortalidade”, disse Vern Lougheed, Diretor de Informações de Segurança do Northfield Hospital, ao CSO.
Estabelecido em 1910 como uma instalação de 12 leitos em Minnesota, o Northfield Hospital cresceu e se tornou uma instalação de 37 leitos com um centro de atendimento de longo prazo com 40 leitos, sete locais clínicos e mais de 65 profissionais de saúde que atendem a comunidade rural local, incluindo o serviço de ambulância da cidade. Com os provedores de saúde sempre sendo alvo de cibercriminosos, o hospital tem atualizado constantemente sua pilha de segurança cibernética para garantir que a equipe esteja sempre apta a fornecer o melhor atendimento de que os pacientes precisam.
“Monitoramento cardíaco fetal é algo que fazemos aqui e (…) quando uma mãe está em trabalho de parto e você está monitorando os batimentos cardíacos do bebê, você não quer que ele desapareça durante um evento”, diz Lougheed.
Sistemas legados de segurança cibernética substituídos por proteção habilitada por IA
O que o Northfield Hospital tinha inicialmente era uma pilha tradicional de segurança cibernética com firewalls básicos, proteção contra invasões e sistemas de detecção, gateway de segurança na Internet, spam de e-mail e filtragem de vírus. Quando os produtos habilitados para IA começaram a surgir, o hospital mudou para um sistema de proteção de endpoint baseado em IA, o primeiro passo para ferramentas de inteligência artificial em segurança cibernética.
“Mas nada foi integrado; nada realmente conversava entre si”, conta Lougheed. “Eram todas ilhas de informação, todas ilhas de gerenciamento desses dispositivos. Foi difícil realmente entender e ter aquela visibilidade que queríamos desesperadamente em nossa rede para entender quais eram nossas ameaças, o que estava ocorrendo, e é por isso que começamos a procurar um conjunto de ferramentas que nos permitisse obter essa visibilidade”. Foi difícil separar as tentativas de sobrevôo das direcionadas, explica ele.
O primeiro produto habilitado para IA foi apenas o primeiro passo, logo que Lougheed descobriu que fornecia um escopo restrito de dados de telemetria provenientes da rede. Ele sabia então que esse era o tipo de produto que daria a visibilidade necessária, mas precisava procurar um que fosse capaz de cobrir toda a empresa e não apenas um endpoint.
Promoção da proteção do Northfield Hospital
As crescentes preocupações sobre os riscos para a saúde e as necessidades do Northfield Hospital fizeram com que eles fizessem uma prova de conceito com o Darktrace pré-Covid-19. O fornecedor ainda era relativamente novo na época, diz Lougheed, mas sua maturidade estava aumentando.
“Essa prova de conceito realmente nos provou a visibilidade que esse mecanismo de IA pode nos fornecer, não apenas de um cliente, mas de um usuário, de um protocolo, de um IP para uma origem, para um destino, para uma infinidade de áreas diferentes de telemetria que podemos obter que nunca tivemos acesso antes. Foi realmente revelador”. Ter a capacidade de entender o que era normal e o que era anômalo era o que o hospital precisava, diz.
Outra abordagem também foi simplificar a pilha de segurança cibernética, em vez de ter vários produtos sobrepostos apenas no caso de um não detectar algo, o hospital está reduzindo a pilha de segurança cibernética, mantendo coisas que por enquanto ainda funcionam separadamente, incluindo firewalls e gateways de segurança da Internet.
Preparação do Northfield Hospital para riscos futuros
Os e-mails de phishing têm se tornado cada vez mais convincentes e essa é uma das preocupações de Lougheed, principalmente aqueles que podem pedir ajuda a um médico ou enfermeiro em relação a problemas de saúde, que estão acontecendo com mais frequência. Ele diz que a Darktrace também está ajudando a identificá-los e entendê-los.
A outra preocupação é a segurança dos dispositivos médicos à medida que eles se tornam mais orientados por software. Pacientes e cuidadores dependem de tais dispositivos para estarem on-line e disponíveis. “E eles têm fluxos de trabalho muito exclusivos que são difíceis de proteger, e você não pode desligar facilmente o monitor cardíaco de alguém só porque há um ataque de segurança cibernética para proteger esse dispositivo. Você precisa manter esse dispositivo funcionando”, diz Lougheed.
Isso é ainda mais preocupante para ele, pois ele explica que esses dispositivos médicos estão saindo da rede e entrando nas casas dos pacientes. Uma vez que eles estão na casa do paciente, o risco aumenta e torna mais difícil mantê-los protegidos.
Um evento recente também tornou isso uma ameaça muito real. Há alguns meses, um funcionário do hospital foi enviado para casa com um novo dispositivo para que essa pessoa pudesse trabalhar em casa. Não muito depois de o dispositivo ter sido conectado à rede privada do funcionário, um relatório de telemetria do sensor Darktrace C instalado naquele computador mostrou que a rede doméstica do funcionário foi comprometida por um IP baseado na Rússia que estava tentando se conectar ao dispositivo.
Enquanto a equipe de Lougheed é composta por ele e outro membro da equipe, eles contam com a ação autônoma dentro do produto, que agiu colocando aquele computador off-line. Posteriormente, o funcionário foi informado dos motivos e providências a serem tomadas e o aparelho foi colocado em quarentena. “Foi apenas uma questão de minutos depois que o dispositivo foi conectado que recebemos o alerta e o dispositivo estava off-line”.
Devido à rapidez com que o problema foi resolvido, Lougheed explica que é difícil saber qual poderia ter sido a intenção disso. Até mesmo a localização do IP pode estar incorreta, pois é fácil falsificar IPs provenientes de locais diferentes.
Treinamento em segurança cibernética e atualização contínua da pilha para segurança da equipe e do paciente
Um ataque de ransomware é a maior preocupação de Lougheed, um evento que poderia derrubar o hospital seria devastador, diz ele. Para combater isso, o treinamento anual é fornecido a todos os funcionários e aos novos antes de ingressarem. Esse treinamento é atualizado com informações coletadas ao longo do ano sobre ameaças e eventos. Os exercícios de phishing também são feitos automaticamente via Darktrace, que envia relatórios para Lougheed.
As ferramentas que podem executar coisas como exercícios de phishing são particularmente importantes para empresas menores, como as da área de saúde, e ainda mais quando as equipes de TI são ainda menores.
Do lado da tecnologia, Lougheed planeja continuar reduzindo o número de fornecedores na pilha de segurança cibernética do hospital, pois ambientes complexos podem aumentar o risco, diz ele. Ele também quer reduzir a complexidade do monitoramento e gerenciamento dos sistemas de defesa do hospital. “Isso precisa ser concluído com cuidado e de uma forma que não aumente o risco, mas sim diminua o risco”.
Os sistemas baseados em IA são como isso continuará a acontecer, pois os agentes de ameaças “já estão vindo atrás de nós com ameaças baseadas em IA e precisamos estar preparados”, diz Lougheed. “Não somos uma grande empresa, mas precisamos do mesmo nível de proteção oferecido àqueles que são muito maiores do que nós e precisamos administrar isso com menos recursos 24 horas por dia, sete dias por semana. A necessidade de atendimento ao paciente nunca para. Continuaremos a procurar maneiras de proteger mais nosso ativo mais crítico, que são nossos pacientes. Isso incluirá trazer os dispositivos médicos de saúde para o guarda-chuva de proteção da Darktrace”.