Focados num monitor médico popular produzido na China, pelos riscos cibernéticos, os especialistas afirmam que a presença de dispositivos de saúde chineses no sistema médico dos Estados Unidos da América (EUA) é motivo de preocupação em todo o ecossistema.
O Contec CMS8000 é um monitor médico popular que monitoriza os sinais vitais de um paciente: o eletrocardiograma, o ritmo cardíaco, a saturação de oxigénio no sangue, a pressão arterial não invasiva, a temperatura e a frequência respiratória.
Nos últimos meses, a Food and Drug Administration (FDA) e a Cybersecurity and Infrastructure Security Agency (CISA) alertaram para uma backdoor no dispositivo, uma “vulnerabilidade fácil de explorar que poderia permitir a um mau ator alterar a sua configuração”.
A equipa de investigação da CISA descreveu o “tráfego de rede invulgar” e a backdoor que “permite ao dispositivo descarregar e executar ficheiros remotos não verificados” para um endereço IP não associado a uma fabricante de dispositivos médicos ou a uma instalação médica, mas a uma universidade terceira – “caraterísticas altamente invulgares” que vão contra as práticas geralmente aceites, “especialmente para dispositivos médicos”.
Quando a função é executada, os ficheiros no dispositivo são substituídos à força, impedindo que o cliente final – como um hospital – tenha conhecimento do software que está a ser executado no dispositivo.
Escreveu a CISA, que alerta que tal alteração de configuração pode levar, por exemplo, a que o monitor diga que os rins de um paciente estão a funcionar mal ou que a respiração está a falhar, levando os profissionais de saúde a administrar medicação desnecessária e potencialmente prejudicial.
Mais do que isso, informou que não existe qualquer correção de software disponível para mitigar os riscos detetados, e que o Governo dos EUA trabalha atualmente com a Contec.
Segundo a CNBC, a vulnerabilidade do Contec CMS8000 não surpreende os especialistas médicos e informáticos. Afinal, há anos que estes alertam para o facto de a segurança dos dispositivos médicos ser demasiado permissiva.
Dispositivos médicos chineses espiam os sistemas de saúde dos EUA?
Trata-se de uma enorme lacuna que está prestes a explodir.
Afirmou Christopher Kaufman, professor de gestão na Universidade de Westcliff, em Irvine, na Califórnia, especializado em Tecnologias da Informação e tecnologias disruptivas, referindo-se especificamente à lacuna de segurança em muitos dispositivos médicos.
Para a Associação Americana de Hospitais, que representa mais de 5000 hospitais e clínicas nos EUA, a proliferação de dispositivos médicos chineses é uma séria ameaça ao sistema.
Temos de colocar este problema no topo da lista de potenciais danos para os doentes; temos de o corrigir antes que eles o pirateiem.
Disse John Riggi, conselheiro nacional para a cibersegurança e risco da Associação Americana de Hospitais, que trabalhou, também, em funções de contra-terrorismo do FBI, acrescentando que não se sabe quantos monitores existem, atualmente, nos EUA:
Não sabemos, devido ao grande volume de equipamento nos hospitais. Especulamos que existam, de forma conservadora, milhares destes monitores; esta é uma vulnerabilidade muito crítica.
Na perspetiva de Riggi, o acesso chinês aos dispositivos pode representar riscos estratégicos, técnicos e de cadeia de abastecimento.
Sem conhecimento de quaisquer incidentes de cibersegurança, ferimentos ou mortes relacionados com a vulnerabilidade, a FDA aconselhou os sistemas médicos e os doentes a certificarem-se de que os dispositivos estão a funcionar apenas localmente ou a desativarem qualquer monitorização remota.
Caso a monitorização remota seja a única opção, o órgão americano disse para deixarem de utilizar o dispositivo, se houver uma alternativa disponível.
Embora os monitores Contec sejam um exemplo do que não consideramos frequentemente como um risco para os cuidados de saúde, o mesmo se estende a uma série de equipamentos médicos produzidos no estrangeiro, segundo Riggi.
Este problema resulta da compra, pelos hospitais americanos sem dinheiro, de dispositivos médicos à China. O equipamento de baixo custo dá aos chineses acesso potencial a um tesouro de informações médicas americanas que podem ser utilizadas para todo o tipo de fins, na opinião das autoridades dos EUA.
Quando falamos com os hospitais, os CEOS ficam surpreendidos, não faziam ideia dos perigos destes dispositivos, por isso estamos a ajudá-los a compreender. A questão para o governo é como incentivar a produção doméstica, longe do exterior.
Partilhou Riggi.