Um monitor médico acessível é o mais recente dispositivo fabricado na China a chamar atenção devido aos potenciais riscos cibernéticos. E ele não é o único dispositivo de saúde que gera preocupação. Especialistas alertam que a crescente presença desses dispositivos chineses no sistema de saúde dos EUA representa uma ameaça para todo o ecossistema.
O Contec CMS8000 é um monitor médico popular que acompanha os sinais vitais de um paciente. O dispositivo monitora eletrocardiogramas, frequência cardíaca, saturação de oxigênio no sangue, pressão arterial não invasiva, temperatura e taxa de respiração.
Nos últimos meses, tanto a FDA quanto a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) alertaram sobre uma “porta dos fundos” no dispositivo, uma “vulnerabilidade fácil de explorar que poderia permitir que um ator mal-intencionado alterasse sua configuração”.
A equipe de pesquisa da CISA descreveu “tráfego de rede anômalo” e a porta dos fundos “permitindo que o dispositivo baixe e execute arquivos remotos não verificados” para um endereço IP não associado a um fabricante de dispositivos médicos ou a uma instalação médica, mas sim a uma universidade terceirizada — “características altamente incomuns” que contrariam as práticas geralmente aceitas, “especialmente para dispositivos médicos”.
“Quando a função é executada, arquivos no dispositivo são sobrescritos à força, impedindo que o cliente final — como um hospital — mantenha controle sobre o software que está rodando no dispositivo”, escreveu a CISA.
O alerta diz que essa alteração de configuração pode levar, por exemplo, o monitor a indicar que os rins de um paciente estão com falhas ou que a respiração falhou, o que poderia fazer com que a equipe médica administrasse tratamentos desnecessários e prejudiciais.
A vulnerabilidade dos equipamentos Contec não surpreende especialistas médicos e de TI, que há anos alertam que a segurança dos dispositivos médicos é muito negligenciada.
Hospitais estão preocupados com os riscos cibernéticos
“Esse é um grande gap que está prestes a explodir”, disse Christopher Kaufman, professor de negócios na Westcliff University em Irvine, Califórnia, especializado em TI e tecnologias disruptivas, referindo-se especificamente à lacuna de segurança em muitos dispositivos médicos.
A Associação de Hospitais Americanos, que representa mais de 5.000 hospitais e clínicas nos EUA, concorda. Ela vê a proliferação de dispositivos médicos chineses como uma ameaça séria ao sistema.
Quanto aos monitores Contec especificamente, a AHA afirma que o problema precisa ser tratado com urgência.
“Temos que colocar isso no topo da lista devido ao potencial de danos aos pacientes; precisamos corrigir antes que eles hackeiem”, disse John Riggi, conselheiro nacional de cibersegurança e risco da American Hospital Association. Riggi também atuou em funções de contraterrorismo no FBI antes de ingressar na AHA.
A CISA relata que não há um patch de software disponível para ajudar a mitigar esse risco, mas em seu aviso afirmou que o governo está trabalhando com a Contec.
A Contec, com sede em Qinhuangdao, China, não respondeu ao pedido de comentário.
Quantos monitores Contec existem nos EUA?
Um dos problemas é que não se sabe quantos monitores estão nos EUA.
“Não sabemos devido ao volume de equipamentos nos hospitais. Especulamos que haja, de forma conservadora, milhares desses monitores; essa é uma vulnerabilidade muito crítica”, disse Riggi, acrescentando que o acesso chinês aos dispositivos pode representar riscos estratégicos, técnicos e de cadeia de suprimentos.
A curto prazo, a FDA aconselhou os sistemas médicos e pacientes a garantirem que os dispositivos funcionem apenas localmente ou desabilitem qualquer monitoramento remoto; ou, se o monitoramento remoto for a única opção, parar de usar o dispositivo se uma alternativa estiver disponível. A FDA disse que, até o momento, não tem conhecimento de incidentes de cibersegurança, lesões ou mortes relacionadas à vulnerabilidade.
A American Hospital Association também orientou seus membros de que, até que um patch esteja disponível, os hospitais devem garantir que o monitor não tenha mais acesso à internet e seja segmentado do resto da rede.
Segurança deficiente e riscos cibernéticos em dispositivos médicos
Riggi disse que, embora os monitores Contec sejam um exemplo claro do que raramente consideramos entre os riscos de saúde, isso se aplica a uma variedade de equipamentos médicos produzidos no exterior. Hospitais americanos com orçamento limitado, explicou, costumam comprar dispositivos médicos da China, um país com histórico de instalação de malware destrutivo em infraestruturas críticas nos EUA.
Equipamentos de baixo custo dão à China o potencial acesso a um vasto conjunto de informações médicas americanas que podem ser reutilizadas e agregadas para diversos fins. Riggi afirma que os dados muitas vezes são transmitidos para a China com o propósito declarado de monitorar o desempenho do dispositivo, mas pouco mais se sabe sobre o que acontece com os dados depois disso.
Riggi diz que os indivíduos não correm risco médico imediato tanto quanto o risco de os dados coletados e agregados serem reutilizados, colocando o sistema médico maior em risco. Ainda assim, ele observa que, pelo menos teoricamente, não se pode descartar a possibilidade de que americanos proeminentes com dispositivos médicos possam ser alvo de interrupções.
“Quando conversamos com hospitais, os CEOs ficam surpresos, eles não tinham ideia dos perigos desses dispositivos, então estamos ajudando-os a entender. A questão para o governo é como incentivar a produção doméstica, longe do exterior”, disse Riggi.
Coleta de dados chinesa sobre americanos
O alerta sobre a Contec é semelhante, em um nível geral, ao caso do TikTok, DeepSeek, roteadores TP-Link e outros dispositivos e tecnologias da China que o governo dos EUA afirma estarem coletando dados sobre os americanos. “E isso é tudo o que eu preciso ouvir para decidir se devo comprar dispositivos médicos da China”, disse Riggi.
Aras Nazarovas, pesquisador de segurança da informação na Cybernews, concorda que a ameaça da CISA levanta questões sérias que precisam ser abordadas.
“Temos muito a temer”, disse Nazarovas. Dispositivos médicos, como o Contec CMS8000, muitas vezes têm acesso a dados altamente sensíveis de pacientes e estão diretamente conectados a funções vitais de salvamento de vidas. Nazarovas afirma que, quando os dispositivos são mal protegidos, tornam-se presas fáceis para hackers que podem manipular os dados exibidos, alterar configurações vitais ou desativar completamente o dispositivo.
“Em alguns casos, esses dispositivos são tão mal protegidos que os atacantes podem ganhar acesso remoto e mudar como o dispositivo opera sem que o hospital ou os pacientes saibam”, disse Nazarovas.
As consequências da vulnerabilidade da Contec e das vulnerabilidades em uma variedade de dispositivos médicos chineses podem ser facilmente ameaças à vida. “Imagine um monitor de paciente que para de alertar os médicos sobre uma queda na frequência cardíaca de um paciente ou envia leituras incorretas, levando a um diagnóstico errado ou atrasado”, disse Nazarovas. O Contec CMS8000, e o Epsimed MN-120 (um nome de marca diferente para a mesma tecnologia), “podem ser usados como ponto de entrada na rede do hospital”, acrescentou Nazarovas.
Mais hospitais e clínicas estão prestando atenção. O Bartlett Regional Hospital em Juneau, Alasca, não usa os monitores Contec, mas está sempre atento a riscos. “O monitoramento regular é fundamental, pois o risco de ataques cibernéticos a hospitais continua a aumentar”, diz Erin Hardin, porta-voz do Bartlett.
No entanto, o monitoramento regular pode não ser suficiente enquanto os dispositivos forem fabricados com segurança deficiente.
Falta de supervisão e riscos crescentes
Potencialmente piorando a situação, Kaufman diz que o Departamento de Eficiência Governamental está enfraquecendo departamentos responsáveis por salvaguardar esses dispositivos. Segundo a Associated Press, muitas das demissões recentes na FDA foram de funcionários responsáveis pela revisão da segurança dos dispositivos médicos.
Kaufman lamenta a provável falta de supervisão governamental em uma indústria que já é, segundo ele, fraca na regulação. Um relatório do Escritório de Responsabilidade do Governo dos EUA, de janeiro de 2022, indicou que 53% dos dispositivos médicos conectados e outros dispositivos da Internet das Coisas nos hospitais tinham vulnerabilidades críticas conhecidas. Ele diz que o problema só piorou desde então. “Não sei o que vai sobrar para gerenciar essas agências”, disse Kaufman.
“Os problemas com dispositivos médicos são generalizados e já são conhecidos há algum tempo”, disse Silas Cutler, pesquisador principal de segurança na empresa de dados médicos Censys.
“A realidade é que as consequências podem ser graves — e até fatais. Embora indivíduos de alto perfil estejam em risco elevado, os mais impactados serão os próprios sistemas hospitalares, com efeitos em cascata sobre os pacientes cotidianos.”
—
📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:
🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais
🔷 TV SINAL ABERTO: parabólicas canal 562
🔷 ONLINE: www.timesbrasil.com.br | YouTube
🔷 FAST Channels: Samsung TV Plus, Soul TV, Zapping | Novos Streamings
Este conteúdo foi fornecido pela CNBC Internacional e a responsabilidade exclusiva pela tradução para o português é do Times Brasil.
