Essex NHS Trust confirma violação do Qilin dois anos depois

Essex NHS Trust confirma violação do Qilin dois anos depois

Um trust do NHS de Essex tornou-se a mais recente organização de saúde a confirmar que os registos de pacientes foram roubados durante um ataque de ransomware Qilin, e a revelação surge cerca de dois anos após o grupo ter atacado pela primeira vez os sistemas do NHS. O crescente problema de proteção de dados de pacientes resultante de violações por ransomware no NHS já não é apenas uma questão técnica para as equipas de TI hospitalares. Para os pacientes cujos registos foram levados, o relógio de potenciais fraudes, phishing e uso indevido de identidade já está a contar há muito tempo.

Esta divulgação lembra que os incidentes de ransomware na saúde raramente seguem uma cronologia clara. As vítimas são identificadas por vagas, as notificações chegam tarde e a dimensão total do que foi roubado pode levar meses, por vezes anos, a ser apurada.

Quais os NHS Trusts que confirmaram roubo de registos?

O grupo Qilin visou inicialmente o fornecedor do NHS Synnovis em junho de 2024, interrompendo os serviços de transfusão de sangue e as operações de patologia em vários hospitais de Londres, incluindo o King's College Hospital e o Guy's and St Thomas'. Esse ataque provocou o cancelamento de operações e obrigou os clínicos a trabalhar sem acesso a resultados de exames críticos.

A confirmação do trust de Essex representa um alargamento dessa pegada. À medida que os hospitais continuam a auditar os seus sistemas e a cruzar os conjuntos de dados roubados, mais trusts estão a chegar ao ponto de poder notificar formalmente os pacientes afetados. As categorias de dados envolvidas neste tipo de violações do NHS incluem tipicamente nomes, datas de nascimento, números do NHS, notas clínicas, resultados de exames e, em alguns casos, dados financeiros associados às contas dos pacientes.

O que torna esta cronologia tão preocupante é que os pacientes agora notificados estiveram expostos a uma potencial utilização indevida durante até dois anos sem o saberem. Os registos de saúde roubados não expiram como os números de cartão de crédito. Mantêm valor nos mercados criminosos porque contêm dados pessoais imutáveis que não podem ser alterados.

Porque é que os registos de saúde são um alvo valioso para o ransomware

Os registos de saúde alcançam consistentemente preços mais elevados nos fóruns criminosos do que as credenciais financeiras por si só. Um único registo médico pode conter tudo o que um burlão precisa para cometer roubo de identidade, incluindo informações de seguros, históricos de medicação e dados de familiares próximos. Para operadores de ransomware como o Qilin, as organizações de saúde oferecem um duplo incentivo: a pressão da disrupção para pagar rapidamente (porque as operações clínicas dependem de dados em tempo real) e um conjunto de dados altamente comercializável para venda se o resgate não for pago.

O NHS é um alvo particularmente atrativo porque a sua escala é enorme, os seus sistemas são heterogéneos entre os trusts e os fornecedores terceiros funcionam frequentemente como o elo mais fraco. O ataque à Synnovis demonstrou exatamente esse padrão. Em vez de atacarem um hospital diretamente, os atacantes comprometeram um fornecedor com integração profunda em várias redes hospitalares.

Os ataques de engenharia social surgem naturalmente deste tipo de violação. Quando os atacantes detêm dados verificados de pacientes, podem criar mensagens de phishing ou chamadas de vishing altamente convincentes, uma tática observada noutros incidentes de grande visibilidade. No ataque de vishing à Cushman & Wakefield onde ShinyHunters reivindicou 500.000 registos, dados organizacionais roubados foram usados para dar credibilidade a chamadas fraudulentas dirigidas aos funcionários. Os pacientes do NHS enfrentam um risco semelhante quando os seus dados pessoais de saúde vão parar a mãos criminosas.

Como os pacientes se podem proteger ao usar os portais online do NHS

Para a maioria dos pacientes, a questão imediata é prática: o que posso realmente fazer quanto a isto? A resposta começa por reconhecer que os seus hábitos de acesso são importantes, mesmo que a violação tenha ocorrido do lado do prestador.

Os pacientes do NHS gerem cada vez mais consultas, resultados de exames e receitas repetidas através de plataformas como a NHS App e o Patient Access. Estes portais contêm dados clínicos sensíveis, e iniciar sessão nos mesmos através de redes não seguras ou partilhadas cria um ponto de exposição adicional, para além dos riscos que já existem na própria infraestrutura do NHS.

Primeiro, verifique se recebeu alguma notificação de violação por parte do seu trust. Se recebeu, leve-a a sério e monitorize as suas contas para detetar atividades incomuns, incluindo faturas médicas inesperadas, consultas de seguros ou pedidos de verificação de identidade que não iniciou.

Segundo, utilize palavras-passe fortes e únicas para cada conta de saúde e ative a autenticação de dois fatores sempre que o serviço o permitir. Os ataques de credential stuffing, em que os atacantes usam nomes de utilizador e palavras-passe de uma violação para aceder a contas noutros locais, são uma consequência rotineira dos grandes roubos de dados de saúde.

Terceiro, desconfie de qualquer contacto não solicitado que alegue ser do NHS e lhe peça para verificar dados pessoais. As comunicações legítimas do NHS não lhe pedirão palavras-passe ou informações financeiras por telefone ou por e-mail.

Melhores práticas de encriptação e VPN para dados médicos em Wi-Fi público

Se acede regularmente aos portais do NHS ou a outras contas de saúde enquanto viaja ou usa Wi-Fi público, encriptar a sua ligação é um passo simples que reduz um risco real. As redes públicas em cafés, bibliotecas, hospitais e centros de transporte não são seguras e o tráfego que nelas circula pode ser intercetado.

Utilizar uma VPN reputada cria um túnel encriptado entre o seu dispositivo e a internet, dificultando significativamente que alguém na mesma rede capture as suas credenciais de início de sessão ou tokens de sessão. Isto não protege contra violações que ocorram dentro dos próprios sistemas do NHS, mas fecha uma via de roubo oportunista.

Para além da utilização de VPN, manter o sistema operativo e as aplicações do seu dispositivo atualizados corrige as vulnerabilidades que o malware explora para intercetar dados antes mesmo de a encriptação ser aplicada. A encriptação total do disco no seu telemóvel ou computador portátil significa que, se o seu dispositivo for perdido ou roubado, os dados de início de sessão do NHS em cache não são imediatamente legíveis.

O que isto significa para si

A crescente contagem de violações do NHS pelo Qilin é uma crise de divulgação em câmara lenta. Os trusts ainda estão a mapear o que foi levado, e os pacientes que foram afetados há anos só agora estão a receber a confirmação. Esse intervalo cria uma longa janela durante a qual os registos roubados podem circular sem que as vítimas tenham conhecimento.

A coisa mais importante que pode retirar desta situação é que a proteção dos dados dos pacientes face a violações por ransomware no NHS não é passiva. Não pode impedir um grupo de ransomware de atacar um fornecedor hospitalar. Pode, no entanto, reduzir o que os atacantes podem fazer com os seus dados depois de estes terem sido expostos.

Comece por fazer um levantamento das plataformas do NHS e de saúde em que tem contas, assegure-se de que cada uma tem uma palavra-passe única e autenticação de dois fatores, e trate qualquer comunicação relacionada com saúde não solicitada com um ceticismo redobrado. Ao ligar-se a essas plataformas fora de casa, utilize uma ligação encriptada. Rever regularmente os seus próprios hábitos de segurança de dados é a resposta mais direta num ambiente em que as violações de saúde em larga escala são uma realidade recorrente, e não um evento raro.