Meio milhão de pacemakers nos EUA vão ser actualizados para evitar ciberataques
Fabricante está a preparar actualizações em todo o mundo, incluindo em Portugal.
A agência que vigia os medicamentos e dispositivos médicos nos EUA, a Food and Drugs Administration (FDA), identificou uma vulnerabilidade no sistema de uma das marcas de pacemakers com ligação à Internet em utilização no país: estima-se que cerca de 465 mil dispositivos instalados em pacientes dos EUA fabricados pelos laboratórios Abbott (e vendidos sobre a marca norte-americana St. Jude Medical) podem ser controlados por terceiros com equipamento comum, que pode ser comprado em lojas ou online.
Os pacemakers conectados trazem muitos benefícios: permitem a troca de informação com profissionais médicos, e a monitorização do aparelho à distância. Porém, como qualquer aparelho na era da chamda Internet das Coisas, em que carros se conduzem sozinhos e frigoríficos podem ser controlados pelo telemóvel, surgem preocupações com a cibersegurança.
Em resposta ao alerta da FDA, a Abbott já confirmou que os pacemakers fabricados a partir de dia 28 de Agosto virão com novas definições de segurança. Porém, os dispositivos que já estão a ser usados por pacientes não vão ser removidos: os laboratórios estão a disponibilizar uma actualização para corrigir o problema. "A Abbott e a FDA não recomendam a remoção e substituição dos aparelhos afectados", explica Candace Flippin, uma responsável da comunicação da empresa, ao PÚBLICO. "Quero clarificar que embora [a FDA] esteja a utilizar o termo 'recolha', trata-se de acção correctiva, criada para eliminar a causa de uma situação indesejada."
Flippin acrescenta que "não há informação de acesso não autorizado aos aparelhos dos pacientes", e que “comprometer estes dispositivos exige um conjunto complexo de circunstâncias”. Nas mãos de atacantes, porém, as vulnerabilidades encontradas pela FDA podem ser utilizada para alterar as definições do aparelho ou mesmo gastar a bateria. Por isso, apesar de o alerta ser feito nos EUA, a fabricante diz estar a comunicar com as “autoridades de regulamentação no mundo inteiro para implementar as novas actualizações nos dispositivos já implantados.”
"Estamos a lançar actualizações para todos os nossos pacemakers que utilizam radiofrequência para comunicar para reduzir o risco de acessos não-autorizados. As actualizações também vão ser lançadas em Portugal [onde a Abbott também tem operações] depois de aprovação local", diz Flippin. A actualização que inclui encriptação de dados, correcções ao sistema operativo, e a capacidade de desligar elementos de conectividade, deve ser feita em cerca de 280 mil dispositivos fora dos EUA.
Os pacientes preocupados com o estado do seu pacemaker actual (que queiram a actualização da Abbott) devem contactar os seus profissionais de saúde para que estes determinem se a actualização é necessária. O Departamento de Segurança Interna dos EUA recomenda que os médicos discutam o “risco potencial dos pacemakers serem utilizados num ciberataque e o risco de instalar a actualização”. O processo de actualização tem de ser feito em pessoa e demora três minutos, durante os quais o aparelho funciona em modo de “reserva” e pode perder algumas definições e dados.
A FDA avisa os pacientes que qualquer aparelho conectado à Internet está sujeito a ciberataques, mesmo tendo benefícios (como a monitorização feita por médicos à distância). O objectivo não é assustar os pacientes, mas levá-los a reflectir sobre os riscos e benefícios da tecnologia. "À medida que os dispositivos médicos ficam mais interconectados via Internet, redes de hospitais, outros dispositivos médicos e smartphones, há um risco maior da aproveitação de vulnerabilidades de cibersegurança", nota a FDA.