Uma coisa terrível e sem precedentes acabou de acontecer no mundo da
ética hacker, o que levantou discussões sobre como deve ser feita a
divulgação pública de falhas de segurança em dispositivos de saúde.
Depois de encontrarem sérias vulnerabilidades nos marca-passos e
desfibriladores da St. Jude Medical, a empresa de pesquisa e segurança
MedSec decidiu levar essa informação para um investidor que então
apostou contra a empresa no mercado de ações. Ele fez isso em vez de
notificar a vulnerabilidade, que em teoria poderia colocar vidas em
risco, para a fabricante dos dispositivos.
Como explicou a Bloomberg:
A MedSec sugeriu uma parceria sem precedentes: os hackers
forneceriam dados provando que os dispositivos médicos ameaçavam vidas,
e [Carson] Block [da firma de investimento Muddy Waters] adotaria uma
posição contra a St. Jude. A taxa dos hackers pela informação aumentou
conforme o preço das ações da St. Jude caia, o que significa que tanto a
Muddy Waters como a MedSec lucraram com isso. Se a aposta não
funcionasse, e as ações não caíssem, a MedSec poderia perder dinheiro.
As ações da St. Jude fecharam com queda de cerca de 4% na
quinta-feira (26). A Abbot Laboratories fez uma proposta de US$ 25
bilhões para comprar a St. Jude em abril. Graças a essas
vulnerabilidades, o acordo pode ficar em perigo, segundo a Bloomberg.
A CEO da MedSec, Justine Bone, diz que sua empresa não entrou em
contato com a St. Jude por não estar convencida de que a fabricante de
dispositivos médicos poderia solucionar o problema. Em vez de ter o
problema ignorado (e colocar vidas de pacientes em risco), a MedSec
preferiu não apenas fazer a St. Jude passar vergonha, como também pagar
por seus erros.
Em um post feito no blog da MedSec, Bone disse o seguinte:
Reconhecemos que nossa abordagem diferente das práticas
tradicionais de cibersegurança vai atrair críticas, mas acreditamos que
essa é a única forma de fazer a St. Jude Medical tomar ação. O mais
importante é que acreditamos que pacientes tanto existentes quanto em
potencial têm direito de saber seus riscos. Os consumidores precisam
começar a exigir transparência dessas fabricantes de dispositivos,
especialmente no que se aplica à qualidade e funcionalidade dos
produtos.
Bone foi ainda mais explícita com a Bloomberg,
dizendo que “até onde sabemos, a St. Jude Medical não fez absolutamente
nada para atingir os mínimos padrões de cibersegurança, em comparação
com outras fabricantes que observamos.” Em uma entrevista em vídeo, ela
afirmou que vulnerabilidades de segurança relatadas para a St. Jude em
2013 ainda não foram corrigidas.
Ainda assim, a MedSec acabou ganhando uma bolada com a queda nas ações da St. Jude.
A MedSec também poderia ter ido até a CERT, a equipe de resposta de
emergência computacional dos EUA, para garantir que as vulnerabilidades
não fossem ignoradas, me disse a evangelista de segurança Jessy Irwin.
Irwin disse que relatos à CERT poderiam ter resultado em alertas de
segurança que não poderiam ser ignorados. O padrão industrial para
divulgação pública (a quantidade de tempo entre quando uma empresa fica
sabendo de uma vulnerabilidade e quando essa vulnerabilidade é relatada
ao público) é de 90 dias, enquanto a CERT tem uma janela de 45 dias.
Irwin diz que se a MedSec fosse à CERT em primeiro lugar, a St. Jude
teria apenas 45 dias antes das falhas serem divulgadas ao público,
independentemente de terem ou não sido corrigidas.
“O que isso significa é que em vez de se aproximar de uma empresa de
investimentos, eles precisariam seguir as mesmas diretrizes de
divulgação de vulnerabilidades que se aplicam a outras empresas de
segurança,” disse Irwin.
Dependendo de como isso funcionar para a MedSec, isso pode abrir
precedente para a forma como empresas de tecnologia operam e divulgam
vulnerabilidades. Por outro lado, isso também pode convencer empresas
comprometidas a levarem essas falhas de segurança mais a sério, já que
dinheiro está em jogo. E por outro lado, isso pode ser visto como uma
forma de chantagear empresas usando suas falhas, em vez de ajudá-las a
corrigir. E isso seria terrível.
Por sua parte, a St. Jude diz que tudo está bem! Phil Ebeling, CTO da empresa, disse à Bloomberg que
as alegações de que a fabricante não se importa com segurança são
“absolutamente inverdadeiras.” “Existem várias camadas de medidas de
segurança em questão. Conduzimos análises de segurança com frequência e
trabalhamos com especialistas externos especificamente no Merlin@home e
em todos os nossos dispositivos,” disse Ebeling.
A boa notícia para pacientes que usam desfibriladores ou marca-passos
vulneráveis da St. Jude é que a MedSec precisou de meses de pesquisa
para achar a falha. Bone disse à Bloomberg que ela vê “nenhuma evidência
de uma ameaça imediata.” A Muddy Waters e a MedSec também disseram que
vão alertar órgãos de fiscalização norte-americanos sobre as falhas.
Fonte: Gizmodo