Introdução
Seja para a negação de serviços, furto de propriedade intelectual ou propagação de desinformação, alguns países demonstraram sua disposição e capacidade para realizar atividades cibernéticas maliciosas tanto em tempos de crise quanto em períodos de relativa tranquilidade, incluindo o emprego de malware. Ataques à infraestrutura crítica de outros países, empresas de biotecnologia e instituições de pesquisa médica ressaltam a necessidade de priorizar a prevenção, melhorar a detecção e escalar os mecanismos de resposta nacional diante da crescente sofisticação dos cibercriminosos nesse campo. Questões como essas, são cada vez mais referidas como riscos de ciberbiosegurança.
Este artigo fornece uma visão geral das tendências e riscos críticos na interseção da cibersegurança e biosegurança. Em seguida, oferece recomendações de alto nível para lidar com esses riscos.
Motivadores de Ameaças
Os riscos nesse campo estão crescendo devido as várias tendências que serão explicadas brevemente, a seguir: avanços rápidos, democratização da biologia sintética, proliferação global de instalações de alta contenção, diversificação dos vetores de ataque e diversificação dos alvos biológicos.
Avanços Rápidos em Automação
A convergência de robótica, machine learning, computação em nuvem e biologia sintética abriu caminho para avanços positivos em abordagens automatizadas para a biologia, ao mesmo tempo que criou novas vulnerabilidades de ciberbiosegurança. Simultaneamente, o risco de acessos remotos não autorizados a dados biológicos sensíveis, processos e produtos também vem aumentando. A automação rapidamente se tornou a norma entre a pesquisa e a produção também. A automação em fluxos de trabalho de produção, documentação e testes de qualidade possibilitou a rápida conversão das instalações existentes de vacinas para fabricar bilhões de doses de vacinas de mRNA no ritmo e escala sem precedentes necessários para combater a COVID-19.
Democratização da Biologia Sintética
A inovação nos setores de ciências da vida e biotecnologia vem trazendo benefícios consideráveis, mas também riscos aumentados. A biologia sintética está mais acessível, barata e mais presente do que nunca. A síntese de novos patógenos perigosos foi facilitada pelos avanços tecnológicos, com o desenvolvimento ultrapassando, algumas vezes, a regulamentação.
Diversas tendências estão em jogo. Mais pessoas têm acesso e habilidades para realizar pesquisas de alto risco, em parte devido à queda significativa no preço da sequenciação e síntese de DNA nos últimos dez anos. Além disso, experimentos agora podem ser realizados remotamente por meio de laboratórios em nuvem, apresentando uma trajetória preocupante em direção à “desqualificação” da pesquisa, reduzindo alguns dos requisitos de conhecimento para conduzir protocolos de pesquisa sofisticados. Experimentação remota pode permitir que cibercriminosos contornem restrições éticas presentes em laboratórios acadêmicos tradicionais.
Proliferação Global de Instalações de Elevada Biosegurança
O número de instalações de elevada biossegurança em todo o mundo cresceu significativamente nas últimas três décadas, com quase sessenta instalações agora em operação. Esse aumento é impulsionado pela demanda por pesquisas de alto risco, que exige adesão rigorosa a procedimentos estabelecidos e supervisão adequada para garantir que sejam conduzidos com segurança. Setenta e cinco por cento (75%) dos laboratórios em todo o mundo estão localizados em centros urbanos. Enquanto, segundo o Índice Global de Segurança em Saúde, da Nuclear Threat Initiative, apenas um quarto dos países com laboratórios de biossegurança nível 4 (BSL-4) obtém altas pontuações em indicadores de melhores práticas para biosegurança. Laboratórios que utilizam sistemas de biossegurança baseados em nuvem podem representar um meio particularmente acessível para cibercriminosos explorarem. A rápida proliferação de laboratórios, especialmente em países com baixa pontuação em indicadores de melhores práticas de biossegurança, pode gerar numerosos alvos vulneráveis onde pesquisas de alto risco podem ser potencialmente roubadas, manipuladas ou liberadas.
Diversificação dos Vetores de Ataque (malware)
Vetores de ataque em ciberbiosegurança estão cada vez mais evidentes em registros públicos. Por exemplo, em 2017, uma equipe de pesquisadores incorporou um malware no DNA e conseguiu hackear um computador que tentava analisar dados genéticos. Embora o teste de malware tenha sido conduzido em um ambiente controlado e artificialmente vulnerável, alguns pesquisadores temem que cibercriminosos possam realizar ataques de malware através do DNA. A falha que possibilitou o hack ainda persiste: computadores leem códigos adicionais, neste caso ocultos nos dados genéticos, como comandos legítimos (também conhecidos como “buffer overflow attack”)1.
Ataques cibernéticos à infraestrutura crítica agora são caminhos comprovados para impactar a saúde pública. Em 2021, cibercriminosos manipularam os níveis químicos de instalações de tratamento de água na Flórida e na Califórnia, o que poderia ter representado um risco significativo para a saúde pública. Além disso, o uso generalizado de dispositivos conectados, como robôs de laboratório e sistemas de controle climático, torna os provedores de serviços médicos altamente vulneráveis a violações cibernéticas, furto e acesso não autorizado. Pesquisadores encontraram várias vulnerabilidades cibernéticas teóricas por meio de equipamentos conectados que poderiam, por exemplo, visar esforços de análise microbiana e, assim, prejudicar a capacidade de distinguir eventos naturais de eventos deliberados. Um grupo de cibercriminosos baseado nos EUA instalou um malware no sistema HVAC de um hospital no Texas e em dezenas de computadores com registros de pacientes. Sistemas HVAC parecem atualmente ser vetores potenciais de ataques, em particular, por meio de ransomwares.
Diversificação dos Alvos Biológicos
Especialistas em ciberbiosegurança há muito acompanham ameaças em vários setores. Da mesma forma, as vulnerabilidades cibernéticas parecem estar se expandindo para alvos biológicos dos mais diversos. A produção de alimentos tornou-se altamente aderente à tecnologia, com agricultores utilizando sensores remotos, automação, edge computing2 para aumentar a eficiência, o que aumentou a vulnerabilidade dos sistemas agrícolas a ameaças cibernéticas. Ataques cibernéticos à produção agrícola aumentaram, 607% de 2019 a 2020, resultando em interrupções na cadeia de suprimentos, incidentes de ransomware e roubo (furto) de propriedade intelectual. Um ciberataque a uma cooperativa agrícola em Minnesota interrompeu o pedido de ração para o gado, e uma cooperativa agrícola em Iowa foi atingida por ransomware, o que interrompeu as redes responsáveis pelos cronogramas de alimentação de frangos e gado, incluindo porcos. Em 2021, a JBS, uma das maiores empresas de processamento de carne do mundo, pagou um resgate de 11 milhões de dólares em resposta a um ataque que paralisou plantas, aumentou os preços da carne e levou a uma intervenção da Food and Drug Administration (FDA), dos EUA, para incentivar a produção em outras empresas.
Especialistas do Instituto de Proteção e Defesa Alimentar da Universidade de Minnesota observaram que incidentes cibernéticos também poderiam levar a alimentos contaminados, além de mais paralisações simultâneas de plantas do que aquelas vistas durante a pandemia de COVID-19. Alguns especialistas e autoridades expressaram preocupações de que, enquanto tecnologias de agricultura de precisão, como sensores GPS que orientam tratores para pulverizar misturas de fertilizantes otimizadas, e computadores conectados à internet que controlam precisamente a temperatura e a umidade em galpões comerciais de frangos, possibilitam a agricultura em grande escala eficiente, também fornecem vulnerabilidades que cibercriminosos poderiam explorar para sabotar culturas, envenenando campos ou matando rapidamente dezenas de milhares de aves ao interromper sistemas de controle ambiental, por exemplo.
Vulnerabilidades Críticas nos Estados Unidos
Os setores de ciências da vida e biotecnologia, devido aos seus programas de P&D altamente sensíveis, sistemas de manufatura distribuída, numerosos colaboradores externos e, em alguns casos, segurança relativamente fraca, estão entre os mais suscetíveis a ataques cibernéticos. As ameaças cibernéticas na saúde representam, nos EUA, 24,5% de todos os ataques, com cada violação custando uma média de 5 milhões de dólares. Um estudo de março de 2021 descobriu que quase 92% das organizações farmacêuticas pesquisadas sofreram pelo menos uma exposição de banco de dados. Ransomware e ataques de Denial of Service (DDoS) são tanto lucrativos quanto disruptivos para o atendimento ao paciente e a pesquisa.
Infelizmente, eventos durante a pandemia de COVID-19 mostraram as várias maneiras pelas quais cibercriminosos podem atacar as capacidades mais necessárias para responder a eventos biológicos significativos. Ciberataques interromperam cadeias de suprimentos críticas durante o auge da resposta à pandemia de COVID-19. Por exemplo, a empresa global Miltenyi Biotec sofreu uma interrupção de duas semanas em novembro de 2020 enquanto sequenciava amostras de COVID. No mesmo mês, a Americold, a maior operadora de armazenamento a frio nos Estados Unidos, estava em negociações para fornecer armazenamento para a distribuição de vacinas contra a COVID-19 quando sofreu um ciberataque. O ataque de malware NotPetya, vinculado à Rússia, em 2017, nos sistemas centrais de computadores da Merck levou a empresa a perder o controle de mais de 30.000 computadores e a criptografia de dados críticos em vendas, pesquisa e fabricação. A Merck também sofreu uma interrupção de duas semanas nos computadores usados na produção de vacinas contra Hepatite B e Papilomavírus Humano, resultando em escassez global de suprimentos.
Embora esses exemplos tenham mostrado tipos relativamente diretos de ataques, como ransomware, roubo de propriedade intelectual e negação de serviço distribuído, vários outros tipos de vulnerabilidades já estão se tornando aparentes nos Estados Unidos, conforme observado abaixo.
Engenharia Genômica Maliciosa
Vulnerabilidades conhecidas na sequenciação de DNA sintético continuam não resolvidas. Em novembro de 2020, pesquisadores israelenses publicaram a descoberta de uma vulnerabilidade ativa onde um bioengenheiro poderia, sem saber, encomendar DNA sintético que havia sido adulterado por malware em seu computador. O DNA adulterado do pesquisador contornou com sucesso o software de triagem, apesar do DNA ofuscado codificar um peptídeo tóxico. Se o bioengenheiro tivesse usado o DNA manipulado em experimentos de transformação celular, ele teria criado proteínas prejudiciais sem saber. Pode-se imaginar ataques desse tipo contra fabricantes de biológicos ou ingredientes igualmente importantes que poderiam colocar a saúde pública em risco. Da mesma forma, embora isso exigiria um cibercriminoso com um alto nível de sofisticação (pelo menos com as tecnologias atuais), ataques cibernéticos sofisticados a sistemas de segurança poderiam incluir a manipulação de sequências genômicas eletrônicas para aumentar a infectividade, resistência a medicamentos ou faixa de hospedeiros de microrganismos.
Uso Indevido de Dados Biológicos
Os cidadãos estão cada vez mais expostos a ameaças cibernéticas que visam dados médicos e de ciências da vida. O valor dos registros médicos de pacientes no mercado negro chega a até 1.000 dólares por registro, quase dez vezes o valor de dados de cartões de crédito e números de seguridade social. Esse mercado lucrativo torna os registros médicos um alvo principal para exploração, permitindo roubo de identidade médica, fraude financeira e extorsão. Além disso, a compromissos da integridade ou disponibilidade de conjuntos de amostras, como grandes biobancos e coleções de amostras biológicas históricas, ou conjuntos de dados únicos, de períodos críticos específicos, poderia representar uma perda irreparável para a ciência e pesquisa.
A captura e manipulação de dados genômicos também é um risco crescente devido à proliferação da medicina personalizada. Com o advento do CRISPR e outras tecnologias de edição genética, nos próximos anos será mais fácil criar versões personalizadas, mais letais ou resistentes de patógenos conhecidos. Os grandes volumes de dados genéticos privados poderiam ser usados para guerra biológica ou outros propósitos indesejáveis. Genomas de patógenos não estão apenas desprotegidos, mas muitas vezes são ativamente exigidos para serem divulgados publicamente por mandatos de financiadores. Métodos para passar de sequências para vírus viáveis estão cada vez mais ao alcance de muitos laboratórios.
Intrusões em Dispositivos Médicos
A indústria de dispositivos médicos continua atrasada na defesa contra ataques cibernéticos em equipamentos críticos para a vida. Bombas de insulina, marcapassos e desfibriladores cardioversores implantáveis com capacidades sem fio têm sido alvo de escrutínio da mídia desde a década de 2010 devido ao seu potencial de serem hackeados para fornecer um choque letal ao usuário, seja em volts de eletricidade ou doses de insulina. Embora especialistas em segurança observem que a indústria de equipamentos médicos tenha tomado medidas proativas para abordar preocupações com cibersegurança, resolver problemas de segurança ainda é uma batalha difícil. Uma empresa de bombas de insulina emitiu um programa de recall voluntário em 2018 apenas após o desenvolvimento e demonstração de um aplicativo de hackeamento de bombas por pesquisadores de segurança para oficiais da FDA, apesar de a empresa estar ciente dos problemas de segurança por um período prolongado.
Lei Geral de Proteção de Dados (LGPD)
Embora, ainda nos dias de hoje, pessoas se refiram à Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709, ela não é tão nova assim, já sua publicação ocorreu em 14 de agosto de 2018. Fato é que esta Lei é transversal em toda a sociedade e não deixa de fora empresas de biotecnologia e instituições de pesquisa.
Cabe destacar que o guarda-chuva da LGPD não abrange dados anonimizados e dados comerciais, não relacionados a uma pessoa física. Quando uma organização genuinamente decide se adequar a esta Lei ou a qualquer instrumento similar em outros países, ela passa por uma revisão apurada de processos e fluxos, facilitando indiscutivelmente o emprego de ações direcionadas à ciberbiosegurança.
No conceito mais amplo sobre tratamento (Inciso X, do Art. 5.º, da LGPD), as empresas de biotecnologia e instituições de pesquisa que tratam dados pessoais precisam observar a boa-fé e os princípios previstos no Art. 6.º, com destaque para o princípio da segurança. Este prevê que os agentes de tratamento3 utilizem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
O Artigo 46 também é bastante relevante já que determina que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito.
Recomendações
Diante dessas ameaças crescentes, é imperativo que os países, com destaque para o Brasil, reforcem a segurança dos ativos de biosegurança domésticos e fomentem a cooperação internacional. Ao fazer isso, não apenas os interesses do Brasil serão protegidos, mas também serão obtidas percepções sobre a evolução das ameaças cibernéticas globais, reforçando a preparação e as capacidades de resposta estratégica.
Governança e Legislação
Os dados genômicos humanos relacionados a um indivíduo específico são considerados dados pessoais sensíveis e estão sujeitos à LGPD. Já dados genômicos industriais têm salvaguardas limitadas sob a lei de propriedade intelectual. Abordar a cibersegurança dos dados genômicos exigirá leis de privacidade rigorosas e medidas de segurança robustas, ao mesmo tempo, em que promove a inovação responsável e o compartilhamento de dados na comunidade científica.
O governo também deve considerar a designação da bioeconomia e do setor de biotecnologia como infraestrutura crítica para expandir o acesso dessas entidades a financiamento e proteção adicionais. Para evitar interrupções catastróficas, a agricultura digital deve ser integrada à proteção da infraestrutura crítica. Diretrizes que auxiliem os agricultores a proteger equipamentos de precisão exploráveis e controles para instalações de gado, semelhantes ao programa de avaliação de cibersegurança para o setor agrícola do Canadá de 2021, podem proteger os suprimentos alimentares.
Elevação dos Padrões de Pesquisa de Alto Risco
Os frameworks de orientação existentes para gestão de biorisco em laboratórios (incluindo laboratórios de alta contenção), como o recurso Biosafety in Microbiological and Biomedical Laboratories dos CDC dos EUA e o Manual de Biossegurança de Laboratório da OMS, não incluem riscos cibernéticos. Biolabs e entidades que os supervisionam devem reforçar a mitigação de riscos cibernéticos em coordenação com frameworks de gestão de biorisco para minimizar tanto a probabilidade quanto o impacto de ataques cibernéticos. Por exemplo, protocolos de resposta rápida a incidentes e backups robustos podem diminuir o impacto de um ataque.
Construindo Conscientização sobre Ameaças
Construir confiança pública e combater a desinformação por meio da disseminação de informações precisas são componentes vitais de uma resposta eficaz a ameaças biológicas. Sendo assim, é mandatório desenvolvermos campanhas de comunicação coordenadas, a fim de melhorar a compreensão e conscientização pública sobre riscos biológicos naturais, deliberados e acidentais.
Conclusão
As ameaças no ambiente cibernético-biológico exigem atenção imediata e respostas políticas robustas. Os esforços legislativos e regulatórios devem se concentrar em aprimorar a cibersegurança em setores críticos como saúde, biotecnologia e infraestrutura. Além disso, um controle e supervisão mais rigorosos de laboratórios de biossegurança, aumento do compartilhamento de informações e governança eficaz dos dados genômicos são essenciais. Equilibrar medidas de segurança com a necessidade de inovação e compartilhamento responsável de dados é crucial.
Notas de Rodapé
- Buffer overflow attack: é caracterizado pela sobrescrição de fragmentos de memória do processo, que nunca deveriam ter sido modificados intencionalmente. A sobrescrição dos valores do IP (Instruction Pointer), BP (Base Pointer) e outros registradores causa exceções, falhas de segmentação dentre outros erros. ↩︎
- Edge Computing: é uma arquitetura de computação que traz o processamento de dados mais próximo da fonte de dados, em vez de depender exclusivamente de servidores centrais ou na nuvem. Em vez de enviar todos os dados para um data center remoto para processamento, a ideia é processar os dados localmente, em dispositivos ou sistemas próximos ao local onde os dados são gerados. ↩︎
- Agentes de Tratamento: o controlador e o operador. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. ↩︎