[in]segurança em hospitais

[IN]Segurança em Hospitais

(RECIFE GEEK NIGHT)

I’m not…

▪ Não sou hacker.

▪ Não sou nerd.

▪ Não trabalho com segurança.

▪ Não hackeio facebook, twitter e derivados.

▪ Muito menos vou pegar a senha de e-mail da sua namorada(o).

Who am i?

▪ Formado no Curso Técnico em ADS-UNIBRATEC.

▪ Graduando em Segurança da Informação – FG.

▪ Engenheiro de Software Sênior – MV s/a.

▪ CTF Player [SCR34M0].

▪ Vencedor do Hackaflag (Symantec) - Recife 2015.

▪ 5º Colocado na edição nacional do H4ck4fl4g.

#CTF-BR

#RTFM

Agenda

▪ A internet e seus avanços.

▪ A era dos “Cybercrimes”.

▪ Vulnerabilidades em Aplicações.

▪ [IN]Segurança em Hospitais.

▪ De quem é a culpa?

▪ Falta de Informação VS Melhor preparação.

▪ Medidas de Segurança.

▪ Referências.

A internet e seus avanços

▪ Desde antigamente o homem usou meios nativos para se comunicar e transmitirconhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos paradifundir a comunicação, esses meios modificaram a maneira como as pessoas seinteragem atualmente, pois deu um salto na agilidade e diversificou a escala nadisseminação da informação.

Mó legal saber sobre os avanços da internet, mas o que isso

tem haver com hospitais?

A Era dos “Cybecrimes”

Filme “WHOAMI”:

http://www.imdb.com/title/tt3042408/

Filme “Mr. Robot”:

http://www.imdb.com/title/tt4158110/


https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3


http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais


http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk

Já sabemos que ocorrem ataques todos os dias, porém o que

hospitais tem haver com isso?

Já parou para pensar se suas informações pessoais e confidencias

fossem expostas na internet?

Exposição de Dados

http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361

Exposição de Dados

http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html

Beleza, agora já sei que se minhas informações pessoais

forem expostas na internet é perigoso, mas o que hospitais

tem haver com isso?

Vulnerabilidades em Aplicações

▪ Política de Segurança

70% das aplicações testadas possuem uma ou mais falhas de segurançaconsideradas sérias de acordo com políticas de segurança das empresas.

▪ OWASP Top 10

87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10principais falhas de segurança em aplicações web.

▪ SANS Top 25

69% das aplicações testadas possuem uma ou mais classificadas entre as 25principais falhas de software.


▪ As tendências de compartilhamento de informações médicas procuramatingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e maisrápidos, maior troca de informações entre os diversos especialistas eredução nos custos gerais.


▪ Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciênciaquanto aos riscos de ter seus dados pessoais expostos em instituições de saúde:

“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como

um dos mais seguros no que diz respeito à proteção dos dados pessoais”

Ahhh, estou começando a entender... Mas esta pesquisa

realmente está falando a verdade?


http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html


http://money.cnn.com/2015/07/17/technology/ucla-health-hack/


http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors-

in-hospital-networks.html


http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html


http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/


Informações Pessoais X Informações Clinicas


InformaçõesPessoais.equals(“DINHEIRO”);

InformaçõesClinicas.equals(“???”);

Fudeeeerosooo Veey!! Mas como os hospitais trocam essas

informações?


▪ O uso da internet como beneficio:

▪ A internet como meio de comunicação estabelecido e popularizado, somada aoprotocolo HTTP, a linguagem HTML, ao E-mail e as demais tecnologias WEB,viabilizaram a troca de conhecimento, acelerando a colaboração nas pesquisasmédicas e também favoreceram a criação de sistemas que, baseados nestastecnologias, pudessem ser operados a partir de uma interface comum dequalquer estação com acesso a internet.

▪ Com base na mesma plataforma, sistemas hospitalares que disponibilizamresultados de exames para os pacientes e profissionais de saúde, agregam valoraos serviços prestados.


▪ Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”

http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl


▪ Como os hospitais tem acesso as informações?

E assim surgem alguns questionamentos...


▪ 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de permissãode acesso?

▪ 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?

▪ 3. A solução tecnológica deve caminhar para um sistema centralizado que interaja econtrole as diversas informações distribuídas?

▪ 4. As bases de dados usadas permitem salvar os dados de forma encriptada?

▪ 5. As instituições possuem infraestrutura de segurança capaz de proteger estasinformações de ataques cibernéticos externos?


▪ 6. Os meios de comunicação permitem o uso de encriptação?

▪ 7. Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados dopaciente e a seu prontuário?

▪ 8. É necessária uma gestão centralizada destes acessos ou este controle pode serdescentralizado?

▪ 9. Este controle deve estar sob responsabilidade de instituições governamentais ou instituiçõesprivadas?

▪ 10. Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarempreviamente?

Mas de quem é a culpa?

A culpa é...

O maior problema é a falta de informação!

▪ Contratei uma boa empresa

Empresas de desenvolvimento de software geralmente não dominampráticas de segurança em desenvolvimento de software.

▪ Segurança aumenta o custo

Segurança não é opcional. O desenvolvimento deve compreender aspráticas de desenvolvimento seguro e entregar software com qualidade.

▪ Tenho bons programadores

Bons programadores sem a devida capacitação desconhecem práticas desegurança de software.

Nós não estamos preparados...

▪ Requisitos fracos

Segurança ainda não é claramente definido como requisito fundamental emprojetos de desenvolvimento de software.

▪ Baixo investimento

As organizações ainda não acreditam nos benefícios trazidos por boaspráticas de segurança em desenvolvimento de software.

▪ Não existe proatividade

A maioria das organização ainda acredita que apenas testar é suficiente,negligenciando as práticas de segurança em desenvolvimento de software.

A culpa é minha mesmo...

Se existe sindicatos para proteger os trabalhores... Existe

alguma lei que poderia nos dar uma 'proteção'?


Health Insurance Portability and Accountability Act - 1996


PCI

SOX

Regras de Privacidade

HIPAA

HL7

ISO 27799

Massa fera!! Existe algum ciclo que poderia ser eficaz e garantir

uma maior proteção desses dados?

Nós não estamos preparados...

▪ 1. Identify Systems At Risk

▪ 2. Information Gathering and

Planning

▪ 3. Evaluate Risk & Vulnerability

▪ 4. Identify Possible Solutions

(Controls / Mitigation)

▪ 5. Determine Feasibility &

Acceptable Risk

▪ 6. Roadmap Prioritization

▪ 7. Execute the Plan

▪ 8 . Repeat

Beleza, mas existe alguma medida de segurança?

Medidas de Segurança

▪ Acesso físico.

▪ Conscientização e Controle de Acesso.

▪ Identificação do paciente e de procedimentos.

▪ Uso de informações criptografadas.

▪ Hardening de Estações, Servidores e Dispositivos de Rede.

▪ Prevenção contra virus e malwares.

▪ Adotar e SEGUIR uma politica de segurança.

▪ Ter um CSIRT em caso de incidentes.

Referências

▪ Secure List:

https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/

▪ Artigo:

http://www.sbis.org.br/cbis11/arquivos/910.pdf

▪ CMS – Centers for Medicare & Medicaid Services (cms.gov)

▪ Caso da Maior Violão as Regras HIPPA (Hospital Texas)

http://www.healthcareitnews.com/news/texas-hipaa-breach-blunder-affects-277k?topic=18

▪ Pesquisa InfoMoney

http://www.infomoney.com.br/minhas-financas/planeje-suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam-com-violacaodados-instituicoes-saude

▪ Normas HIPPA e ISO 27002

▪ InterSystems HealthShare

http://www.intersystems.com/casestudies/by-product.html#healthshare

http://www.intersystems.com/press/2012/SHIN-NY-Partner.html

That's all folks!

▪ Twitter: @arthurpaixao

▪ Linkedin: linkedin.com/in/arthurpaixao

▪ Blog: www.arthurpaixao.com.br/blog/

[in]segurança em hospitais

Technology