Upload
arthur-paixao
View
291
Download
0
Embed Size (px)
Citation preview
[IN]Segurança em Hospitais
| Arthur Paixão | RE:Load Night |
I’m not…
• Não sou hacker.
• Não sou nerd.
• Não trabalho com segurança.
• Não hackeio facebook, twitter e derivados.
• Muito menos vou pegar a senha de algum conhecido seu para ver “algo”.
Who am i?
• Formado no Curso Técnico em ADS-UNIBRATEC.
• Graduando em Segurança da Informação – FG.
• Engenheiro de Software Sênior – MV s/a.
• CTF Player [SCR34M0].
• Vencedor do Hackaflag (Symantec) - Recife 2015.
#CTF-BR
#RTFM
Agenda
• A internet e seus avanços.
• A era dos “Cybercrimes”.
• Vulnerabilidades em Aplicações.
• [IN]Segurança em Hospitais.
• De quem é a culpa?
• Falta de Informação VS Melhor preparação.
• Medidas de Segurança.
• Referências.
Calanguinho e
suas perguntas...
A internet e seus avanços…
• Desde antigamente o homem usou meios nativos para se comunicar e transmitir
conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos
para difundir a comunicação, esses meios modificaram a maneira como as pessoas se
interagem atualmente, pois deu um salto na agilidade e diversificou a escala na
disseminação da informação.
Mó legal saber sobre os avanços da internet, mas o que
isso tem haver com hospitais?
A Era dos “Cybecrimes”
Filme “WHOAMI”:
http://www.imdb.com/title/tt3042408/
Filme “Mr. Robot”:
http://www.imdb.com/title/tt4158110/
A Era dos “Cybecrimes”
http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk
A Era dos “Cybecrimes”
http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais
A Era dos “Cybecrimes”
https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3
A Era dos “Cybecrimes”
https:/thehackernews.com
O que poderia motivar estes ataques?
What motivates me?
• Diversão
• Black Hats
• HackAtivistas
• Hackers Patrocinados pelo Estado
• Espionagem
• Terrorismo
Já sabemos que ocorrem ataques todos os dias, porém
o que hospitais tem haver com isso?
Já parou para pensar se suas informações pessoais e
confidências fossem expostas na internet?
Exposição de Dados
http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361
Exposição de Dados
http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html
Beleza, agora já sei que se minhas informações
pessoais forem expostas na internet é perigoso, mas o
que hospitais tem haver com isso?
[IN]Segurança em Hospitais
• As tendências de compartilhamento de informações médicas procuram atingir
um melhor resultado nos tratamentos dos pacientes, considerando-se que esta
meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca
de informações entre os diversos especialistas e redução nos custos gerais.
[IN]Segurança em Hospitais
• Uma pesquisa recente da InfoMoney mostra que a população brasileira tem
consciência quanto aos riscos de ter seus dados pessoais expostos em
instituições de saúde:
“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela
perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados
pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas
da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o
setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados
pessoais”
Ahhh, estou começando a entender... Mas esta
pesquisa realmente está falando a verdade?
[IN]Segurança em Hospitais
http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html
[IN]Segurança em Hospitais
http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html
[IN]Segurança em Hospitais
http://money.cnn.com/2015/07/17/technology/ucla-health-hack/
[IN]Segurança em Hospitais
http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors-
in-hospital-networks.html
[IN]Segurança em Hospitais
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
[IN]Segurança em Hospitais
http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/
[IN]Segurança em Hospitais
Informações Pessoais X Informações Clinicas
Fudeeeerosooo Veey!! Mas como os hospitais trocam
essas informações?
[IN]Segurança em Hospitais
• Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”
http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl
[IN]Segurança em Hospitais
• Como os hospitais
tem acesso as
informações?
Vulnerabilidades em Aplicações
• Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sériasde acordo com políticas de segurança das empresas.
• OWASP Top 10
87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principaisfalhas de segurança em aplicações web.
• SANS Top 25
69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhasde software.
E assim surgem alguns questionamentos...
[IN]Segurança em Hospitais
• 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de
permissão de acesso?
• 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?
• 3. As bases de dados usadas permitem salvar os dados de forma encriptada?
• 4. As instituições possuem infraestrutura de segurança capaz de proteger estas
informações de ataques cibernéticos externos?
[IN]Segurança em Hospitais
• 5. Os meios de comunicação permitem o uso de encriptação?
• 6. Quais serão as regras que definirão qual profissional de saúde terá acesso aosdados do paciente e a seu prontuário?
• 7. É necessária uma gestão centralizada destes acessos ou este controle podeser descentralizado?
• 8. Os pacientes precisarão estar cientes deste intercâmbio de informações e oautorizarem previamente?
[IN]Segurança em Hospitais
Mas de quem é a culpa?
A culpa é...
Melhores Argumentos #SQN
• Contratei uma boa empresa
Empresas de desenvolvimento de software geralmente não dominam práticas de segurança emdesenvolvimento de software.
• Segurança aumenta o custo
Segurança não é opcional. O desenvolvimento deve compreender as práticas dedesenvolvimento seguro e entregar software com qualidade.
• Tenho bons programadores
Bons programadores sem a devida capacitação desconhecem práticas de segurança desoftware.
• Meu sistema é seguro
Seu maior problema é a ignorância, causada pela falta de informação.
Nós não estamos preparados...
• Requisitos fracos
Segurança ainda não é claramente definido como requisito fundamental em projetos dedesenvolvimento de software.
• Baixo investimento
As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurançaem desenvolvimento de software.
• Não existe proatividade
A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando aspráticas de segurança em desenvolvimento de software.
A culpa é minha mesmo...
Existe alguma lei que poderia nos dar uma maior
'proteção'?
[IN]Segurança em Hospitais
Health Insurance Portability and Accountability Act - 1996
[IN]Segurança em Hospitais
PCI
SOX
Regras de
Privacidade
HIPAA
HL7
ISO 27799
Good pratices, where are you?
• Elabore um plano de ação.
• Conscientize os funcionários.
• Teste a segurança de aplicações que já existem.
• Contrate uma consultoria especializada.
• Valorize os resultados positivos.
• Invista na continuidade do processo.
Massa fera!! Existe algum ciclo de desenvolvimento que
poderia nos auxiliar?
Security Development Lifecycle
Beleza, mas existe alguma medida de segurança?
Medidas de Segurança
• Acesso físico.
• Conscientização e Controle de Acesso.
• Identificação do paciente e de procedimentos.
• Uso de informações criptografadas.
• Hardening de Estações, Servidores e Dispositivos de Rede.
• Prevenção contra virus e malwares.
• Adotar e SEGUIR uma politica de segurança.
• Ter um CSIRT em caso de incidentes.
• Secure List:
https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/
• Artigo:
http://www.sbis.org.br/cbis11/arquivos/910.pdf
• CMS – Centers for Medicare & Medicaid Services (cms.gov)
• Caso da Maior Violação as Regras HIPPA (Hospital Texas)
http://www.healthcareitnews.com/news/texas-hipaa-breach-blunder-affects-277k?topic=18
• Pesquisa InfoMoney
http://www.infomoney.com.br/minhas-financas/planeje-suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam-com-violacaodados-instituicoes-saude
• Normas HIPPA e ISO 27002
• InterSystems HealthShare
http://www.intersystems.com/casestudies/by-product.html#healthshare
http://www.intersystems.com/press/2012/SHIN-NY-Partner.html
Referências
That's all
folks!
• Twitter: @arthurpaixao
• Linkedin:
linkedin.com/in/arthurpaixao
• Blog: www.arthurpaixao.com.br/blog/