[IN]Segurança em Hospitais

[IN]Segurança em Hospitais

| Arthur Paixão | RE:Load Night |

I’m not…

• Não sou hacker.

• Não sou nerd.

• Não trabalho com segurança.

• Não hackeio facebook, twitter e derivados.

• Muito menos vou pegar a senha de algum conhecido seu para ver “algo”.

Who am i?

• Formado no Curso Técnico em ADS-UNIBRATEC.

• Graduando em Segurança da Informação – FG.

• Engenheiro de Software Sênior – MV s/a.

• CTF Player [SCR34M0].

• Vencedor do Hackaflag (Symantec) - Recife 2015.

#CTF-BR

#RTFM

Agenda

• A internet e seus avanços.

• A era dos “Cybercrimes”.

• Vulnerabilidades em Aplicações.

• [IN]Segurança em Hospitais.

• De quem é a culpa?

• Falta de Informação VS Melhor preparação.

• Medidas de Segurança.

• Referências.

Calanguinho e

suas perguntas...

A internet e seus avanços…

• Desde antigamente o homem usou meios nativos para se comunicar e transmitir

conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos

para difundir a comunicação, esses meios modificaram a maneira como as pessoas se

interagem atualmente, pois deu um salto na agilidade e diversificou a escala na

disseminação da informação.

Mó legal saber sobre os avanços da internet, mas o que

isso tem haver com hospitais?

A Era dos “Cybecrimes”

Filme “WHOAMI”:

http://www.imdb.com/title/tt3042408/

Filme “Mr. Robot”:

http://www.imdb.com/title/tt4158110/


http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk


http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais


https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3


https:/thehackernews.com

O que poderia motivar estes ataques?

What motivates me?

• Diversão

• Black Hats

• HackAtivistas

• Hackers Patrocinados pelo Estado

• Espionagem

• Terrorismo

Já sabemos que ocorrem ataques todos os dias, porém

o que hospitais tem haver com isso?

Já parou para pensar se suas informações pessoais e

confidências fossem expostas na internet?

Exposição de Dados

http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361

Exposição de Dados

http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html

Beleza, agora já sei que se minhas informações

pessoais forem expostas na internet é perigoso, mas o

que hospitais tem haver com isso?


• As tendências de compartilhamento de informações médicas procuram atingir

um melhor resultado nos tratamentos dos pacientes, considerando-se que esta

meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca

de informações entre os diversos especialistas e redução nos custos gerais.


• Uma pesquisa recente da InfoMoney mostra que a população brasileira tem

consciência quanto aos riscos de ter seus dados pessoais expostos em

instituições de saúde:

“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela

perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados

pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas

da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o

setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados

pessoais”

Ahhh, estou começando a entender... Mas esta

pesquisa realmente está falando a verdade?


http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html


http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html


http://money.cnn.com/2015/07/17/technology/ucla-health-hack/


http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors-

in-hospital-networks.html


http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/


http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/


Informações Pessoais X Informações Clinicas

Fudeeeerosooo Veey!! Mas como os hospitais trocam

essas informações?


• Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”

http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl


• Como os hospitais

tem acesso as

informações?

Vulnerabilidades em Aplicações

• Política de Segurança

70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sériasde acordo com políticas de segurança das empresas.

• OWASP Top 10

87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principaisfalhas de segurança em aplicações web.

• SANS Top 25

69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhasde software.

E assim surgem alguns questionamentos...


• 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de

permissão de acesso?

• 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?

• 3. As bases de dados usadas permitem salvar os dados de forma encriptada?

• 4. As instituições possuem infraestrutura de segurança capaz de proteger estas

informações de ataques cibernéticos externos?


• 5. Os meios de comunicação permitem o uso de encriptação?

• 6. Quais serão as regras que definirão qual profissional de saúde terá acesso aosdados do paciente e a seu prontuário?

• 7. É necessária uma gestão centralizada destes acessos ou este controle podeser descentralizado?

• 8. Os pacientes precisarão estar cientes deste intercâmbio de informações e oautorizarem previamente?

Mas de quem é a culpa?

A culpa é...

Melhores Argumentos #SQN

• Contratei uma boa empresa

Empresas de desenvolvimento de software geralmente não dominam práticas de segurança emdesenvolvimento de software.

• Segurança aumenta o custo

Segurança não é opcional. O desenvolvimento deve compreender as práticas dedesenvolvimento seguro e entregar software com qualidade.

• Tenho bons programadores

Bons programadores sem a devida capacitação desconhecem práticas de segurança desoftware.

• Meu sistema é seguro

Seu maior problema é a ignorância, causada pela falta de informação.

Nós não estamos preparados...

• Requisitos fracos

Segurança ainda não é claramente definido como requisito fundamental em projetos dedesenvolvimento de software.

• Baixo investimento

As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurançaem desenvolvimento de software.

• Não existe proatividade

A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando aspráticas de segurança em desenvolvimento de software.

A culpa é minha mesmo...

Existe alguma lei que poderia nos dar uma maior

'proteção'?


Health Insurance Portability and Accountability Act - 1996


PCI

SOX

Regras de

Privacidade

HIPAA

HL7

ISO 27799

Good pratices, where are you?

• Elabore um plano de ação.

• Conscientize os funcionários.

• Teste a segurança de aplicações que já existem.

• Contrate uma consultoria especializada.

• Valorize os resultados positivos.

• Invista na continuidade do processo.

Massa fera!! Existe algum ciclo de desenvolvimento que

poderia nos auxiliar?

Security Development Lifecycle

Beleza, mas existe alguma medida de segurança?

Medidas de Segurança

• Acesso físico.

• Conscientização e Controle de Acesso.

• Identificação do paciente e de procedimentos.

• Uso de informações criptografadas.

• Hardening de Estações, Servidores e Dispositivos de Rede.

• Prevenção contra virus e malwares.

• Adotar e SEGUIR uma politica de segurança.

• Ter um CSIRT em caso de incidentes.

• Secure List:

https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/

• Artigo:

http://www.sbis.org.br/cbis11/arquivos/910.pdf

• CMS – Centers for Medicare & Medicaid Services (cms.gov)

• Caso da Maior Violação as Regras HIPPA (Hospital Texas)

http://www.healthcareitnews.com/news/texas-hipaa-breach-blunder-affects-277k?topic=18

• Pesquisa InfoMoney

http://www.infomoney.com.br/minhas-financas/planeje-suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam-com-violacaodados-instituicoes-saude

• Normas HIPPA e ISO 27002

• InterSystems HealthShare

http://www.intersystems.com/casestudies/by-product.html#healthshare

http://www.intersystems.com/press/2012/SHIN-NY-Partner.html

Referências

That's all

folks!

• Twitter: @arthurpaixao

• Linkedin:

linkedin.com/in/arthurpaixao

• Blog: www.arthurpaixao.com.br/blog/

[IN]Segurança em Hospitais

Technology

Transcript of [IN]Segurança em Hospitais