I’m not…
▪ Não sou hacker.
▪ Não sou nerd.
▪ Não trabalho com segurança.
▪ Não hackeio facebook, twitter e derivados.
▪ Muito menos vou pegar a senha de e-mail da sua namorada(o).
Who am i?
▪ Formado no Curso Técnico em ADS-UNIBRATEC.
▪ Graduando em Segurança da Informação – FG.
▪ Engenheiro de Software Sênior – MV s/a.
▪ CTF Player [SCR34M0].
▪ Vencedor do Hackaflag (Symantec) - Recife 2015.
▪ 5º Colocado na edição nacional do H4ck4fl4g.
#CTF-BR
#RTFM
Agenda
▪ A internet e seus avanços.
▪ A era dos “Cybercrimes”.
▪ Vulnerabilidades em Aplicações.
▪ [IN]Segurança em Hospitais.
▪ De quem é a culpa?
▪ Falta de Informação VS Melhor preparação.
▪ Medidas de Segurança.
▪ Referências.
A internet e seus avanços
▪ Desde antigamente o homem usou meios nativos para se comunicar e transmitirconhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos paradifundir a comunicação, esses meios modificaram a maneira como as pessoas seinteragem atualmente, pois deu um salto na agilidade e diversificou a escala nadisseminação da informação.
A Era dos “Cybecrimes”
Filme “WHOAMI”:
http://www.imdb.com/title/tt3042408/
Filme “Mr. Robot”:
http://www.imdb.com/title/tt4158110/
A Era dos “Cybecrimes”
http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais
A Era dos “Cybecrimes”
http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk
Exposição de Dados
http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361
Exposição de Dados
http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html
Beleza, agora já sei que se minhas informações pessoais
forem expostas na internet é perigoso, mas o que hospitais
tem haver com isso?
Vulnerabilidades em Aplicações
▪ Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurançaconsideradas sérias de acordo com políticas de segurança das empresas.
▪ OWASP Top 10
87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10principais falhas de segurança em aplicações web.
▪ SANS Top 25
69% das aplicações testadas possuem uma ou mais classificadas entre as 25principais falhas de software.
[IN]Segurança em Hospitais
▪ As tendências de compartilhamento de informações médicas procuramatingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e maisrápidos, maior troca de informações entre os diversos especialistas eredução nos custos gerais.
[IN]Segurança em Hospitais
▪ Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciênciaquanto aos riscos de ter seus dados pessoais expostos em instituições de saúde:
“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como
um dos mais seguros no que diz respeito à proteção dos dados pessoais”
[IN]Segurança em Hospitais
http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html
[IN]Segurança em Hospitais
http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors-
in-hospital-networks.html
[IN]Segurança em Hospitais
http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html
[IN]Segurança em Hospitais
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
[IN]Segurança em Hospitais
InformaçõesPessoais.equals(“DINHEIRO”);
InformaçõesClinicas.equals(“???”);
[IN]Segurança em Hospitais
▪ O uso da internet como beneficio:
▪ A internet como meio de comunicação estabelecido e popularizado, somada aoprotocolo HTTP, a linguagem HTML, ao E-mail e as demais tecnologias WEB,viabilizaram a troca de conhecimento, acelerando a colaboração nas pesquisasmédicas e também favoreceram a criação de sistemas que, baseados nestastecnologias, pudessem ser operados a partir de uma interface comum dequalquer estação com acesso a internet.
▪ Com base na mesma plataforma, sistemas hospitalares que disponibilizamresultados de exames para os pacientes e profissionais de saúde, agregam valoraos serviços prestados.
[IN]Segurança em Hospitais
▪ Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”
http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl
[IN]Segurança em Hospitais
▪ 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de permissãode acesso?
▪ 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?
▪ 3. A solução tecnológica deve caminhar para um sistema centralizado que interaja econtrole as diversas informações distribuídas?
▪ 4. As bases de dados usadas permitem salvar os dados de forma encriptada?
▪ 5. As instituições possuem infraestrutura de segurança capaz de proteger estasinformações de ataques cibernéticos externos?
[IN]Segurança em Hospitais
▪ 6. Os meios de comunicação permitem o uso de encriptação?
▪ 7. Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados dopaciente e a seu prontuário?
▪ 8. É necessária uma gestão centralizada destes acessos ou este controle pode serdescentralizado?
▪ 9. Este controle deve estar sob responsabilidade de instituições governamentais ou instituiçõesprivadas?
▪ 10. Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarempreviamente?
O maior problema é a falta de informação!
▪ Contratei uma boa empresa
Empresas de desenvolvimento de software geralmente não dominampráticas de segurança em desenvolvimento de software.
▪ Segurança aumenta o custo
Segurança não é opcional. O desenvolvimento deve compreender aspráticas de desenvolvimento seguro e entregar software com qualidade.
▪ Tenho bons programadores
Bons programadores sem a devida capacitação desconhecem práticas desegurança de software.
Nós não estamos preparados...
▪ Requisitos fracos
Segurança ainda não é claramente definido como requisito fundamental emprojetos de desenvolvimento de software.
▪ Baixo investimento
As organizações ainda não acreditam nos benefícios trazidos por boaspráticas de segurança em desenvolvimento de software.
▪ Não existe proatividade
A maioria das organização ainda acredita que apenas testar é suficiente,negligenciando as práticas de segurança em desenvolvimento de software.
Se existe sindicatos para proteger os trabalhores... Existe
alguma lei que poderia nos dar uma 'proteção'?
Nós não estamos preparados...
▪ 1. Identify Systems At Risk
▪ 2. Information Gathering and
Planning
▪ 3. Evaluate Risk & Vulnerability
▪ 4. Identify Possible Solutions
(Controls / Mitigation)
▪ 5. Determine Feasibility &
Acceptable Risk
▪ 6. Roadmap Prioritization
▪ 7. Execute the Plan
▪ 8 . Repeat
Medidas de Segurança
▪ Acesso físico.
▪ Conscientização e Controle de Acesso.
▪ Identificação do paciente e de procedimentos.
▪ Uso de informações criptografadas.
▪ Hardening de Estações, Servidores e Dispositivos de Rede.
▪ Prevenção contra virus e malwares.
▪ Adotar e SEGUIR uma politica de segurança.
▪ Ter um CSIRT em caso de incidentes.
Referências
▪ Secure List:
https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/
▪ Artigo:
http://www.sbis.org.br/cbis11/arquivos/910.pdf
▪ CMS – Centers for Medicare & Medicaid Services (cms.gov)
▪ Caso da Maior Violão as Regras HIPPA (Hospital Texas)
http://www.healthcareitnews.com/news/texas-hipaa-breach-blunder-affects-277k?topic=18
▪ Pesquisa InfoMoney
http://www.infomoney.com.br/minhas-financas/planeje-suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam-com-violacaodados-instituicoes-saude
▪ Normas HIPPA e ISO 27002
▪ InterSystems HealthShare
http://www.intersystems.com/casestudies/by-product.html#healthshare
http://www.intersystems.com/press/2012/SHIN-NY-Partner.html