[IN]Segurança em Hospitais
(RECIFE GEEK NIGHT)
I’m not…
▪ Não sou hacker.
▪ Não sou nerd.
▪ Não trabalho com segurança.
▪ Não hackeio facebook, twitter e derivados.
▪ Mu...
Who am i?
▪ Formado no Curso Técnico em ADS-UNIBRATEC.
▪ Graduando em Segurança da Informação – FG.
▪ Engenheiro de Softwa...
Agenda
▪ A internet e seus avanços.
▪ A era dos “Cybercrimes”.
▪ Vulnerabilidades em Aplicações.
▪ [IN]Segurança em Hospit...
A internet e seus avanços
▪ Desde antigamente o homem usou meios nativos para se comunicar e transmitir
conhecimento entre...
Mó legal saber sobre os avanços da internet, mas o que isso
tem haver com hospitais?
A Era dos “Cybecrimes”
Filme “WHOAMI”:
http://www.imdb.com/title/tt3042408/
Filme “Mr. Robot”:
http://www.imdb.com/title/t...
A Era dos “Cybecrimes”
https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3
A Era dos “Cybecrimes”
http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais
A Era dos “Cybecrimes”
http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk
Já sabemos que ocorrem ataques todos os dias, porém o que
hospitais tem haver com isso?
Já parou para pensar se suas informações pessoais e confidencias
fossem expostas na internet?
Exposição de Dados
http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasi...
Exposição de Dados
http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-p...
Beleza, agora já sei que se minhas informações pessoais
forem expostas na internet é perigoso, mas o que hospitais
tem hav...
Vulnerabilidades em Aplicações
▪ Política de Segurança
70% das aplicações testadas possuem uma ou mais falhas de segurança...
[IN]Segurança em Hospitais
▪ As tendências de compartilhamento de informações médicas procuram
atingir um melhor resultado...
[IN]Segurança em Hospitais
▪ Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciência
quanto ao...
Ahhh, estou começando a entender... Mas esta pesquisa
realmente está falando a verdade?
[IN]Segurança em Hospitais
http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organization...
[IN]Segurança em Hospitais
http://money.cnn.com/2015/07/17/technology/ucla-health-hack/
[IN]Segurança em Hospitais
http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medic...
[IN]Segurança em Hospitais
http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html
[IN]Segurança em Hospitais
http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
[IN]Segurança em Hospitais
Informações Pessoais X Informações Clinicas
[IN]Segurança em Hospitais
InformaçõesPessoais.equals(“DINHEIRO”);
InformaçõesClinicas.equals(“???”);
Fudeeeerosooo Veey!! Mas como os hospitais trocam essas
informações?
[IN]Segurança em Hospitais
▪ O uso da internet como beneficio:
▪ A internet como meio de comunicação estabelecido e popula...
[IN]Segurança em Hospitais
▪ Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”
http://goo.gl/4UQWgB http://goo.gl/6Y...
[IN]Segurança em Hospitais
▪ Como os hospitais
tem acesso as
informações?
E assim surgem alguns questionamentos...
[IN]Segurança em Hospitais
▪ 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão
de ace...
[IN]Segurança em Hospitais
▪ 6. Os meios de comunicação permitem o uso de encriptação?
▪ 7. Quais serão as regras que defi...
Mas de quem é a culpa?
A culpa é...
O maior problema é a falta de informação!
▪ Contratei uma boa empresa
Empresas de desenvolvimento de software geralmente n...
Nós não estamos preparados...
▪ Requisitos fracos
Segurança ainda não é claramente definido como requisito fundamental em
...
A culpa é minha mesmo...
Se existe sindicatos para proteger os trabalhores... Existe
alguma lei que poderia nos dar uma 'proteção'?
[IN]Segurança em Hospitais
Health Insurance Portability and Accountability Act - 1996
[IN]Segurança em Hospitais
PCI
SOX
Regras de Privacidade
HIPAA
HL7
ISO 27799
Massa fera!! Existe algum ciclo que poderia ser eficaz e garantir
uma maior proteção desses dados?
Nós não estamos preparados...
▪ 1. Identify Systems At Risk
▪ 2. Information Gathering and
Planning
▪ 3. Evaluate Risk & V...
Beleza, mas existe alguma medida de segurança?
Medidas de Segurança
▪ Acesso físico.
▪ Conscientização e Controle de Acesso.
▪ Identificação do paciente e de procediment...
Referências
▪ Secure List:
https://securelist.com/analysis/publications/72652/beac
hes-carnivals-and-cybercrime-a-look-ins...
That's all folks!
▪ Twitter: @arthurpaixao
▪ Linkedin: linkedin.com/in/arthurpaixao
▪ Blog: www.arthurpaixao.com.br/blog/
Próximos SlideShares
Carregando em…5
×

[IN]Segurança em Hospitais

282 visualizações

Publicada em

Apresentação realizada no Recife Geek Night - 11/2015
http://geeknightrecife.github.io/

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
282
No SlideShare
0
A partir de incorporações
0
Número de incorporações
10
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

[IN]Segurança em Hospitais

  1. 1. [IN]Segurança em Hospitais (RECIFE GEEK NIGHT)
  2. 2. I’m not… ▪ Não sou hacker. ▪ Não sou nerd. ▪ Não trabalho com segurança. ▪ Não hackeio facebook, twitter e derivados. ▪ Muito menos vou pegar a senha de e-mail da sua namorada(o).
  3. 3. Who am i? ▪ Formado no Curso Técnico em ADS-UNIBRATEC. ▪ Graduando em Segurança da Informação – FG. ▪ Engenheiro de Software Sênior – MV s/a. ▪ CTF Player [SCR34M0]. ▪ Vencedor do Hackaflag (Symantec) - Recife 2015. ▪ 5º Colocado na edição nacional do H4ck4fl4g. #CTF-BR #RTFM
  4. 4. Agenda ▪ A internet e seus avanços. ▪ A era dos “Cybercrimes”. ▪ Vulnerabilidades em Aplicações. ▪ [IN]Segurança em Hospitais. ▪ De quem é a culpa? ▪ Falta de Informação VS Melhor preparação. ▪ Medidas de Segurança. ▪ Referências.
  5. 5. A internet e seus avanços ▪ Desde antigamente o homem usou meios nativos para se comunicar e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação.
  6. 6. Mó legal saber sobre os avanços da internet, mas o que isso tem haver com hospitais?
  7. 7. A Era dos “Cybecrimes” Filme “WHOAMI”: http://www.imdb.com/title/tt3042408/ Filme “Mr. Robot”: http://www.imdb.com/title/tt4158110/
  8. 8. A Era dos “Cybecrimes” https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3
  9. 9. A Era dos “Cybecrimes” http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais
  10. 10. A Era dos “Cybecrimes” http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk
  11. 11. Já sabemos que ocorrem ataques todos os dias, porém o que hospitais tem haver com isso?
  12. 12. Já parou para pensar se suas informações pessoais e confidencias fossem expostas na internet?
  13. 13. Exposição de Dados http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361
  14. 14. Exposição de Dados http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html
  15. 15. Beleza, agora já sei que se minhas informações pessoais forem expostas na internet é perigoso, mas o que hospitais tem haver com isso?
  16. 16. Vulnerabilidades em Aplicações ▪ Política de Segurança 70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas. ▪ OWASP Top 10 87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web. ▪ SANS Top 25 69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software.
  17. 17. [IN]Segurança em Hospitais ▪ As tendências de compartilhamento de informações médicas procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando- se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais.
  18. 18. [IN]Segurança em Hospitais ▪ Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde: “Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais”
  19. 19. Ahhh, estou começando a entender... Mas esta pesquisa realmente está falando a verdade?
  20. 20. [IN]Segurança em Hospitais http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html
  21. 21. [IN]Segurança em Hospitais http://money.cnn.com/2015/07/17/technology/ucla-health-hack/
  22. 22. [IN]Segurança em Hospitais http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors- in-hospital-networks.html
  23. 23. [IN]Segurança em Hospitais http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html
  24. 24. [IN]Segurança em Hospitais http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
  25. 25. [IN]Segurança em Hospitais Informações Pessoais X Informações Clinicas
  26. 26. [IN]Segurança em Hospitais InformaçõesPessoais.equals(“DINHEIRO”); InformaçõesClinicas.equals(“???”);
  27. 27. Fudeeeerosooo Veey!! Mas como os hospitais trocam essas informações?
  28. 28. [IN]Segurança em Hospitais ▪ O uso da internet como beneficio: ▪ A internet como meio de comunicação estabelecido e popularizado, somada ao protocolo HTTP, a linguagem HTML, ao E-mail e as demais tecnologias WEB, viabilizaram a troca de conhecimento, acelerando a colaboração nas pesquisas médicas e também favoreceram a criação de sistemas que, baseados nestas tecnologias, pudessem ser operados a partir de uma interface comum de qualquer estação com acesso a internet. ▪ Com base na mesma plataforma, sistemas hospitalares que disponibilizam resultados de exames para os pacientes e profissionais de saúde, agregam valor aos serviços prestados.
  29. 29. [IN]Segurança em Hospitais ▪ Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0” http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl
  30. 30. [IN]Segurança em Hospitais ▪ Como os hospitais tem acesso as informações?
  31. 31. E assim surgem alguns questionamentos...
  32. 32. [IN]Segurança em Hospitais ▪ 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso? ▪ 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído? ▪ 3. A solução tecnológica deve caminhar para um sistema centralizado que interaja e controle as diversas informações distribuídas? ▪ 4. As bases de dados usadas permitem salvar os dados de forma encriptada? ▪ 5. As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos?
  33. 33. [IN]Segurança em Hospitais ▪ 6. Os meios de comunicação permitem o uso de encriptação? ▪ 7. Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário? ▪ 8. É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado? ▪ 9. Este controle deve estar sob responsabilidade de instituições governamentais ou instituições privadas? ▪ 10. Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente?
  34. 34. Mas de quem é a culpa?
  35. 35. A culpa é...
  36. 36. O maior problema é a falta de informação! ▪ Contratei uma boa empresa Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software. ▪ Segurança aumenta o custo Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade. ▪ Tenho bons programadores Bons programadores sem a devida capacitação desconhecem práticas de segurança de software.
  37. 37. Nós não estamos preparados... ▪ Requisitos fracos Segurança ainda não é claramente definido como requisito fundamental em projetos de desenvolvimento de software. ▪ Baixo investimento As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurança em desenvolvimento de software. ▪ Não existe proatividade A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando as práticas de segurança em desenvolvimento de software.
  38. 38. A culpa é minha mesmo...
  39. 39. Se existe sindicatos para proteger os trabalhores... Existe alguma lei que poderia nos dar uma 'proteção'?
  40. 40. [IN]Segurança em Hospitais Health Insurance Portability and Accountability Act - 1996
  41. 41. [IN]Segurança em Hospitais PCI SOX Regras de Privacidade HIPAA HL7 ISO 27799
  42. 42. Massa fera!! Existe algum ciclo que poderia ser eficaz e garantir uma maior proteção desses dados?
  43. 43. Nós não estamos preparados... ▪ 1. Identify Systems At Risk ▪ 2. Information Gathering and Planning ▪ 3. Evaluate Risk & Vulnerability ▪ 4. Identify Possible Solutions (Controls / Mitigation) ▪ 5. Determine Feasibility & Acceptable Risk ▪ 6. Roadmap Prioritization ▪ 7. Execute the Plan ▪ 8 . Repeat
  44. 44. Beleza, mas existe alguma medida de segurança?
  45. 45. Medidas de Segurança ▪ Acesso físico. ▪ Conscientização e Controle de Acesso. ▪ Identificação do paciente e de procedimentos. ▪ Uso de informações criptografadas. ▪ Hardening de Estações, Servidores e Dispositivos de Rede. ▪ Prevenção contra virus e malwares. ▪ Adotar e SEGUIR uma politica de segurança. ▪ Ter um CSIRT em caso de incidentes.
  46. 46. Referências ▪ Secure List: https://securelist.com/analysis/publications/72652/beac hes-carnivals-and-cybercrime-a-look-inside-the-brazilian-underground/ ▪ Artigo: http://www.sbis.org.br/cbis11/arquivos/910.pdf ▪ CMS – Centers for Medicare & Medicaid Services (cms.gov) ▪ Caso da Maior Violão as Regras HIPPA (Hospital Texas) http://www.healthcareitnews.com/news/texas-hipaa- breach-blunder-affects-277k?topic=18 ▪ Pesquisa InfoMoney http://www.infomoney.com.br/minhas-financas/planeje- suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam- com-violacaodados-instituicoes-saude ▪ Normas HIPPA e ISO 27002 ▪ InterSystems HealthShare http://www.intersystems.com/casestudies/by- product.html#healthshare http://www.intersystems.com/press/2012/SHIN-NY- Partner.html
  47. 47. That's all folks! ▪ Twitter: @arthurpaixao ▪ Linkedin: linkedin.com/in/arthurpaixao ▪ Blog: www.arthurpaixao.com.br/blog/

×