[IN]Segurança em Hospitais

364 visualizações

Publicada em

Que perigo uma simples consulta ao médico poderia nos trazer?

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
364
No SlideShare
0
A partir de incorporações
0
Número de incorporações
23
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

[IN]Segurança em Hospitais

  1. 1. [IN]Segurança em Hospitais | Arthur Paixão | RE:Load Night |
  2. 2. I’m not… • Não sou hacker. • Não sou nerd. • Não trabalho com segurança. • Não hackeio facebook, twitter e derivados. • Muito menos vou pegar a senha de algum conhecido seu para ver “algo”.
  3. 3. Who am i? • Formado no Curso Técnico em ADS-UNIBRATEC. • Graduando em Segurança da Informação – FG. • Engenheiro de Software Sênior – MV s/a. • CTF Player [SCR34M0]. • Vencedor do Hackaflag (Symantec) - Recife 2015. #CTF-BR #RTFM
  4. 4. Agenda • A internet e seus avanços. • A era dos “Cybercrimes”. • Vulnerabilidades em Aplicações. • [IN]Segurança em Hospitais. • De quem é a culpa? • Falta de Informação VS Melhor preparação. • Medidas de Segurança. • Referências. Calanguinho e suas perguntas...
  5. 5. A internet e seus avanços… • Desde antigamente o homem usou meios nativos para se comunicar e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação.
  6. 6. Mó legal saber sobre os avanços da internet, mas o que isso tem haver com hospitais?
  7. 7. A Era dos “Cybecrimes” Filme “WHOAMI”: http://www.imdb.com/title/tt3042408/ Filme “Mr. Robot”: http://www.imdb.com/title/tt4158110/
  8. 8. A Era dos “Cybecrimes” http://www.bbc.com/portuguese/noticias/2015/02/150216_gch_quadrilha_hackers_lk
  9. 9. A Era dos “Cybecrimes” http://computerworld.com.br/ataques-hackers-atingem-uma-em-cada-seis-empresas-globais
  10. 10. A Era dos “Cybecrimes” https://iopub.org/o-capture-the-flag-que-n%C3%A3o-acabou-31f9168545f3
  11. 11. A Era dos “Cybecrimes” https:/thehackernews.com
  12. 12. O que poderia motivar estes ataques?
  13. 13. What motivates me? • Diversão • Black Hats • HackAtivistas • Hackers Patrocinados pelo Estado • Espionagem • Terrorismo
  14. 14. Já sabemos que ocorrem ataques todos os dias, porém o que hospitais tem haver com isso?
  15. 15. Já parou para pensar se suas informações pessoais e confidências fossem expostas na internet?
  16. 16. Exposição de Dados http://oglobo.globo.com/sociedade/tecnologia/onda-de-crimes-praticados-por-hackers-cresceu-197-no-brasil-em-um-ano-17197361
  17. 17. Exposição de Dados http://www.cio.com/article/2987830/online-security/ashley-madison-breach-shows-hackers-may-be-getting-personal.html
  18. 18. Beleza, agora já sei que se minhas informações pessoais forem expostas na internet é perigoso, mas o que hospitais tem haver com isso?
  19. 19. [IN]Segurança em Hospitais • As tendências de compartilhamento de informações médicas procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais.
  20. 20. [IN]Segurança em Hospitais • Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde: “Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais”
  21. 21. Ahhh, estou começando a entender... Mas esta pesquisa realmente está falando a verdade?
  22. 22. [IN]Segurança em Hospitais http://www.cnbc.com/2014/09/25/hack-attacks-on-hospitals-jump-600-this-year-ceo.html
  23. 23. [IN]Segurança em Hospitais http://www.csoonline.com/article/2978911/data-breach/study-81-of-large-health-care-organizations-breached.html
  24. 24. [IN]Segurança em Hospitais http://money.cnn.com/2015/07/17/technology/ucla-health-hack/
  25. 25. [IN]Segurança em Hospitais http://www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors- in-hospital-networks.html
  26. 26. [IN]Segurança em Hospitais http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
  27. 27. [IN]Segurança em Hospitais http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/
  28. 28. [IN]Segurança em Hospitais Informações Pessoais X Informações Clinicas
  29. 29. Fudeeeerosooo Veey!! Mas como os hospitais trocam essas informações?
  30. 30. [IN]Segurança em Hospitais • Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0” http://goo.gl/4UQWgB http://goo.gl/6YjVEC http://goo.gl/BhYuEl
  31. 31. [IN]Segurança em Hospitais • Como os hospitais tem acesso as informações?
  32. 32. Vulnerabilidades em Aplicações • Política de Segurança 70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas. • OWASP Top 10 87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web. • SANS Top 25 69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software.
  33. 33. E assim surgem alguns questionamentos...
  34. 34. [IN]Segurança em Hospitais • 1. Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso? • 2. O tempo de acesso a estas informações pode inviabilizar seu uso distribuído? • 3. As bases de dados usadas permitem salvar os dados de forma encriptada? • 4. As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos?
  35. 35. [IN]Segurança em Hospitais • 5. Os meios de comunicação permitem o uso de encriptação? • 6. Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário? • 7. É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado? • 8. Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente?
  36. 36. [IN]Segurança em Hospitais
  37. 37. Mas de quem é a culpa?
  38. 38. A culpa é...
  39. 39. Melhores Argumentos #SQN • Contratei uma boa empresa Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software. • Segurança aumenta o custo Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade. • Tenho bons programadores Bons programadores sem a devida capacitação desconhecem práticas de segurança de software. • Meu sistema é seguro Seu maior problema é a ignorância, causada pela falta de informação.
  40. 40. Nós não estamos preparados... • Requisitos fracos Segurança ainda não é claramente definido como requisito fundamental em projetos de desenvolvimento de software. • Baixo investimento As organizações ainda não acreditam nos benefícios trazidos por boas práticas de segurança em desenvolvimento de software. • Não existe proatividade A maioria das organização ainda acredita que apenas testar é suficiente, negligenciando as práticas de segurança em desenvolvimento de software.
  41. 41. A culpa é minha mesmo...
  42. 42. Existe alguma lei que poderia nos dar uma maior 'proteção'?
  43. 43. [IN]Segurança em Hospitais Health Insurance Portability and Accountability Act - 1996
  44. 44. [IN]Segurança em Hospitais PCI SOX Regras de Privacidade HIPAA HL7 ISO 27799
  45. 45. Good pratices, where are you? • Elabore um plano de ação. • Conscientize os funcionários. • Teste a segurança de aplicações que já existem. • Contrate uma consultoria especializada. • Valorize os resultados positivos. • Invista na continuidade do processo.
  46. 46. Massa fera!! Existe algum ciclo de desenvolvimento que poderia nos auxiliar?
  47. 47. Security Development Lifecycle
  48. 48. Beleza, mas existe alguma medida de segurança?
  49. 49. Medidas de Segurança • Acesso físico. • Conscientização e Controle de Acesso. • Identificação do paciente e de procedimentos. • Uso de informações criptografadas. • Hardening de Estações, Servidores e Dispositivos de Rede. • Prevenção contra virus e malwares. • Adotar e SEGUIR uma politica de segurança. • Ter um CSIRT em caso de incidentes.
  50. 50. • Secure List: https://securelist.com/analysis/publications/72652/beaches-carnivals-and-cybercrime-a- look-inside-the-brazilian-underground/ • Artigo: http://www.sbis.org.br/cbis11/arquivos/910.pdf • CMS – Centers for Medicare & Medicaid Services (cms.gov) • Caso da Maior Violação as Regras HIPPA (Hospital Texas) http://www.healthcareitnews.com/news/texas-hipaa-breach-blunder-affects- 277k?topic=18 • Pesquisa InfoMoney http://www.infomoney.com.br/minhas-financas/planeje- suasfinancas/noticia/2862426/brasileiros-sao-que-mais-preocupam-com-violacaodados-instituicoes- saude • Normas HIPPA e ISO 27002 • InterSystems HealthShare http://www.intersystems.com/casestudies/by-product.html#healthshare http://www.intersystems.com/press/2012/SHIN-NY-Partner.html Referências
  51. 51. That's all folks! • Twitter: @arthurpaixao • Linkedin: linkedin.com/in/arthurpaixao • Blog: www.arthurpaixao.com.br/blog/

×