SlideShare uma empresa Scribd logo

EHR Segurança

Ruy De Queiroz
Ruy De Queiroz

Apresentação realizada no IV SINFORGEDS (IV Seminário Internacional de Informação para a Saúde), 19 Maio 2016, Fortaleza

Tecnologia
1 de 73
Baixar para ler offline
Cibersegurança no Contexto de Prontuários Médicos Eletrônicos Ruy J.G.B. de Queiroz IV SINFORGEDS, Fortaleza, 19-20 Maio 2016
Electronic Health Record Da Wikipédia: • “An electronic health record (EHR), or electronic medical record (EMR), refers to the systematized collection of patient and population electronically-stored health information in a digital format. These records can be shared across different health care settings.” • “Prontuário Eletrônico do Paciente (PEP) é definido como um sistema de prontuário médico padronizado e digital. O prontuário eletrônico é um meio virtual, um repositório onde todas as informações de saúde, clínicas e administrativas, ao longo da vida de um indivíduo, estão armazenadas, e muitos benefícios podem ser obtidos deste formato de armazenamento.”
Electronic Medical Record vs Electronic Health Record • Um EMR contém os dados médicos e clínicos padrão coletados por um provedor de assistência à saúde. Electronic health records (EHRs) vão além dos dados coletados no ambiente do provedor e incluem um histórico mais abrangente do paciente. • Um electronic medical record (EMR) é uma versão digital de uma documentação em papel que contém tudo do histórico médico do paciente registrado numa determinada prática. Um EMR é usado sobretudo por provedores para diagnóstico e tratmento.
Cartilha sobre Prontuário Eletrônico (Soc.Bras. Informática na Medicina, 2012) • “Com a evolução da tecnologia, especialmente da Internet, a possibilidade de compartilhar as informações de saúde tornou-se viável, e, naturalmente o Protocolo Eletrônico do Paciente (PEP), antes de uso exclusivo e interno da instituição de saúde, evoluiu para o conceito de um Registro Eletrônico de Saúde (RES). Este possui em seu núcleo conceitual o compartilhamento de informações sobre a saúde de um ou mais indivíduos, inter e multi- instituição, dentro de uma região (município, estado ou país), ou ainda, entre um grupo de hospitais.”
Por que adotar EHR? (HealthIT.gov) Provedores que usam EHRs reportam melhoras tangíveis em sua capacidade de tomar decisões melhores com informações mais abrangentes. A adoção do EHR pode propiciar ao provedor de assistência à saúde: • Informação completa e precisa sobre a saúde do paciente • Capacidade de agir rapidamente numa necessidade urgente • Capacidade de melhor coordenar a assistência que provê • Uma forma de compartilhar informação com o paciente e os familiares que o assistem
Por que adotar EHR? (HealthIT.gov) • EHRs também permitem: • detectar interações medicamentosas potencialmente perigosas • verificar medicações e dosagens • reduzir a necessidade de testes e procedimentos potencialmente arriscados
Adoção de EHR’s nos EUA (Dados até 2014) Mais de 8 em 10 médicos clínicos tinham adotado um EHR Enquanto que a maioria dos médicos clínicos-gerais usaram a maioria das funcionalidades do Basic EHR, somente 6 em 10 visualizaram eletronicamente exames de imagem. Uma maioria de médicos clínicos-gerais usaram EHRs certificados, independente de sua participação no EHR Incentive Program. Clínicos gerais de assistência básica reportaram as mais altas taxas de adoção de qualquer dos EHRs, EHR certificados, e Basic EHR. Médicos de prática independente tiveram as mais baixas taxas de adoção de qualquer EHR, EHR certificados, e Basic EHR. Clínicos gerais em centros comunitários de saúde reportaram a taxa mais alta de adoção para EHR (qualquer); mas tiveram baixas taxas de adoção de EHR certificados, e Basic EHR.
Adoção pelos hospitais • 97% dos hospitais reportaram dispor de tecnologia de Certified EHR em 2014. • Adicionalmente, houve crescimento significativo na adoção do Basic EHR, uma medida histórica que surgiu antes dos EHR Incentive Programs. • Em 2014, 76% dos hospitais tinham adotado pelo menos um Basic EHR. Isso representa um aumento de 27% em relação a 2013 e um aumento de um fator de 8 em relação a 2008. 70% de hospitais de pequeno porte (menos de 100 leitos), hospitais rurais, e hospitais de acesso crítico tinham adotado um Basic EHR com notas de clínicos.
Uso do EHR pelo paciente • DALLAS, May 1, 2016 /PRNewswire/ -- Mais de 80% de médicos clínicos-gerais têm adotado electronic health records (EHRs), e 60% de consumidores que usam ferramentas digitais de saúde dizem que têm um electronic health record. Mas a maioria está acessando seus registros de saúde para simplesmente “se manter informado." Apenas 22% dos usuários de saúde digital estão acessando EHRs para ajudar a tomar decisões médicas. • 29% daqueles consumidores que dizem que têm um EHR não estão tendo qualquer benefício disso. 15% dizem que é difícil entender as informações e outros 14% não acessam seu EHR.
Uso do EHR pelo paciente • Bryce Williams, CEO e Presidente da HealthMine disse, "Electronic health records ainda estão na fase inicial da adoção do consumidor. Eles têm o potencial de engajar os consumidores mais diretamente no gerenciamento de sua saúde. Programas de bem-estar podem ajudar a preencher a lacuna entre a adoção do EHR e o entendimento tornando as informações tanto mais significativas quanto mais utilizáveis para pacientes."
Participação do Paciente • “Provedores e pacientes que compartilham acesso a informações eletrônicas de saúde podem colaborar na tomada de decisão informada. A participação do paciente é especialmente importante no gerenciamento e no tratamento de condições crônicas como asma, diabete, e obesidade.”
Como EHRs podem incentivar a participação do paciente EHRs podem ajudar provedores a: • Garantir assistência de alta qualidade. Com EHRs, provedores podem dar aos pacientes informações completas e precisas sobre toda as suas avaliações de saúde. Provedores podem também oferecer informações que se seguem a uma visita a um consultório ou uma estadia num hospital, tais como instruções e auto-cuidado, lembretes para outras ações posteriores de cuidado com a saúde, e apontadores para recursos na web. • Criar um canal de comunicação direta com seus pacientes. Com EHRs, provedores podem gerenciar eletronicamente agendamentos de consultas e trocar e-mail com seus pacientes. Comunicação rápida e fácil entre pacientes e provedores podem ajudar os provedores a identificar sintomas mais cedo. E pode colocar os provedores numa posição tal que possam ser mais proativos atingindo melhor seus pacientes.
Federal Health IT Strategic Plan: 2015-2020
Personal Health Record • Um personal health record, ou PHR, é uma aplicação eletrônica usada por pacientes para manter e gerenciar suas próprias informações de saúde (ou aquela de outros para os quais está autorizado a fazê-lo). • Um PHR difere de um EHR no sentido de que os próprios pacientes usualmente instalam e acessam o PHR. Pacientes podem usar o PHR para acompanhar as informações das visitas aos médicos, registrar outras informações relacionadas à saúde, e remeter a outros recursos relacionados à saúde.
Application Programming Interface (API) • Application Programming Interface (API) - uma tecnologia que permite que um programa (software) acesse os serviços fornecidos por um outro programa • Em sua 2015 Edition CEHRT rule, o ONC incluiu critérios de certificação para APIs completamente funcionais para suportar acesso de pacientes a dados de saúde via visualização, download, e transmissão (VDT). • Entretanto, ao discutir esse conceito na regra proposta, muitos membros expressaram preocupações com o respeito à privacidade e à segurança das APIs. • Por isso, a API Task Force foi criada para…
• Identificar as preocupações percebidas com a segurança e os riscos reais de segurança que são barreiras para a adoção ampla de APIs abertas em assistência à saúde. • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, prova de identidade e autenticação não privilégio de APIs); • Identificar as as preocupações percebidas com a privacidade e os riscos reais de privacidade que são barreiras para a adoção ampla de APIs abertas em assistência à saúde.    • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, harmonizar lei estadual e a falta de entendimento do HIPAA); • Identificar recomendações de prioridade para o ONC que ajudará a permitir que consumidores alavanquem a tecnologia de API para acessar dados do paciente, ao mesmo tempo garantir o nível apropriado de proteção à privacidade e de segurança.
Generic Use Case / User Flow for Patient-selected App App Developer builds an app that can benefit from patient data. App Developer builds support for an API-based connection to EHR data, and registers App with Hospital A (or its EHR). Patient reviews App's data use and privacy policies (and features) and decides to connect App to her EHR data in Hospital A. Patient signs into Hospital A's portal, and Hospital A shows an approval screen. Patient agrees to share (some of) her EHR data for some duration of time with App, and Hospital A records this decision. Hospital A's portal sends Patient back to App, and App gets a unique, time- and scope-limited access token for this patient. App can use the token to access Patient's EHR data for some duration of time in keeping with the patient’s approval. Variants on Use Case Personally-Controlled Health Record. For example, HealthVault. A site that stores information on a patient's behalf and makes it easily available. Personal health app. For example, a tool to manage diabetes. This app could be discovered and selected by the patient, or recommended by a provider. Patient-authored app. For example, a homemade tool to improve care coordination or plot lab results. Rogue app. For example, an app specifically designed from the ground up to steal data from a patient for financial gain. Or a "good" app that has been hacked. Casos de Uso
Incidência de Violação de Informações de Saúde nos EUA “Baseados em dados coletados pelo HHS Office for Civil Rights, até 1 Fevereiro 2016, violação de informações protegidas de saúde (protected health information) sobre mais de 113 milhões de indivíduos em 2015. Em 2015, incidentes de hacking compreenderam quase 99% de todos os indivíduos afetados por violações, e o número de incidentes de hacking reportados, 57, cobriram mais de 20% de todas as violações reportadas. De 2011 a 2014, 97 incidentes de hacking afetaram menos de 4 milhões de indivíduos - menos de 10% de todas as violações reportadas e indivíduos afetados durante esse tempo.”
Protected Health Information (PHI)
Privacidade, Segurança e Confidencialidade Privacidade e Segurança • Health Information Protection and Accountability Act (HIPAA) • Regras de privacidade identificam padrões nacionais (45 CFR Part 160 e Subparts A e E da Part 164) • Regras de segurança operacionalizam esses padrões (Subparts A e C da Part 164) • Informações do paciente protegidas pelo HIPAA podem ser trocadas entre entidades cobertas na coordenação da assistência ao paciente sem consentimento adicional • Protegida pelo DHS Office of Civil Rights, penalidades aumentadas no Stage 1
Privacidade, Segurança e Confidencialidade Confidencialidade • Confidentiality of Alcohol and Drug Abuse Patient Records Act (42 CFR Part 2) • Identifica e operacionaliza padrões • Informações do paciente não podem ser trocadas sem o consentimento do paciente • Protegida por lei federal, caso contrário, nenhuma penalidade
Incidência de Violação de Informações de Saúde nos EUA Apesar do aumento nos casos de violação relacionados a incidentes de hacking, violações reportadas relacionadas a outros incidentes e o número de indivíduos afetados por essas violações diminuíram em 2015. Até 01/Fevereiro/2016, roubo, perda, descarte impróprio, e acesso não-autorizado ou revelação de informação protegida de saúde compreendem 208 de todas as violações reportadas (N=265), diminuíram de 216 (N=285) em 2014 e 211 (N=262) em 2013. Esses quatro tipos de incidentes de violação afetaram 1,4 milhões de indivíduos em 2015, comparados a 10,7 milhões em 2014 e 6,7 milhões em 2013.
Incidência de Violação de Informações de Saúde nos EUA “Em 2015, 4 de 51 incidentes de hacking envolveram um electronic medical record (EMR). Um incidente de hacking afetou as informações de saúde de 3,9 milhões de indivíduos - quase todos os indivíduos afetados por um incidente de hacking de EMR em 2015.”
Percepção da Segurança e da Privacidade de Prontuários Médicos ONC Data Brief ■ No. 33 ■ February 2016 (The Office of the National Coordinator for Health Information Technology) “Preservando a confiança do paciente na privacidade e na segurança das informações de saúde é um elemento crítico na obtenção de uma infraestrutura interoperável de TI de saúde. À medida em que a adoção de TI certificada de saúde e a troca de informações de saúde crescem em todos os hospitais e clínicas médicas, é importante avaliar o impacto dessas mudanças nas percepções dos consumidores a respeito de privacidade e segurança de suas informações de saúde. De 2012 a 2014, o ONC conduziu uma pesquisa nacional de consumidores para examinar as preocupações de privacidade e segurança e preferências com relação a electronic health records (EHRs) e trocas de informações de saúde (HIE).” Fonte: Trends in Individuals’ Perceptions regarding Privacy and Security of Medical Records and Exchange of Health Information: 2012-2014, V. Patel, P. Hughes, W. Barker, L. Moon
Percepção da Segurança e da Privacidade de Prontuários Médicos • “As preocupações de indivíduos com a privacidade e a segurança de prontuários médicos em papel e eletrônicos diminuiu significativamente entre 2013 e 2014.” • “Em 2014, uma quantidade semelhante de indivíduos— cerca de um em cinco—expressou ausência de preocupação com ambas privacidade e segurança de seus registros médicos.” • “As preocupações de indivíduos com a privacidade e a segurança de registros médicos não diferem significativamente se eles têm registros médicos em papel ou eletrônico.”
Percepção da Segurança e da Privacidade de Prontuários Médicos • “Entre 2012 e 2014, pelo menos três-quartos de indivíduos apoiavam o uso de EHRs de seus provedores de assistência à saúde, apesar de quaisquer potenciais preocupações com privacidade ou segurança.” • “As preocupações de indivíduos com a visualização não- autorizada de registros médicos quando enviados por fax ou meios eletrônicos diminuíram significativamente entre 2013 e 2014.” • “Entre 2012 e 2014, pelo menos 7 em 10 indivíduos apoiaram a troca de seus registros médicos apesar das potenciais preocupações com privacidade ou segurança.”
Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Protocolos médicos são normalmente usados por profissionais de saúde para propósitos de diagnóstico, tratamento, coordenação de assistência, e cobrança. • Entretanto, alguns registros contêm informações sensíveis tais como doenças sexualmente transmissíveis (DSTs), HIV, saúde mental ou informação de abuso de substância que podem ser embaraçosas ou usadas para discriminar contra o paciente de maneiras que são proibidas por certas leis estaduais ou federais.” Fonte: “Understanding the Challenges with Medical Data Segmentation for Privacy”, E. M. Chan, P; E. Lam, & J. C. Mitchell
Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Muitas dessas leis foram originalmente sancionadas para incentivar pacientes com condições sérias mas embaraçosas se apresentarem e buscarem tratamento médico ao mesmo tempo em que mantêm um certo nível de proteção à sua privacidade. • Sob uma perspectiva médica, estudos têm mostrado que alguns médicos podem ser suscetíveis a agir tendenciosamente de forma inconsciente se essas informações sensíveis estiverem presentes.”
Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Portanto alguns defensores da privacidade argumentam que informações sensíveis deveriam ser escondidas por default, e que pacientes devem ter controle completo e total sobre quais informações são liberadas; mas outros relatórios têm sugerido que pacientes poderiam não ter condições de decidir quais informações são medicamente relevantes. • Reforma na assistência à saúde através da assistência coordenada vai exigir coordenação ainda maior das atividades e da continuidade das informações via electronic health records (EHRs). No entanto, as preocupações com a privacidade codificadas nas leis estaduais e federais de privacidade que governam condições médicas sensíveis (…) limitam as informações que as várias partes tais como as trocas de informações de saúde (HIE) podem manusear sem o consentimento explícito do paciente.”
Resumindo • “À medida em que a adoção de EHR e HIE aumentou em hospitais e clínicas, as preocupações dos consumidores com relação a HIE e a privacidade e a segurança dos prontuários médicos diminuiu. Entretanto, é importante notar que essas percepções refletem os pontos de vista dos indivíduos antes do anúncio em 2015 de várias violações de informações de saúde. Se essas recentes violações podem impactar negativamente as percepções dos indivíduos relacionadas a privacidade e segurança dos seus protocolos médicos e a troca de suas informações de saúde não está claro e merece monitoramento. • Adicionalmente, não está claro se os decréscimos significativos nas preocupações entre 2013 e 2014 são uma anomalia ou se isso representa o início de uma nova tendência no sentido do decréscimo das preocupações com privacidade e segurança.”
O problema da segurança de computador • Muito software com erros • Engenharia social funciona mesmo • É possível ganhar dinheiro com achar e explorar vulnerabilidades. 1. Existe mercado para vulnerabilidades 2. Existe mercado para máquinas dominadas (PPI) 3. Muitos métodos de se aproveitar de máquinas dominadas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Muitas revelações de vulnerabilidades (2015) Fonte: www.cvedetails.com/top-50-products.php?year=2015
Aplicações vulneráveis sendo exploradas Fonte: Kaspersky Security Bulletin 2015
Malware móvel (Nov. 2013 – Out. 2014) A ascensão dos Trojans móveis para bancos (Kaspersky Security Bulletin 2014) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?: 
 1. Roubo de IP e banda larga • Objetivo do atacante: se passar por um usuário comum da Internet • Usar o endereço IP da máquina ou smartphone infectado para: • Spam (e.g. uma botnet storm) • Spamalítica: • 1:12M pharma spams leva a compra • 1:260K greeting card spams leva a infecção • Negação de Serviço: Serviços: 1 hora (20$), 24 horas (100$) • Fraude de clique (e.g. Clickbot.a) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?: 2. Roubar credenciais e injetar ads • keylog para senhas bancárias, senhas de serviços na web, senhas de jogos online. • Exemplo: SilentBanker Usuário solicita página de login Banco envia página de login solicitada BancoMalware injeta JavascriptQuando o usuário submete a informação, ela é enviada também ao atacante Man-in-the-Browser (MITB) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Muitos malwares financeiros • tamanho: 3.5 KB • espalhado via anexos de email • também encontrado em roteadores caseiros Fonte: Kaspersky Security Bulletin 2015
Por que dominar máquinas?: 3. Ransomware CryptoWall (2014-) • alveja Windows • espalha-se por spam emails ≈200.000 máquinas em 2015 Um problema mundial. Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?: 4. Espalhar para sistemas isolados • Exemplo: Stuxnet • Infecção no Windows software de controle do Siemens PCS 7 SCADA no Windows controlador do dispositivo Siemens na rede isolada Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Ataques a servidores • Roubo de dados financeiros: usualmente, números de cart.cred 1. Exemplo: Target (2013), ≈ 140M núm. de CC roubados 2. Muitos ataques semelhantes (menores) desde 2000 • Motivação política: 3. Aurora, Tunisia Facebook (Fev. 2011), GitHub (Mar. 2015) • Infectar usuários que visitam o servidor Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Tipos de dados roubados (2012-2015) Fonte: California breach notification report, 2015
Mercado de Vulnerabilidades Opção 1: programas de incentivo e premiação • Google Vulnerability Reward Program: até $20K • Microsoft Bounty Program: até $100K • Mozilla Bug Bounty program: $7500 • Pwn2Own (competição): $15K Opção 2: • Zero day initiative (ZDI), iDefense: $2K – $25K Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Como empresas perdem dinheiro • malware/phishing: 54% • laptops perdidos/roubados: 22% • erros de membros internos: 17% • ataque de membros internos: 7% Fonte: California breach notification report, 2015
Exemplo: Mozilla Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Mercado de Vulnerabilidades Opção 3: mercado negro Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Mercado para máquinas dominadas • Serviços de Pay-Per-Install (PPI) Operação PPI: 1. dominar a máquina da vítima 2. baixar e instalar o código do cliente 3. cobrar ao cliente spam bot keylogger PPI service clientes vítimas Fonte: Cabalerro et al. (www.icir.org/vern/papers/ppi-usesec11.pdf)
Mercado para máquinas dominadas Custo: • USA - 100-180$ / 1000 máquinas • Ásia - 7-8$ / 1000 máquinas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Definindo Segurança Confidencialidade: Nenhum acesso indevido Integridade: Dados não foram (maliciosamente) alterados Disponibilidade: Dados/serviços podem ser acessados quando desejado Responsabilização: Ações são rastreáveis aos responsáveis Autenticação: Origem de dados precisamente identificáveis
Contramedidas de Proteção • Prevenção. Impedir quebras de segurança por design dos sistemas e pelo uso de tecnologias de segurança e de defesa. • Detecção. Se uma tentativa de quebra ocorrer, garantir que ela seja detectada. • Resposta. Caso uma quebra de segurança ocorra, dispor de um plano de recuperação. Respostas vão desde restaurar de backups ou reivindicar ao seguro, até informar aos stakeholders e aos agentes da lei.
Taxonomia de Ataques • Virus, worms, rootkits, Trojan horse, spyware, keylogger, screenlogger, adware, ransomware • code injection (buffer overflow, integer overflow) • phone phreaking, phishing, pharming • engenharia social, spam • cross-site request forgery, cross-site scripting, SQL-injection, transaction generators, clickjacking, tapjacking, frame busting • web spoofing, DNS rebinding • distributed denial of service
Ransomware (US-CERT, Mar/2016) • “Ransomware é um tipo de malware que infecta sistemas de computadores, restringindo o acesso dos usuários aos sistemas infectados. • Variantes de ransomware têm sido observados por vários anos e frequentemente tentam extorquir dinheiro de vítimas exibindo um alerta na tela. • Tipicamente, esses alertas dizem que os sistemas do usuário foram trancafiados ou que os arquivos do usuário foram encriptados. Usuários são avisados de que a menos que um resgate seja pago, acesso não será restaurado. O resgate demandado de indivíduos varia enormemente mas é frequentemente $200–$400 dólares e deve ser pago em moeda virtual, como Bitcoin.”
Ransomware: números recentes • Americanos já pagaram mais de US$325 milhões em resgate • No final de 2014, havia apenas 16 famílias de ransomware, conforme Malwarebytes. Ano passado, surgiram 27 novas. No primeiro semestre de 2016 apareceram 15 novas. • 60% das infecções de malware encontradas pela Malwarebytes são agora ransomware. • O número de infecções de ransomware detectadas pelo software SpyHunter nos EUA saltou 158% apenas entre Março e Abril deste ano. • No primeiro trimestre deste ano, o anti-virus da Kaspersky bloqueou a instalação de virus nos computadores de 372.602 usuários, aumento de 30% em relação ao trimestre anterior. • Cerca de 2.453 queixas de ransomware foram depositadas no FBI's Internet Crime Complaint Center no ano passado, com perdas chegando a mais de US$25 milhões.
Ataques em Smartphones Vetores de ataque: 1. navegadores da web 2. aplicativos instalados Específico para smartphones: 1. mensagens SMS 2. identificação da localização 3. gravação de chamadas 4. registro de SMS
Relatório da Kaspersky (Ago/2013 a Mar/2014) • 3.408.112 detecções de malware em 1.023.202 usuários. • 69.000 ataques em Ago/2013 -> 644.000 in Mar/2014 • 35.000 usuários -> 242.000 usuários • 59,06% relacionados a roubo de dinheiro do usuário • Rússia, Índia, Cazaquistão, Vietnã, Ucrânia e Alemanha têm os maiores números de ataques reportados • Trojans enviando SMS foram 57,08% de todas as detecções Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Cenário Típico • Cibercriminosos criam um site afiliado e convidam usuários da Internet a se tornarem seus cúmplices • Uma versão modificada do malware e uma página para download são criadas para cada cúmplice • Participantes do programa afiliado enganam usuários do Android e os induzem a instalar aplicativos maliciosos • Dispositivo infectado envia mensagens SMS a números “premium”, ganhando dinheiro para os cibercriminosos • Parte do dinheiro é pago aos parceiros afiliados (Fonte: http://media.kaspersky.com/pdf/Kaspersky-Lab-KSN-Report- mobile-cyberthreats-web.pdf)
Malware de Smartphone Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Tendências Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Incidência de Malware em Aplicativos Android A Large-Scale Study of Mobile Web App Security, Patrick Mutchler, Adam Doupe, John Mitchell, Chris Kruegel, Giovanni Vigna • Aplicativos web para smartphones: trazem embutido um navegador completamente funcional como um elemento de uma interface com o usuário Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Análise Estática • Quantos aplicativos web para smartphones? • Quantos vulneráveis? • Resultados: • 737.828 apps grátis no Google Play (Out ’13) • 563.109 apps embutem um browser • 107.974 têm pelo menos uma violação de segurança Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Vulnerabilidades mais significativas 1. Carregar conteúdo web não-confiável A. 152.706 apps com URLs parcialmente computadas B. 87.968 apps (57%) com HTTP URLs 2. Vazar URLs para apps estrangeiros 3. Expor navegação de mudança de estado a apps estrangeiros Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Resumo da Análise • Análise de um dataset de 737.828 aplicativos Android • Encontrou um grande número de apps contendo severas vulnerabilidades • 37.418 apps são vulneráveis a um exploit de execução remota de código quando executados em qualquer dispositivo Android, devido à omissão de segurança em versões mais antigas e adoção lenta de versões seguras • 45.689 apps são vulneráveis a um exploit de execução remota de código quando executados em 73% dos dispositivos Android em uso. Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
“RANSOMWARE HACKERS ARE COMING FOR YOUR HEALTH RECORDS” (Newsweek, 9 Abril 2016) • “Electronic health records em hospitais de todo o país têm se tornado atraentes a cibercriminosos buscando por alvos lucrativos relativamente fáceis. • Esses criminosos usam os chamados “ransomwares” para encriptar arquivos e depois mantê-los sob sua guarda para extrair resgates para devolver os dados.”
How to prevent ransomware attacks (Matthew Mellen, (16/05/2016) • “A essa altura em 2015, 105 violações de dados de saúde tinham sido reportados ao U.S. Department of Health and Human Services (HHS) para um total de mais de 92 milhões de registros perdidos, comparados com “apenas” 81 violações e 3,5 milhões de registros até agora em 2016. Boas notícias, certo? Bem, nem tanto. • Infelizmente, essa tendência aparentemente positiva não reflete a verdadeira paisagem de ameaças na indústria da assistência à saúde. Ransomware é um tipo de malware que restringe o acesso a arquivos ou sistemas com encriptação até que a vítima (o hospital) pague o resgate pela chave de destravar.”
“Is ransomware considered a health data breach under HIPAA?” (CMIO, 29 Abril 2016) • “Com um total de 112 milhões de violações de dados de registros de assistência à saúde acontecendo em mais de 250 incidentes separados no ano passado, pode-se dizer que segurança da informação não está na cabeça das pessoas. O dilúvio de violações levantou uma questão importante sobre um determinado tipo de incidente: será que o ataque de ransomware se constitui numa violação de dados sob a HIPAA?”
“The NHS has given the medical records of 1.6 million patients to Google” (The Independent, 04/05/16) NHS compartilha os registros médicos de 1,6 milhões de pacientes com Google como parte de acordo de compartilhamento de dados (The Independent, 04 Maio 2016) • “Os registros dizem respeito a pacientes de três hospitais de Londres que formam o Royal Free Trust; Barnet, Chase Farm e Royal Free Hospital coletaram no decorrer dos últimos cinco anos. Uma estimativa de 1,6 milhões de pacientes visitaram os hospitais a cada ano. • Google diz que pretende usar os dados como parte de seu grupo DeepMind para desenvolver um aplicativo que possa ajudar a reconhecer lesões renais. Entretanto, participantes de uma campanha de protesto têm revelado preocupações com o fato de que o compartilhamento de dados seja uma violação de confiança e não seja do interesse dos pacientes.”
EHRs e Blockchain • Blockchain ("cadeia de blocos" em inglês) é um banco de dados distribuídos (livro-razão) de contabilidade pública que registra as transações bitcoin. • A tecnologia bitcoin é considerada uma revolução no sistema monetário principalmente devido ao conceito introduzido pela cadeia de blocos. Antes da invenção da blockchain, a única maneira de se manter registros de contabilidade (saldos e transações de contas) era bancos de dados centralizados e, geralmente, não-públicos. Era necessário que as pessoas confiassem que o banco de dados fosse honesto, e que não haveria nenhuma alteração maliciosa nos bancos de dados.
Blockchain • Uma cadeia de bloco, ou blockchain, é um banco de dados distribuído que mantém uma lista continuamente crescente de registros de dados protegido contra adulteração e revisão. • Consiste de uma estrutura de dados em blocos-que detêm exclusivamente dados em implementações blockchain iniciais, e os dados e programas em algumas (por exemplo, Ethereum) das mais recentes implementações com cada bloco carregando lotes de transações individuais e os resultados de quaisquer códigos executáveis blockchain. Cada bloco contém um timestamp e informações ligando-o a um bloco anterior.
Blockchain • De forma simples, uma Blockchain é essencialmente um livro-razão distribuído e seguro, atualizado usando criptografia de chave pública. • Transações são enviadas a “endereços” de chave pública, e.g.: 1AjYPi8qryPCJu6xgdJuQzVnWFXLmxq9s3 1Give4dbry2pyJihnpqV6Urq2SGEhpz3K • A carteira digital fica na escuta por transações endereçadas a qualquer das suas chaves públicas e, teoricamente, é o único nó que é capaz de decriptar e aceitar a transferência. • “Moedas” são “enviadas” pela divulgação ampla de transações na rede que são verificadas e adicionadas a um bloco.
EHRs em Blockchain • Descentralização, garantindo que a integridade dos dados armazenados permaneça intacta, propiciando transparência completa. • Encriptação e resistência à adulteração, portanto blockchains alteradas são consideradas inválidas. • Acessibilidade global. • Transações verificáveis e imutáveis.
Benefícios do registro de EHRs em Blockchain • Propicia maior eficiência para pedidos de aprovação e cobrança e previne fraude já que os registros não podem ser alterados. • Tecnicamente, o método da blockchain atinge o padrão HIPAA ao proteger a confidencialidade do paciente e garantir que os registros médicos não são revelados a terceiros. • Entretanto, a adoção de tal abordagem radical que descentraliza os dados, independente de como estão encriptados e gerenciados, provavelmente encontraria oposição significativa de grupos defensores da privacidade, grupos de pacientes e estaria certamente sujeita à opinião pública que, em última análise, tem a palavra final.
Medical Records Project Wins Top Prize at Blockchain Hackathon (Nov 2015) • “MedVault, uma prova-de-conceito que permitiria pacientes registrarem informações médicas na blockchain do bitcoin, ganhou €5,000 em prêmio no Blockchain Hackathon esse final de semana. • Graham Rhodes, um desenvolvedor do MedVault, indicou que o projeto foi capaz de se destacar dos competidores em razão de seu uso da blockchain para “anonimizar” registros médicos: • “[Estamos] dando aos pacientes o controle sobre seus próprios registros médicos e a decisão de tornar certos aspectos públicos ou privados, ainda que armazenados de uma maneira distribuída global.”
“Blockchain collaboration defines the fabric for healthcare 2.0” (CIO, 12/4/16) • “Aplicações da blockchain relacionadas a assistência à saúde estão surgindo em toda parte. Tierion permite que você crie um registro verificável de quaisquer dados, arquivos, ou processos de negócios na blockchain. Gem, a plataforma usa hardware security modules (HSMs) multi-assinaturas, e cadeias de chaves criptográficas para tratar identidade de endereço e segurança do acesso à informação, que age como um protocolo da camada de aplicações da blockchain. Factom e HealthNautica estão trabalhando para proteger registros médicos e históricos de auditoria. Guardtime, um provedor de ciberssegurança que usa os sistemas de blockchain para garantir a integridade dos dados, está em parceria com a Estonian e-Health Authority para proteger mais de um milhão de registros de assistência à saúde. MedVault, uma prova-de- conceito que permitiria a pacientes registrar informações médicas na blockchain do Bitcoin. MedVault trabalha com Colu para a emissão e gerenciamento de ativos digitais sobre a blockchain do bitcoin usando API e SDKs.”
Zerocash • “Zerocash é um novo protocolo que propicia uma versão preservadora da privacidade do Bitcoin (ou uma moeda similar). • Zerocash repara uma fraqueza inerente do Bitcoin: toda a história de pagamentos do usuário é registrada na visão pública na blockchain, e é portanto imediatamente disponível a qualquer um. Enquanto que há técnicas para ofuscar essa informação, elas são problemáticas e ineficazes. Ao invés disso, em Zerocash, usuários podem fazer pagamentos uns aos outros diretamente, via transações de pagamento que não revelam nem a origem, nem o destino, e nem o montante do pagamento. Essa é uma melhora significativa comparada ao Bitcoin (e moedas digitais descentralizadas), onde todas as informações de pagamento são tornadas públicas para que o mundo todo veja.”

Recomendados

O uso significativo do prontuário eletrônico de saúde e o acesso à informação
O uso significativo do prontuário eletrônico de saúde e o acesso à informaçãoO uso significativo do prontuário eletrônico de saúde e o acesso à informação
O uso significativo do prontuário eletrônico de saúde e o acesso à informaçãoDaniel Guedes
 
Internet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaInternet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaDalvânia Santos
 
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...linkedcare
 
Tecnologias Da Saude
Tecnologias Da SaudeTecnologias Da Saude
Tecnologias Da SaudeFilipa Garcia
 
Minu mundo sad ao médico 1.0
Minu mundo sad ao médico 1.0Minu mundo sad ao médico 1.0
Minu mundo sad ao médico 1.0Michael Candido
 
Gestão populacional
Gestão populacionalGestão populacional
Gestão populacionalVZ Associados Consultoria em Saude
 
Sistema de informações hospitalares do sus
Sistema de informações hospitalares do susSistema de informações hospitalares do sus
Sistema de informações hospitalares do susEvilene Bolos
 
Diagnóstico de maturidade em serviços públicos
Diagnóstico de maturidade em serviços públicosDiagnóstico de maturidade em serviços públicos
Diagnóstico de maturidade em serviços públicosColaborativismo
 

Recomendados

O uso significativo do prontuário eletrônico de saúde e o acesso à informação
O uso significativo do prontuário eletrônico de saúde e o acesso à informaçãoO uso significativo do prontuário eletrônico de saúde e o acesso à informação
O uso significativo do prontuário eletrônico de saúde e o acesso à informaçãoDaniel Guedes
 
Internet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaInternet em saúde - Informática e Fisioterapia
Internet em saúde - Informática e FisioterapiaDalvânia Santos
 
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...
linkedcare - a primeira aplicação que liga médicos e cidadãos de forma segura...linkedcare
 
Tecnologias Da Saude
Tecnologias Da SaudeTecnologias Da Saude
Tecnologias Da SaudeFilipa Garcia
 
Minu mundo sad ao médico 1.0
Minu mundo sad ao médico 1.0Minu mundo sad ao médico 1.0
Minu mundo sad ao médico 1.0Michael Candido
 
Gestão populacional
Gestão populacionalGestão populacional
Gestão populacionalVZ Associados Consultoria em Saude
 
Sistema de informações hospitalares do sus
Sistema de informações hospitalares do susSistema de informações hospitalares do sus
Sistema de informações hospitalares do susEvilene Bolos
 
Diagnóstico de maturidade em serviços públicos
Diagnóstico de maturidade em serviços públicosDiagnóstico de maturidade em serviços públicos
Diagnóstico de maturidade em serviços públicosColaborativismo
 
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Ivomar Santos
 
Diário da saúde 3
Diário da saúde 3Diário da saúde 3
Diário da saúde 3Marketingipm
 
Diário da saúde 3 (1)
Diário da saúde 3 (1)Diário da saúde 3 (1)
Diário da saúde 3 (1)Marketingipm
 
Caso - DATASUS
Caso - DATASUSCaso - DATASUS
Caso - DATASUSInformatica Brasil
 
Participação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalParticipação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalCONITEC
 
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeO Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeFundação Fernando Henrique Cardoso
 
Central MéDica I Care®
Central MéDica I Care®Central MéDica I Care®
Central MéDica I Care®guest8d08d6
 
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da Saúde
 
#4 A Proposal Ecard
#4 A Proposal Ecard#4 A Proposal Ecard
#4 A Proposal Ecardcskorburg
 
DESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVODESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVOtinaa_
 
Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Yumarasuarez
 
Teste
TesteTeste
Testewashingtonpassosferreira
 
Giovana (
Giovana (Giovana (
Giovana (Atila Henrique
 
EyeSight001
EyeSight001EyeSight001
EyeSight001Kizashi NAKANO
 
Marks of the Mission
Marks of the MissionMarks of the Mission
Marks of the MissionFirst Southern Baptist Church of North Hollywood
 
Las ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresaLas ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresabananapeak8
 
Schablone Bart.pdf
Schablone Bart.pdfSchablone Bart.pdf
Schablone Bart.pdfunn | UNITED NEWS NETWORK GmbH
 
MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016Ray G. Brown
 
Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_ Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_ Ntando Nkumane
 
Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012Jesus Campos
 
Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012Jesus Campos
 
dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」Nezi Sato
 

Mais conteúdo relacionado

Mais procurados

Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Ivomar Santos
 
Diário da saúde 3
Diário da saúde 3Diário da saúde 3
Diário da saúde 3Marketingipm
 
Diário da saúde 3 (1)
Diário da saúde 3 (1)Diário da saúde 3 (1)
Diário da saúde 3 (1)Marketingipm
 
Participação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalParticipação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalCONITEC
 
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeO Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeFundação Fernando Henrique Cardoso
 
Central MéDica I Care®
Central MéDica I Care®Central MéDica I Care®
Central MéDica I Care®guest8d08d6
 
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da Saúde
 

Mais procurados (8)

Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
 
Diário da saúde 3
Diário da saúde 3Diário da saúde 3
Diário da saúde 3
 
Diário da saúde 3 (1)
Diário da saúde 3 (1)Diário da saúde 3 (1)
Diário da saúde 3 (1)
 
Caso - DATASUS
Caso - DATASUSCaso - DATASUS
Caso - DATASUS
 
Participação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalParticipação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios final
 
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeO Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
 
Central MéDica I Care®
Central MéDica I Care®Central MéDica I Care®
Central MéDica I Care®
 
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
 

Destaque

#4 A Proposal Ecard
#4 A Proposal Ecard#4 A Proposal Ecard
#4 A Proposal Ecardcskorburg
 
DESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVODESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVOtinaa_
 
Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Yumarasuarez
 
Las ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresaLas ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresabananapeak8
 
MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016Ray G. Brown
 
Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_ Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_ Ntando Nkumane
 
Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012Jesus Campos
 
Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012Jesus Campos
 
dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」Nezi Sato
 

Destaque (14)

#4 A Proposal Ecard
#4 A Proposal Ecard#4 A Proposal Ecard
#4 A Proposal Ecard
 
DESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVODESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVO
 
Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3
 
Teste
TesteTeste
Teste
 
Giovana (
Giovana (Giovana (
Giovana (
 
EyeSight001
EyeSight001EyeSight001
EyeSight001
 
Marks of the Mission
Marks of the MissionMarks of the Mission
Marks of the Mission
 
Las ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresaLas ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresa
 
Schablone Bart.pdf
Schablone Bart.pdfSchablone Bart.pdf
Schablone Bart.pdf
 
MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016
 
Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_ Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_
 
Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança Plus - 2012
 
Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança Basic - 2012
 
dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」
 

Semelhante a EHR Segurança

INFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptxINFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptxJosDivino5
 
Aula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/GamaAula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/GamaCamila Hamdan
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info
 
Tecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na SauTecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na SauElisabete500
 
saude digital.pdf
saude digital.pdfsaude digital.pdf
saude digital.pdfBrenoSouto2
 
As tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na SaúdeAs tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na Saúdemissmiracema
 
Impacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúdeImpacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúdeAlunasCTDI
 
Administração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptxAdministração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptxFelipe Assan Remondi
 
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfProf. Lobo
 
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfProf. Lobo
 

Semelhante a EHR Segurança (20)

Aplicativos para medicina
Aplicativos para medicinaAplicativos para medicina
Aplicativos para medicina
 
Res fenasaude
Res fenasaudeRes fenasaude
Res fenasaude
 
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptxINFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
 
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdfGestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
 
Aula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/GamaAula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/Gama
 
PDF_Minicurso-1.pdf
PDF_Minicurso-1.pdfPDF_Minicurso-1.pdf
PDF_Minicurso-1.pdf
 
DocPad - saúde online
DocPad - saúde onlineDocPad - saúde online
DocPad - saúde online
 
A Saúde na Era da Informação
A Saúde na Era da InformaçãoA Saúde na Era da Informação
A Saúde na Era da Informação
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
 
tic
tictic
tic
 
Tecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na SauTecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na Sau
 
saude digital.pdf
saude digital.pdfsaude digital.pdf
saude digital.pdf
 
As tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na SaúdeAs tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na Saúde
 
Impacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúdeImpacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúde
 
tic saude
tic saudetic saude
tic saude
 
Aula TICS 13.05.09
Aula TICS 13.05.09Aula TICS 13.05.09
Aula TICS 13.05.09
 
Reaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da SaúdeReaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da Saúde
 
Administração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptxAdministração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptx
 
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
 
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula2_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
 

Mais de Ruy De Queiroz

Homotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of ComputationHomotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of ComputationRuy De Queiroz
 
What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...Ruy De Queiroz
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingRuy De Queiroz
 
Law and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologiesLaw and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologiesRuy De Queiroz
 
Criptografia como aliado
Criptografia como aliadoCriptografia como aliado
Criptografia como aliadoRuy De Queiroz
 
Privacidade, Segurança, Identidade
Privacidade, Segurança, IdentidadePrivacidade, Segurança, Identidade
Privacidade, Segurança, IdentidadeRuy De Queiroz
 
From Tractatus to Later Writings and Back
From Tractatus to Later Writings and BackFrom Tractatus to Later Writings and Back
From Tractatus to Later Writings and BackRuy De Queiroz
 
Desafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre Direito e TecnologiaDesafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre Direito e TecnologiaRuy De Queiroz
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingConnections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingRuy De Queiroz
 
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)Ruy De Queiroz
 
Consensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized NetworksConsensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized NetworksRuy De Queiroz
 
Linguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da MatemáticaLinguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da MatemáticaRuy De Queiroz
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsRuy De Queiroz
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsComputational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsRuy De Queiroz
 
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)Ruy De Queiroz
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 
Capitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisCapitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisRuy De Queiroz
 
Computations, Paths, Types and Proofs
Computations, Paths, Types and ProofsComputations, Paths, Types and Proofs
Computations, Paths, Types and ProofsRuy De Queiroz
 
Computation, Paths, Types and Proofs
Computation, Paths, Types and ProofsComputation, Paths, Types and Proofs
Computation, Paths, Types and ProofsRuy De Queiroz
 
Privacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados PessoaisPrivacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados PessoaisRuy De Queiroz
 

Mais de Ruy De Queiroz (20)

Homotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of ComputationHomotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of Computation
 
What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
 
Law and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologiesLaw and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologies
 
Criptografia como aliado
Criptografia como aliadoCriptografia como aliado
Criptografia como aliado
 
Privacidade, Segurança, Identidade
Privacidade, Segurança, IdentidadePrivacidade, Segurança, Identidade
Privacidade, Segurança, Identidade
 
From Tractatus to Later Writings and Back
From Tractatus to Later Writings and BackFrom Tractatus to Later Writings and Back
From Tractatus to Later Writings and Back
 
Desafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre Direito e TecnologiaDesafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre Direito e Tecnologia
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingConnections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
 
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
 
Consensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized NetworksConsensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized Networks
 
Linguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da MatemáticaLinguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da Matemática
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsComputational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
 
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das Coisas
 
Capitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisCapitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados Pessoais
 
Computations, Paths, Types and Proofs
Computations, Paths, Types and ProofsComputations, Paths, Types and Proofs
Computations, Paths, Types and Proofs
 
Computation, Paths, Types and Proofs
Computation, Paths, Types and ProofsComputation, Paths, Types and Proofs
Computation, Paths, Types and Proofs
 
Privacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados PessoaisPrivacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados Pessoais
 

EHR Segurança

  • 1. Cibersegurança no Contexto de Prontuários Médicos Eletrônicos Ruy J.G.B. de Queiroz IV SINFORGEDS, Fortaleza, 19-20 Maio 2016
  • 2. Electronic Health Record Da Wikipédia: • “An electronic health record (EHR), or electronic medical record (EMR), refers to the systematized collection of patient and population electronically-stored health information in a digital format. These records can be shared across different health care settings.” • “Prontuário Eletrônico do Paciente (PEP) é definido como um sistema de prontuário médico padronizado e digital. O prontuário eletrônico é um meio virtual, um repositório onde todas as informações de saúde, clínicas e administrativas, ao longo da vida de um indivíduo, estão armazenadas, e muitos benefícios podem ser obtidos deste formato de armazenamento.”
  • 3. Electronic Medical Record vs Electronic Health Record • Um EMR contém os dados médicos e clínicos padrão coletados por um provedor de assistência à saúde. Electronic health records (EHRs) vão além dos dados coletados no ambiente do provedor e incluem um histórico mais abrangente do paciente. • Um electronic medical record (EMR) é uma versão digital de uma documentação em papel que contém tudo do histórico médico do paciente registrado numa determinada prática. Um EMR é usado sobretudo por provedores para diagnóstico e tratmento.
  • 4. Cartilha sobre Prontuário Eletrônico (Soc.Bras. Informática na Medicina, 2012) • “Com a evolução da tecnologia, especialmente da Internet, a possibilidade de compartilhar as informações de saúde tornou-se viável, e, naturalmente o Protocolo Eletrônico do Paciente (PEP), antes de uso exclusivo e interno da instituição de saúde, evoluiu para o conceito de um Registro Eletrônico de Saúde (RES). Este possui em seu núcleo conceitual o compartilhamento de informações sobre a saúde de um ou mais indivíduos, inter e multi- instituição, dentro de uma região (município, estado ou país), ou ainda, entre um grupo de hospitais.”
  • 5. Por que adotar EHR? (HealthIT.gov) Provedores que usam EHRs reportam melhoras tangíveis em sua capacidade de tomar decisões melhores com informações mais abrangentes. A adoção do EHR pode propiciar ao provedor de assistência à saúde: • Informação completa e precisa sobre a saúde do paciente • Capacidade de agir rapidamente numa necessidade urgente • Capacidade de melhor coordenar a assistência que provê • Uma forma de compartilhar informação com o paciente e os familiares que o assistem
  • 6. Por que adotar EHR? (HealthIT.gov) • EHRs também permitem: • detectar interações medicamentosas potencialmente perigosas • verificar medicações e dosagens • reduzir a necessidade de testes e procedimentos potencialmente arriscados
  • 7. Adoção de EHR’s nos EUA (Dados até 2014) Mais de 8 em 10 médicos clínicos tinham adotado um EHR Enquanto que a maioria dos médicos clínicos-gerais usaram a maioria das funcionalidades do Basic EHR, somente 6 em 10 visualizaram eletronicamente exames de imagem. Uma maioria de médicos clínicos-gerais usaram EHRs certificados, independente de sua participação no EHR Incentive Program. Clínicos gerais de assistência básica reportaram as mais altas taxas de adoção de qualquer dos EHRs, EHR certificados, e Basic EHR. Médicos de prática independente tiveram as mais baixas taxas de adoção de qualquer EHR, EHR certificados, e Basic EHR. Clínicos gerais em centros comunitários de saúde reportaram a taxa mais alta de adoção para EHR (qualquer); mas tiveram baixas taxas de adoção de EHR certificados, e Basic EHR.
  • 8. Adoção pelos hospitais • 97% dos hospitais reportaram dispor de tecnologia de Certified EHR em 2014. • Adicionalmente, houve crescimento significativo na adoção do Basic EHR, uma medida histórica que surgiu antes dos EHR Incentive Programs. • Em 2014, 76% dos hospitais tinham adotado pelo menos um Basic EHR. Isso representa um aumento de 27% em relação a 2013 e um aumento de um fator de 8 em relação a 2008. 70% de hospitais de pequeno porte (menos de 100 leitos), hospitais rurais, e hospitais de acesso crítico tinham adotado um Basic EHR com notas de clínicos.
  • 9. Uso do EHR pelo paciente • DALLAS, May 1, 2016 /PRNewswire/ -- Mais de 80% de médicos clínicos-gerais têm adotado electronic health records (EHRs), e 60% de consumidores que usam ferramentas digitais de saúde dizem que têm um electronic health record. Mas a maioria está acessando seus registros de saúde para simplesmente “se manter informado." Apenas 22% dos usuários de saúde digital estão acessando EHRs para ajudar a tomar decisões médicas. • 29% daqueles consumidores que dizem que têm um EHR não estão tendo qualquer benefício disso. 15% dizem que é difícil entender as informações e outros 14% não acessam seu EHR.
  • 10. Uso do EHR pelo paciente • Bryce Williams, CEO e Presidente da HealthMine disse, "Electronic health records ainda estão na fase inicial da adoção do consumidor. Eles têm o potencial de engajar os consumidores mais diretamente no gerenciamento de sua saúde. Programas de bem-estar podem ajudar a preencher a lacuna entre a adoção do EHR e o entendimento tornando as informações tanto mais significativas quanto mais utilizáveis para pacientes."
  • 11. Participação do Paciente • “Provedores e pacientes que compartilham acesso a informações eletrônicas de saúde podem colaborar na tomada de decisão informada. A participação do paciente é especialmente importante no gerenciamento e no tratamento de condições crônicas como asma, diabete, e obesidade.”
  • 12. Como EHRs podem incentivar a participação do paciente EHRs podem ajudar provedores a: • Garantir assistência de alta qualidade. Com EHRs, provedores podem dar aos pacientes informações completas e precisas sobre toda as suas avaliações de saúde. Provedores podem também oferecer informações que se seguem a uma visita a um consultório ou uma estadia num hospital, tais como instruções e auto-cuidado, lembretes para outras ações posteriores de cuidado com a saúde, e apontadores para recursos na web. • Criar um canal de comunicação direta com seus pacientes. Com EHRs, provedores podem gerenciar eletronicamente agendamentos de consultas e trocar e-mail com seus pacientes. Comunicação rápida e fácil entre pacientes e provedores podem ajudar os provedores a identificar sintomas mais cedo. E pode colocar os provedores numa posição tal que possam ser mais proativos atingindo melhor seus pacientes.
  • 13. Federal Health IT Strategic Plan: 2015-2020
  • 14. Personal Health Record • Um personal health record, ou PHR, é uma aplicação eletrônica usada por pacientes para manter e gerenciar suas próprias informações de saúde (ou aquela de outros para os quais está autorizado a fazê-lo). • Um PHR difere de um EHR no sentido de que os próprios pacientes usualmente instalam e acessam o PHR. Pacientes podem usar o PHR para acompanhar as informações das visitas aos médicos, registrar outras informações relacionadas à saúde, e remeter a outros recursos relacionados à saúde.
  • 15. Application Programming Interface (API) • Application Programming Interface (API) - uma tecnologia que permite que um programa (software) acesse os serviços fornecidos por um outro programa • Em sua 2015 Edition CEHRT rule, o ONC incluiu critérios de certificação para APIs completamente funcionais para suportar acesso de pacientes a dados de saúde via visualização, download, e transmissão (VDT). • Entretanto, ao discutir esse conceito na regra proposta, muitos membros expressaram preocupações com o respeito à privacidade e à segurança das APIs. • Por isso, a API Task Force foi criada para…
  • 16. • Identificar as preocupações percebidas com a segurança e os riscos reais de segurança que são barreiras para a adoção ampla de APIs abertas em assistência à saúde. • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, prova de identidade e autenticação não privilégio de APIs); • Identificar as as preocupações percebidas com a privacidade e os riscos reais de privacidade que são barreiras para a adoção ampla de APIs abertas em assistência à saúde.    • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, harmonizar lei estadual e a falta de entendimento do HIPAA); • Identificar recomendações de prioridade para o ONC que ajudará a permitir que consumidores alavanquem a tecnologia de API para acessar dados do paciente, ao mesmo tempo garantir o nível apropriado de proteção à privacidade e de segurança.
  • 17. Generic Use Case / User Flow for Patient-selected App App Developer builds an app that can benefit from patient data. App Developer builds support for an API-based connection to EHR data, and registers App with Hospital A (or its EHR). Patient reviews App's data use and privacy policies (and features) and decides to connect App to her EHR data in Hospital A. Patient signs into Hospital A's portal, and Hospital A shows an approval screen. Patient agrees to share (some of) her EHR data for some duration of time with App, and Hospital A records this decision. Hospital A's portal sends Patient back to App, and App gets a unique, time- and scope-limited access token for this patient. App can use the token to access Patient's EHR data for some duration of time in keeping with the patient’s approval. Variants on Use Case Personally-Controlled Health Record. For example, HealthVault. A site that stores information on a patient's behalf and makes it easily available. Personal health app. For example, a tool to manage diabetes. This app could be discovered and selected by the patient, or recommended by a provider. Patient-authored app. For example, a homemade tool to improve care coordination or plot lab results. Rogue app. For example, an app specifically designed from the ground up to steal data from a patient for financial gain. Or a "good" app that has been hacked. Casos de Uso
  • 18. Incidência de Violação de Informações de Saúde nos EUA “Baseados em dados coletados pelo HHS Office for Civil Rights, até 1 Fevereiro 2016, violação de informações protegidas de saúde (protected health information) sobre mais de 113 milhões de indivíduos em 2015. Em 2015, incidentes de hacking compreenderam quase 99% de todos os indivíduos afetados por violações, e o número de incidentes de hacking reportados, 57, cobriram mais de 20% de todas as violações reportadas. De 2011 a 2014, 97 incidentes de hacking afetaram menos de 4 milhões de indivíduos - menos de 10% de todas as violações reportadas e indivíduos afetados durante esse tempo.”
  • 20. Privacidade, Segurança e Confidencialidade Privacidade e Segurança • Health Information Protection and Accountability Act (HIPAA) • Regras de privacidade identificam padrões nacionais (45 CFR Part 160 e Subparts A e E da Part 164) • Regras de segurança operacionalizam esses padrões (Subparts A e C da Part 164) • Informações do paciente protegidas pelo HIPAA podem ser trocadas entre entidades cobertas na coordenação da assistência ao paciente sem consentimento adicional • Protegida pelo DHS Office of Civil Rights, penalidades aumentadas no Stage 1
  • 21. Privacidade, Segurança e Confidencialidade Confidencialidade • Confidentiality of Alcohol and Drug Abuse Patient Records Act (42 CFR Part 2) • Identifica e operacionaliza padrões • Informações do paciente não podem ser trocadas sem o consentimento do paciente • Protegida por lei federal, caso contrário, nenhuma penalidade
  • 22. Incidência de Violação de Informações de Saúde nos EUA Apesar do aumento nos casos de violação relacionados a incidentes de hacking, violações reportadas relacionadas a outros incidentes e o número de indivíduos afetados por essas violações diminuíram em 2015. Até 01/Fevereiro/2016, roubo, perda, descarte impróprio, e acesso não-autorizado ou revelação de informação protegida de saúde compreendem 208 de todas as violações reportadas (N=265), diminuíram de 216 (N=285) em 2014 e 211 (N=262) em 2013. Esses quatro tipos de incidentes de violação afetaram 1,4 milhões de indivíduos em 2015, comparados a 10,7 milhões em 2014 e 6,7 milhões em 2013.
  • 23. Incidência de Violação de Informações de Saúde nos EUA “Em 2015, 4 de 51 incidentes de hacking envolveram um electronic medical record (EMR). Um incidente de hacking afetou as informações de saúde de 3,9 milhões de indivíduos - quase todos os indivíduos afetados por um incidente de hacking de EMR em 2015.”
  • 24. Percepção da Segurança e da Privacidade de Prontuários Médicos ONC Data Brief ■ No. 33 ■ February 2016 (The Office of the National Coordinator for Health Information Technology) “Preservando a confiança do paciente na privacidade e na segurança das informações de saúde é um elemento crítico na obtenção de uma infraestrutura interoperável de TI de saúde. À medida em que a adoção de TI certificada de saúde e a troca de informações de saúde crescem em todos os hospitais e clínicas médicas, é importante avaliar o impacto dessas mudanças nas percepções dos consumidores a respeito de privacidade e segurança de suas informações de saúde. De 2012 a 2014, o ONC conduziu uma pesquisa nacional de consumidores para examinar as preocupações de privacidade e segurança e preferências com relação a electronic health records (EHRs) e trocas de informações de saúde (HIE).” Fonte: Trends in Individuals’ Perceptions regarding Privacy and Security of Medical Records and Exchange of Health Information: 2012-2014, V. Patel, P. Hughes, W. Barker, L. Moon
  • 25. Percepção da Segurança e da Privacidade de Prontuários Médicos • “As preocupações de indivíduos com a privacidade e a segurança de prontuários médicos em papel e eletrônicos diminuiu significativamente entre 2013 e 2014.” • “Em 2014, uma quantidade semelhante de indivíduos— cerca de um em cinco—expressou ausência de preocupação com ambas privacidade e segurança de seus registros médicos.” • “As preocupações de indivíduos com a privacidade e a segurança de registros médicos não diferem significativamente se eles têm registros médicos em papel ou eletrônico.”
  • 26. Percepção da Segurança e da Privacidade de Prontuários Médicos • “Entre 2012 e 2014, pelo menos três-quartos de indivíduos apoiavam o uso de EHRs de seus provedores de assistência à saúde, apesar de quaisquer potenciais preocupações com privacidade ou segurança.” • “As preocupações de indivíduos com a visualização não- autorizada de registros médicos quando enviados por fax ou meios eletrônicos diminuíram significativamente entre 2013 e 2014.” • “Entre 2012 e 2014, pelo menos 7 em 10 indivíduos apoiaram a troca de seus registros médicos apesar das potenciais preocupações com privacidade ou segurança.”
  • 27. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Protocolos médicos são normalmente usados por profissionais de saúde para propósitos de diagnóstico, tratamento, coordenação de assistência, e cobrança. • Entretanto, alguns registros contêm informações sensíveis tais como doenças sexualmente transmissíveis (DSTs), HIV, saúde mental ou informação de abuso de substância que podem ser embaraçosas ou usadas para discriminar contra o paciente de maneiras que são proibidas por certas leis estaduais ou federais.” Fonte: “Understanding the Challenges with Medical Data Segmentation for Privacy”, E. M. Chan, P; E. Lam, & J. C. Mitchell
  • 28. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Muitas dessas leis foram originalmente sancionadas para incentivar pacientes com condições sérias mas embaraçosas se apresentarem e buscarem tratamento médico ao mesmo tempo em que mantêm um certo nível de proteção à sua privacidade. • Sob uma perspectiva médica, estudos têm mostrado que alguns médicos podem ser suscetíveis a agir tendenciosamente de forma inconsciente se essas informações sensíveis estiverem presentes.”
  • 29. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Portanto alguns defensores da privacidade argumentam que informações sensíveis deveriam ser escondidas por default, e que pacientes devem ter controle completo e total sobre quais informações são liberadas; mas outros relatórios têm sugerido que pacientes poderiam não ter condições de decidir quais informações são medicamente relevantes. • Reforma na assistência à saúde através da assistência coordenada vai exigir coordenação ainda maior das atividades e da continuidade das informações via electronic health records (EHRs). No entanto, as preocupações com a privacidade codificadas nas leis estaduais e federais de privacidade que governam condições médicas sensíveis (…) limitam as informações que as várias partes tais como as trocas de informações de saúde (HIE) podem manusear sem o consentimento explícito do paciente.”
  • 30. Resumindo • “À medida em que a adoção de EHR e HIE aumentou em hospitais e clínicas, as preocupações dos consumidores com relação a HIE e a privacidade e a segurança dos prontuários médicos diminuiu. Entretanto, é importante notar que essas percepções refletem os pontos de vista dos indivíduos antes do anúncio em 2015 de várias violações de informações de saúde. Se essas recentes violações podem impactar negativamente as percepções dos indivíduos relacionadas a privacidade e segurança dos seus protocolos médicos e a troca de suas informações de saúde não está claro e merece monitoramento. • Adicionalmente, não está claro se os decréscimos significativos nas preocupações entre 2013 e 2014 são uma anomalia ou se isso representa o início de uma nova tendência no sentido do decréscimo das preocupações com privacidade e segurança.”
  • 31. O problema da segurança de computador • Muito software com erros • Engenharia social funciona mesmo • É possível ganhar dinheiro com achar e explorar vulnerabilidades. 1. Existe mercado para vulnerabilidades 2. Existe mercado para máquinas dominadas (PPI) 3. Muitos métodos de se aproveitar de máquinas dominadas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 32. Muitas revelações de vulnerabilidades (2015) Fonte: www.cvedetails.com/top-50-products.php?year=2015
  • 33. Aplicações vulneráveis sendo exploradas Fonte: Kaspersky Security Bulletin 2015
  • 34. Malware móvel (Nov. 2013 – Out. 2014) A ascensão dos Trojans móveis para bancos (Kaspersky Security Bulletin 2014) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 35. Por que dominar máquinas?: 
 1. Roubo de IP e banda larga • Objetivo do atacante: se passar por um usuário comum da Internet • Usar o endereço IP da máquina ou smartphone infectado para: • Spam (e.g. uma botnet storm) • Spamalítica: • 1:12M pharma spams leva a compra • 1:260K greeting card spams leva a infecção • Negação de Serviço: Serviços: 1 hora (20$), 24 horas (100$) • Fraude de clique (e.g. Clickbot.a) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 36. Por que dominar máquinas?: 2. Roubar credenciais e injetar ads • keylog para senhas bancárias, senhas de serviços na web, senhas de jogos online. • Exemplo: SilentBanker Usuário solicita página de login Banco envia página de login solicitada BancoMalware injeta JavascriptQuando o usuário submete a informação, ela é enviada também ao atacante Man-in-the-Browser (MITB) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 37. Muitos malwares financeiros • tamanho: 3.5 KB • espalhado via anexos de email • também encontrado em roteadores caseiros Fonte: Kaspersky Security Bulletin 2015
  • 38. Por que dominar máquinas?: 3. Ransomware CryptoWall (2014-) • alveja Windows • espalha-se por spam emails ≈200.000 máquinas em 2015 Um problema mundial. Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 39. Por que dominar máquinas?: 4. Espalhar para sistemas isolados • Exemplo: Stuxnet • Infecção no Windows software de controle do Siemens PCS 7 SCADA no Windows controlador do dispositivo Siemens na rede isolada Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 40. Ataques a servidores • Roubo de dados financeiros: usualmente, números de cart.cred 1. Exemplo: Target (2013), ≈ 140M núm. de CC roubados 2. Muitos ataques semelhantes (menores) desde 2000 • Motivação política: 3. Aurora, Tunisia Facebook (Fev. 2011), GitHub (Mar. 2015) • Infectar usuários que visitam o servidor Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 41. Tipos de dados roubados (2012-2015) Fonte: California breach notification report, 2015
  • 42. Mercado de Vulnerabilidades Opção 1: programas de incentivo e premiação • Google Vulnerability Reward Program: até $20K • Microsoft Bounty Program: até $100K • Mozilla Bug Bounty program: $7500 • Pwn2Own (competição): $15K Opção 2: • Zero day initiative (ZDI), iDefense: $2K – $25K Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 43. Como empresas perdem dinheiro • malware/phishing: 54% • laptops perdidos/roubados: 22% • erros de membros internos: 17% • ataque de membros internos: 7% Fonte: California breach notification report, 2015
  • 45. Mercado de Vulnerabilidades Opção 3: mercado negro Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 46. Mercado para máquinas dominadas • Serviços de Pay-Per-Install (PPI) Operação PPI: 1. dominar a máquina da vítima 2. baixar e instalar o código do cliente 3. cobrar ao cliente spam bot keylogger PPI service clientes vítimas Fonte: Cabalerro et al. (www.icir.org/vern/papers/ppi-usesec11.pdf)
  • 47. Mercado para máquinas dominadas Custo: • USA - 100-180$ / 1000 máquinas • Ásia - 7-8$ / 1000 máquinas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 48. Definindo Segurança Confidencialidade: Nenhum acesso indevido Integridade: Dados não foram (maliciosamente) alterados Disponibilidade: Dados/serviços podem ser acessados quando desejado Responsabilização: Ações são rastreáveis aos responsáveis Autenticação: Origem de dados precisamente identificáveis
  • 49. Contramedidas de Proteção • Prevenção. Impedir quebras de segurança por design dos sistemas e pelo uso de tecnologias de segurança e de defesa. • Detecção. Se uma tentativa de quebra ocorrer, garantir que ela seja detectada. • Resposta. Caso uma quebra de segurança ocorra, dispor de um plano de recuperação. Respostas vão desde restaurar de backups ou reivindicar ao seguro, até informar aos stakeholders e aos agentes da lei.
  • 50. Taxonomia de Ataques • Virus, worms, rootkits, Trojan horse, spyware, keylogger, screenlogger, adware, ransomware • code injection (buffer overflow, integer overflow) • phone phreaking, phishing, pharming • engenharia social, spam • cross-site request forgery, cross-site scripting, SQL-injection, transaction generators, clickjacking, tapjacking, frame busting • web spoofing, DNS rebinding • distributed denial of service
  • 51. Ransomware (US-CERT, Mar/2016) • “Ransomware é um tipo de malware que infecta sistemas de computadores, restringindo o acesso dos usuários aos sistemas infectados. • Variantes de ransomware têm sido observados por vários anos e frequentemente tentam extorquir dinheiro de vítimas exibindo um alerta na tela. • Tipicamente, esses alertas dizem que os sistemas do usuário foram trancafiados ou que os arquivos do usuário foram encriptados. Usuários são avisados de que a menos que um resgate seja pago, acesso não será restaurado. O resgate demandado de indivíduos varia enormemente mas é frequentemente $200–$400 dólares e deve ser pago em moeda virtual, como Bitcoin.”
  • 52. Ransomware: números recentes • Americanos já pagaram mais de US$325 milhões em resgate • No final de 2014, havia apenas 16 famílias de ransomware, conforme Malwarebytes. Ano passado, surgiram 27 novas. No primeiro semestre de 2016 apareceram 15 novas. • 60% das infecções de malware encontradas pela Malwarebytes são agora ransomware. • O número de infecções de ransomware detectadas pelo software SpyHunter nos EUA saltou 158% apenas entre Março e Abril deste ano. • No primeiro trimestre deste ano, o anti-virus da Kaspersky bloqueou a instalação de virus nos computadores de 372.602 usuários, aumento de 30% em relação ao trimestre anterior. • Cerca de 2.453 queixas de ransomware foram depositadas no FBI's Internet Crime Complaint Center no ano passado, com perdas chegando a mais de US$25 milhões.
  • 53. Ataques em Smartphones Vetores de ataque: 1. navegadores da web 2. aplicativos instalados Específico para smartphones: 1. mensagens SMS 2. identificação da localização 3. gravação de chamadas 4. registro de SMS
  • 54. Relatório da Kaspersky (Ago/2013 a Mar/2014) • 3.408.112 detecções de malware em 1.023.202 usuários. • 69.000 ataques em Ago/2013 -> 644.000 in Mar/2014 • 35.000 usuários -> 242.000 usuários • 59,06% relacionados a roubo de dinheiro do usuário • Rússia, Índia, Cazaquistão, Vietnã, Ucrânia e Alemanha têm os maiores números de ataques reportados • Trojans enviando SMS foram 57,08% de todas as detecções Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 55. Cenário Típico • Cibercriminosos criam um site afiliado e convidam usuários da Internet a se tornarem seus cúmplices • Uma versão modificada do malware e uma página para download são criadas para cada cúmplice • Participantes do programa afiliado enganam usuários do Android e os induzem a instalar aplicativos maliciosos • Dispositivo infectado envia mensagens SMS a números “premium”, ganhando dinheiro para os cibercriminosos • Parte do dinheiro é pago aos parceiros afiliados (Fonte: http://media.kaspersky.com/pdf/Kaspersky-Lab-KSN-Report- mobile-cyberthreats-web.pdf)
  • 56. Malware de Smartphone Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 58. Incidência de Malware em Aplicativos Android A Large-Scale Study of Mobile Web App Security, Patrick Mutchler, Adam Doupe, John Mitchell, Chris Kruegel, Giovanni Vigna • Aplicativos web para smartphones: trazem embutido um navegador completamente funcional como um elemento de uma interface com o usuário Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 59. Análise Estática • Quantos aplicativos web para smartphones? • Quantos vulneráveis? • Resultados: • 737.828 apps grátis no Google Play (Out ’13) • 563.109 apps embutem um browser • 107.974 têm pelo menos uma violação de segurança Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 60. Vulnerabilidades mais significativas 1. Carregar conteúdo web não-confiável A. 152.706 apps com URLs parcialmente computadas B. 87.968 apps (57%) com HTTP URLs 2. Vazar URLs para apps estrangeiros 3. Expor navegação de mudança de estado a apps estrangeiros Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 61. Resumo da Análise • Análise de um dataset de 737.828 aplicativos Android • Encontrou um grande número de apps contendo severas vulnerabilidades • 37.418 apps são vulneráveis a um exploit de execução remota de código quando executados em qualquer dispositivo Android, devido à omissão de segurança em versões mais antigas e adoção lenta de versões seguras • 45.689 apps são vulneráveis a um exploit de execução remota de código quando executados em 73% dos dispositivos Android em uso. Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 62. “RANSOMWARE HACKERS ARE COMING FOR YOUR HEALTH RECORDS” (Newsweek, 9 Abril 2016) • “Electronic health records em hospitais de todo o país têm se tornado atraentes a cibercriminosos buscando por alvos lucrativos relativamente fáceis. • Esses criminosos usam os chamados “ransomwares” para encriptar arquivos e depois mantê-los sob sua guarda para extrair resgates para devolver os dados.”
  • 63. How to prevent ransomware attacks (Matthew Mellen, (16/05/2016) • “A essa altura em 2015, 105 violações de dados de saúde tinham sido reportados ao U.S. Department of Health and Human Services (HHS) para um total de mais de 92 milhões de registros perdidos, comparados com “apenas” 81 violações e 3,5 milhões de registros até agora em 2016. Boas notícias, certo? Bem, nem tanto. • Infelizmente, essa tendência aparentemente positiva não reflete a verdadeira paisagem de ameaças na indústria da assistência à saúde. Ransomware é um tipo de malware que restringe o acesso a arquivos ou sistemas com encriptação até que a vítima (o hospital) pague o resgate pela chave de destravar.”
  • 64. “Is ransomware considered a health data breach under HIPAA?” (CMIO, 29 Abril 2016) • “Com um total de 112 milhões de violações de dados de registros de assistência à saúde acontecendo em mais de 250 incidentes separados no ano passado, pode-se dizer que segurança da informação não está na cabeça das pessoas. O dilúvio de violações levantou uma questão importante sobre um determinado tipo de incidente: será que o ataque de ransomware se constitui numa violação de dados sob a HIPAA?”
  • 65. “The NHS has given the medical records of 1.6 million patients to Google” (The Independent, 04/05/16) NHS compartilha os registros médicos de 1,6 milhões de pacientes com Google como parte de acordo de compartilhamento de dados (The Independent, 04 Maio 2016) • “Os registros dizem respeito a pacientes de três hospitais de Londres que formam o Royal Free Trust; Barnet, Chase Farm e Royal Free Hospital coletaram no decorrer dos últimos cinco anos. Uma estimativa de 1,6 milhões de pacientes visitaram os hospitais a cada ano. • Google diz que pretende usar os dados como parte de seu grupo DeepMind para desenvolver um aplicativo que possa ajudar a reconhecer lesões renais. Entretanto, participantes de uma campanha de protesto têm revelado preocupações com o fato de que o compartilhamento de dados seja uma violação de confiança e não seja do interesse dos pacientes.”
  • 66. EHRs e Blockchain • Blockchain ("cadeia de blocos" em inglês) é um banco de dados distribuídos (livro-razão) de contabilidade pública que registra as transações bitcoin. • A tecnologia bitcoin é considerada uma revolução no sistema monetário principalmente devido ao conceito introduzido pela cadeia de blocos. Antes da invenção da blockchain, a única maneira de se manter registros de contabilidade (saldos e transações de contas) era bancos de dados centralizados e, geralmente, não-públicos. Era necessário que as pessoas confiassem que o banco de dados fosse honesto, e que não haveria nenhuma alteração maliciosa nos bancos de dados.
  • 67. Blockchain • Uma cadeia de bloco, ou blockchain, é um banco de dados distribuído que mantém uma lista continuamente crescente de registros de dados protegido contra adulteração e revisão. • Consiste de uma estrutura de dados em blocos-que detêm exclusivamente dados em implementações blockchain iniciais, e os dados e programas em algumas (por exemplo, Ethereum) das mais recentes implementações com cada bloco carregando lotes de transações individuais e os resultados de quaisquer códigos executáveis blockchain. Cada bloco contém um timestamp e informações ligando-o a um bloco anterior.
  • 68. Blockchain • De forma simples, uma Blockchain é essencialmente um livro-razão distribuído e seguro, atualizado usando criptografia de chave pública. • Transações são enviadas a “endereços” de chave pública, e.g.: 1AjYPi8qryPCJu6xgdJuQzVnWFXLmxq9s3 1Give4dbry2pyJihnpqV6Urq2SGEhpz3K • A carteira digital fica na escuta por transações endereçadas a qualquer das suas chaves públicas e, teoricamente, é o único nó que é capaz de decriptar e aceitar a transferência. • “Moedas” são “enviadas” pela divulgação ampla de transações na rede que são verificadas e adicionadas a um bloco.
  • 69. EHRs em Blockchain • Descentralização, garantindo que a integridade dos dados armazenados permaneça intacta, propiciando transparência completa. • Encriptação e resistência à adulteração, portanto blockchains alteradas são consideradas inválidas. • Acessibilidade global. • Transações verificáveis e imutáveis.
  • 70. Benefícios do registro de EHRs em Blockchain • Propicia maior eficiência para pedidos de aprovação e cobrança e previne fraude já que os registros não podem ser alterados. • Tecnicamente, o método da blockchain atinge o padrão HIPAA ao proteger a confidencialidade do paciente e garantir que os registros médicos não são revelados a terceiros. • Entretanto, a adoção de tal abordagem radical que descentraliza os dados, independente de como estão encriptados e gerenciados, provavelmente encontraria oposição significativa de grupos defensores da privacidade, grupos de pacientes e estaria certamente sujeita à opinião pública que, em última análise, tem a palavra final.
  • 71. Medical Records Project Wins Top Prize at Blockchain Hackathon (Nov 2015) • “MedVault, uma prova-de-conceito que permitiria pacientes registrarem informações médicas na blockchain do bitcoin, ganhou €5,000 em prêmio no Blockchain Hackathon esse final de semana. • Graham Rhodes, um desenvolvedor do MedVault, indicou que o projeto foi capaz de se destacar dos competidores em razão de seu uso da blockchain para “anonimizar” registros médicos: • “[Estamos] dando aos pacientes o controle sobre seus próprios registros médicos e a decisão de tornar certos aspectos públicos ou privados, ainda que armazenados de uma maneira distribuída global.”
  • 72. “Blockchain collaboration defines the fabric for healthcare 2.0” (CIO, 12/4/16) • “Aplicações da blockchain relacionadas a assistência à saúde estão surgindo em toda parte. Tierion permite que você crie um registro verificável de quaisquer dados, arquivos, ou processos de negócios na blockchain. Gem, a plataforma usa hardware security modules (HSMs) multi-assinaturas, e cadeias de chaves criptográficas para tratar identidade de endereço e segurança do acesso à informação, que age como um protocolo da camada de aplicações da blockchain. Factom e HealthNautica estão trabalhando para proteger registros médicos e históricos de auditoria. Guardtime, um provedor de ciberssegurança que usa os sistemas de blockchain para garantir a integridade dos dados, está em parceria com a Estonian e-Health Authority para proteger mais de um milhão de registros de assistência à saúde. MedVault, uma prova-de- conceito que permitiria a pacientes registrar informações médicas na blockchain do Bitcoin. MedVault trabalha com Colu para a emissão e gerenciamento de ativos digitais sobre a blockchain do bitcoin usando API e SDKs.”
  • 73. Zerocash • “Zerocash é um novo protocolo que propicia uma versão preservadora da privacidade do Bitcoin (ou uma moeda similar). • Zerocash repara uma fraqueza inerente do Bitcoin: toda a história de pagamentos do usuário é registrada na visão pública na blockchain, e é portanto imediatamente disponível a qualquer um. Enquanto que há técnicas para ofuscar essa informação, elas são problemáticas e ineficazes. Ao invés disso, em Zerocash, usuários podem fazer pagamentos uns aos outros diretamente, via transações de pagamento que não revelam nem a origem, nem o destino, e nem o montante do pagamento. Essa é uma melhora significativa comparada ao Bitcoin (e moedas digitais descentralizadas), onde todas as informações de pagamento são tornadas públicas para que o mundo todo veja.”