SlideShare uma empresa Scribd logo
Cibersegurança no
Contexto de Prontuários
Médicos Eletrônicos
Ruy J.G.B. de Queiroz
IV SINFORGEDS, Fortaleza, 19-20 Maio 2016
Electronic Health Record
Da Wikipédia:
• “An electronic health record (EHR), or electronic medical record
(EMR), refers to the systematized collection of patient and
population electronically-stored health information in a digital
format. These records can be shared across different health care
settings.”
• “Prontuário Eletrônico do Paciente (PEP) é definido como um
sistema de prontuário médico padronizado e digital. O prontuário
eletrônico é um meio virtual, um repositório onde todas as
informações de saúde, clínicas e administrativas, ao longo da
vida de um indivíduo, estão armazenadas, e muitos benefícios
podem ser obtidos deste formato de armazenamento.”
Electronic Medical Record
vs Electronic Health Record
• Um EMR contém os dados médicos e clínicos padrão
coletados por um provedor de assistência à saúde.
Electronic health records (EHRs) vão além dos dados
coletados no ambiente do provedor e incluem um
histórico mais abrangente do paciente.
• Um electronic medical record (EMR) é uma versão
digital de uma documentação em papel que contém
tudo do histórico médico do paciente registrado numa
determinada prática. Um EMR é usado sobretudo por
provedores para diagnóstico e tratmento.
Cartilha sobre Prontuário Eletrônico
(Soc.Bras. Informática na Medicina, 2012)
• “Com a evolução da tecnologia, especialmente da
Internet, a possibilidade de compartilhar as
informações de saúde tornou-se viável, e,
naturalmente o Protocolo Eletrônico do Paciente
(PEP), antes de uso exclusivo e interno da instituição
de saúde, evoluiu para o conceito de um Registro
Eletrônico de Saúde (RES). Este possui em seu
núcleo conceitual o compartilhamento de informações
sobre a saúde de um ou mais indivíduos, inter e multi-
instituição, dentro de uma região (município, estado
ou país), ou ainda, entre um grupo de hospitais.”
Por que adotar EHR?
(HealthIT.gov)
Provedores que usam EHRs reportam melhoras tangíveis em
sua capacidade de tomar decisões melhores com informações
mais abrangentes. A adoção do EHR pode propiciar ao
provedor de assistência à saúde:
• Informação completa e precisa sobre a saúde do paciente
• Capacidade de agir rapidamente numa necessidade urgente
• Capacidade de melhor coordenar a assistência que provê
• Uma forma de compartilhar informação com o paciente e os
familiares que o assistem
Por que adotar EHR?
(HealthIT.gov)
• EHRs também permitem:
• detectar interações medicamentosas
potencialmente perigosas
• verificar medicações e dosagens
• reduzir a necessidade de testes e
procedimentos potencialmente arriscados
Adoção de EHR’s nos EUA
(Dados até 2014)
Mais de 8 em 10 médicos clínicos tinham adotado um EHR
Enquanto que a maioria dos médicos clínicos-gerais usaram a maioria das
funcionalidades do Basic EHR, somente 6 em 10 visualizaram eletronicamente
exames de imagem.
Uma maioria de médicos clínicos-gerais usaram EHRs certificados, independente de
sua participação no EHR Incentive Program.
Clínicos gerais de assistência básica reportaram as mais altas taxas de adoção de
qualquer dos EHRs, EHR certificados, e Basic EHR.
Médicos de prática independente tiveram as mais baixas taxas de adoção de
qualquer EHR, EHR certificados, e Basic EHR.
Clínicos gerais em centros comunitários de saúde reportaram a taxa mais alta de
adoção para EHR (qualquer); mas tiveram baixas taxas de adoção de EHR
certificados, e Basic EHR.
Adoção pelos hospitais
• 97% dos hospitais reportaram dispor de tecnologia de
Certified EHR em 2014.
• Adicionalmente, houve crescimento significativo na
adoção do Basic EHR, uma medida histórica que surgiu
antes dos EHR Incentive Programs.
• Em 2014, 76% dos hospitais tinham adotado pelo menos
um Basic EHR. Isso representa um aumento de 27% em
relação a 2013 e um aumento de um fator de 8 em relação
a 2008. 70% de hospitais de pequeno porte (menos de
100 leitos), hospitais rurais, e hospitais de acesso crítico
tinham adotado um Basic EHR com notas de clínicos.
Uso do EHR pelo paciente
• DALLAS, May 1, 2016 /PRNewswire/ -- Mais de 80% de
médicos clínicos-gerais têm adotado electronic health
records (EHRs), e 60% de consumidores que usam
ferramentas digitais de saúde dizem que têm um electronic
health record. Mas a maioria está acessando seus registros
de saúde para simplesmente “se manter informado."
Apenas 22% dos usuários de saúde digital estão
acessando EHRs para ajudar a tomar decisões médicas.
• 29% daqueles consumidores que dizem que têm um EHR
não estão tendo qualquer benefício disso. 15% dizem que
é difícil entender as informações e outros 14% não
acessam seu EHR.
Uso do EHR pelo paciente
• Bryce Williams, CEO e Presidente da HealthMine
disse, "Electronic health records ainda estão na
fase inicial da adoção do consumidor. Eles têm o
potencial de engajar os consumidores mais
diretamente no gerenciamento de sua saúde.
Programas de bem-estar podem ajudar a
preencher a lacuna entre a adoção do EHR e o
entendimento tornando as informações tanto
mais significativas quanto mais utilizáveis para
pacientes."
Participação do Paciente
• “Provedores e pacientes que compartilham
acesso a informações eletrônicas de saúde
podem colaborar na tomada de decisão
informada. A participação do paciente é
especialmente importante no gerenciamento e
no tratamento de condições crônicas como
asma, diabete, e obesidade.”
Como EHRs podem incentivar
a participação do paciente
EHRs podem ajudar provedores a:
• Garantir assistência de alta qualidade. Com EHRs, provedores podem dar
aos pacientes informações completas e precisas sobre toda as suas
avaliações de saúde. Provedores podem também oferecer informações
que se seguem a uma visita a um consultório ou uma estadia num
hospital, tais como instruções e auto-cuidado, lembretes para outras
ações posteriores de cuidado com a saúde, e apontadores para recursos
na web.
• Criar um canal de comunicação direta com seus pacientes. Com EHRs,
provedores podem gerenciar eletronicamente agendamentos de consultas
e trocar e-mail com seus pacientes. Comunicação rápida e fácil entre
pacientes e provedores podem ajudar os provedores a identificar
sintomas mais cedo. E pode colocar os provedores numa posição tal que
possam ser mais proativos atingindo melhor seus pacientes.
Federal Health IT Strategic
Plan: 2015-2020
Personal Health Record
• Um personal health record, ou PHR, é uma aplicação
eletrônica usada por pacientes para manter e gerenciar
suas próprias informações de saúde (ou aquela de
outros para os quais está autorizado a fazê-lo).
• Um PHR difere de um EHR no sentido de que os
próprios pacientes usualmente instalam e acessam o
PHR. Pacientes podem usar o PHR para acompanhar
as informações das visitas aos médicos, registrar outras
informações relacionadas à saúde, e remeter a outros
recursos relacionados à saúde.
Application Programming
Interface (API)
• Application Programming Interface (API) - uma tecnologia que
permite que um programa (software) acesse os serviços
fornecidos por um outro programa
• Em sua 2015 Edition CEHRT rule, o ONC incluiu critérios de
certificação para APIs completamente funcionais para suportar
acesso de pacientes a dados de saúde via visualização,
download, e transmissão (VDT).
• Entretanto, ao discutir esse conceito na regra proposta, muitos
membros expressaram preocupações com o respeito à
privacidade e à segurança das APIs.
• Por isso, a API Task Force foi criada para…
• Identificar as preocupações percebidas com a segurança e os riscos reais de
segurança que são barreiras para a adoção ampla de APIs abertas em
assistência à saúde.
• Para os riscos identificados como reais, identificar aqueles que ainda não
estão nos planos do Interoperability Roadmap (por exemplo, prova de
identidade e autenticação não privilégio de APIs);
• Identificar as as preocupações percebidas com a privacidade e os riscos reais
de privacidade que são barreiras para a adoção ampla de APIs abertas em
assistência à saúde.   
• Para os riscos identificados como reais, identificar aqueles que ainda não
estão nos planos do Interoperability Roadmap (por exemplo, harmonizar lei
estadual e a falta de entendimento do HIPAA);
• Identificar recomendações de prioridade para o ONC que ajudará a permitir
que consumidores alavanquem a tecnologia de API para acessar dados do
paciente, ao mesmo tempo garantir o nível apropriado de proteção à
privacidade e de segurança.
Generic Use Case / User Flow for Patient-selected App
App Developer builds an app that can benefit from patient data. App Developer builds support
for an API-based connection to EHR data, and registers App with Hospital A (or its EHR).
Patient reviews App's data use and privacy policies (and features) and decides to connect App
to her EHR data in Hospital A. Patient signs into Hospital A's portal, and Hospital A shows an
approval screen. Patient agrees to share (some of) her EHR data for some duration of time with
App, and Hospital A records this decision. Hospital A's portal sends Patient back to App, and
App gets a unique, time- and scope-limited access token for this patient. App can use the token
to access Patient's EHR data for some duration of time in keeping with the patient’s approval.
Variants on Use Case
Personally-Controlled Health Record. For example, HealthVault. A site that stores information
on a patient's behalf and makes it easily available.
Personal health app. For example, a tool to manage diabetes. This app could be discovered
and selected by the patient, or recommended by a provider.
Patient-authored app. For example, a homemade tool to improve care coordination or plot lab
results.
Rogue app. For example, an app specifically designed from the ground up to steal data from a
patient for financial gain. Or a "good" app that has been hacked.
Casos de Uso
Incidência de Violação de
Informações de Saúde nos EUA
“Baseados em dados coletados pelo HHS Office for Civil
Rights, até 1 Fevereiro 2016, violação de informações
protegidas de saúde (protected health information) sobre mais
de 113 milhões de indivíduos em 2015.
Em 2015, incidentes de hacking compreenderam quase 99%
de todos os indivíduos afetados por violações, e o número de
incidentes de hacking reportados, 57, cobriram mais de 20%
de todas as violações reportadas.
De 2011 a 2014, 97 incidentes de hacking afetaram menos de
4 milhões de indivíduos - menos de 10% de todas as violações
reportadas e indivíduos afetados durante esse tempo.”
Protected Health Information
(PHI)
Privacidade, Segurança e
Confidencialidade
Privacidade e Segurança
• Health Information Protection and Accountability Act (HIPAA)
• Regras de privacidade identificam padrões nacionais (45 CFR Part 160 e
Subparts A e E da Part 164)
• Regras de segurança operacionalizam esses padrões (Subparts A e C da
Part 164)
• Informações do paciente protegidas pelo HIPAA podem ser trocadas entre
entidades cobertas na coordenação da assistência ao paciente sem
consentimento adicional
• Protegida pelo DHS Office of Civil Rights, penalidades aumentadas no Stage
1
Privacidade, Segurança e
Confidencialidade
Confidencialidade
• Confidentiality of Alcohol and Drug Abuse Patient
Records Act (42 CFR Part 2)
• Identifica e operacionaliza padrões
• Informações do paciente não podem ser trocadas
sem o consentimento do paciente
• Protegida por lei federal, caso contrário, nenhuma
penalidade
Incidência de Violação de
Informações de Saúde nos EUA
Apesar do aumento nos casos de violação relacionados a
incidentes de hacking, violações reportadas relacionadas a outros
incidentes e o número de indivíduos afetados por essas violações
diminuíram em 2015.
Até 01/Fevereiro/2016, roubo, perda, descarte impróprio, e acesso
não-autorizado ou revelação de informação protegida de saúde
compreendem 208 de todas as violações reportadas (N=265),
diminuíram de 216 (N=285) em 2014 e 211 (N=262) em 2013.
Esses quatro tipos de incidentes de violação afetaram 1,4 milhões
de indivíduos em 2015, comparados a 10,7 milhões em 2014 e 6,7
milhões em 2013.
Incidência de Violação de
Informações de Saúde nos EUA
“Em 2015, 4 de 51 incidentes de hacking
envolveram um electronic medical record (EMR).
Um incidente de hacking afetou as informações
de saúde de 3,9 milhões de indivíduos - quase
todos os indivíduos afetados por um incidente de
hacking de EMR em 2015.”
Percepção da Segurança e da
Privacidade de Prontuários Médicos
ONC Data Brief ■ No. 33 ■ February 2016 (The Office of the National
Coordinator for Health Information Technology)
“Preservando a confiança do paciente na privacidade e na
segurança das informações de saúde é um elemento crítico na
obtenção de uma infraestrutura interoperável de TI de saúde. À
medida em que a adoção de TI certificada de saúde e a troca de
informações de saúde crescem em todos os hospitais e clínicas
médicas, é importante avaliar o impacto dessas mudanças nas
percepções dos consumidores a respeito de privacidade e
segurança de suas informações de saúde. De 2012 a 2014, o ONC
conduziu uma pesquisa nacional de consumidores para examinar as
preocupações de privacidade e segurança e preferências com
relação a electronic health records (EHRs) e trocas de informações
de saúde (HIE).”
Fonte: Trends in Individuals’ Perceptions regarding Privacy and Security of Medical Records and Exchange of Health
Information: 2012-2014, V. Patel, P. Hughes, W. Barker, L. Moon
Percepção da Segurança e da
Privacidade de Prontuários Médicos
• “As preocupações de indivíduos com a privacidade e a
segurança de prontuários médicos em papel e eletrônicos
diminuiu significativamente entre 2013 e 2014.”
• “Em 2014, uma quantidade semelhante de indivíduos—
cerca de um em cinco—expressou ausência de
preocupação com ambas privacidade e segurança de
seus registros médicos.”
• “As preocupações de indivíduos com a privacidade e a
segurança de registros médicos não diferem
significativamente se eles têm registros médicos em papel
ou eletrônico.”
Percepção da Segurança e da
Privacidade de Prontuários Médicos
• “Entre 2012 e 2014, pelo menos três-quartos de indivíduos
apoiavam o uso de EHRs de seus provedores de
assistência à saúde, apesar de quaisquer potenciais
preocupações com privacidade ou segurança.”
• “As preocupações de indivíduos com a visualização não-
autorizada de registros médicos quando enviados por fax
ou meios eletrônicos diminuíram significativamente entre
2013 e 2014.”
• “Entre 2012 e 2014, pelo menos 7 em 10 indivíduos
apoiaram a troca de seus registros médicos apesar das
potenciais preocupações com privacidade ou segurança.”
Segmentação de Dados e o
Compartilhamento de Dados Sensíveis
• “Protocolos médicos são normalmente usados por
profissionais de saúde para propósitos de diagnóstico,
tratamento, coordenação de assistência, e cobrança.
• Entretanto, alguns registros contêm informações
sensíveis tais como doenças sexualmente
transmissíveis (DSTs), HIV, saúde mental ou
informação de abuso de substância que podem ser
embaraçosas ou usadas para discriminar contra o
paciente de maneiras que são proibidas por certas
leis estaduais ou federais.”
Fonte: “Understanding the Challenges with Medical Data Segmentation for Privacy”,
E. M. Chan, P; E. Lam, & J. C. Mitchell
Segmentação de Dados e o
Compartilhamento de Dados Sensíveis
• “Muitas dessas leis foram originalmente sancionadas
para incentivar pacientes com condições sérias mas
embaraçosas se apresentarem e buscarem
tratamento médico ao mesmo tempo em que
mantêm um certo nível de proteção à sua
privacidade.
• Sob uma perspectiva médica, estudos têm mostrado
que alguns médicos podem ser suscetíveis a agir
tendenciosamente de forma inconsciente se essas
informações sensíveis estiverem presentes.”
Segmentação de Dados e o
Compartilhamento de Dados Sensíveis
• “Portanto alguns defensores da privacidade argumentam que
informações sensíveis deveriam ser escondidas por default, e que
pacientes devem ter controle completo e total sobre quais
informações são liberadas; mas outros relatórios têm sugerido que
pacientes poderiam não ter condições de decidir quais informações
são medicamente relevantes.
• Reforma na assistência à saúde através da assistência coordenada
vai exigir coordenação ainda maior das atividades e da
continuidade das informações via electronic health records (EHRs).
No entanto, as preocupações com a privacidade codificadas nas
leis estaduais e federais de privacidade que governam condições
médicas sensíveis (…) limitam as informações que as várias partes
tais como as trocas de informações de saúde (HIE) podem
manusear sem o consentimento explícito do paciente.”
Resumindo
• “À medida em que a adoção de EHR e HIE aumentou em hospitais
e clínicas, as preocupações dos consumidores com relação a HIE
e a privacidade e a segurança dos prontuários médicos diminuiu.
Entretanto, é importante notar que essas percepções refletem os
pontos de vista dos indivíduos antes do anúncio em 2015 de várias
violações de informações de saúde. Se essas recentes violações
podem impactar negativamente as percepções dos indivíduos
relacionadas a privacidade e segurança dos seus protocolos
médicos e a troca de suas informações de saúde não está claro e
merece monitoramento.
• Adicionalmente, não está claro se os decréscimos significativos
nas preocupações entre 2013 e 2014 são uma anomalia ou se isso
representa o início de uma nova tendência no sentido do
decréscimo das preocupações com privacidade e segurança.”
O problema da segurança
de computador
• Muito software com erros
• Engenharia social funciona mesmo
• É possível ganhar dinheiro com achar e explorar
vulnerabilidades.
1. Existe mercado para vulnerabilidades
2. Existe mercado para máquinas dominadas (PPI)
3. Muitos métodos de se aproveitar de máquinas
dominadas
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Muitas revelações de
vulnerabilidades (2015)
Fonte: www.cvedetails.com/top-50-products.php?year=2015
Aplicações vulneráveis
sendo exploradas
Fonte: Kaspersky Security Bulletin 2015
Malware móvel
(Nov. 2013 – Out. 2014)
A ascensão dos Trojans móveis para bancos (Kaspersky Security Bulletin 2014)
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?: 

1. Roubo de IP e banda larga
• Objetivo do atacante: se passar por um usuário comum da Internet
• Usar o endereço IP da máquina ou smartphone infectado para:
• Spam (e.g. uma botnet storm)
• Spamalítica:
• 1:12M pharma spams leva a compra
• 1:260K greeting card spams leva a infecção
• Negação de Serviço: Serviços: 1 hora (20$), 24 horas (100$)
• Fraude de clique (e.g. Clickbot.a)
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?:
2. Roubar credenciais e injetar ads
• keylog para senhas bancárias, senhas de
serviços na web, senhas de jogos online.
• Exemplo: SilentBanker
Usuário solicita página de login
Banco envia página de
login solicitada
BancoMalware injeta
JavascriptQuando o usuário submete
a informação,
ela é enviada também
ao atacante
Man-in-the-Browser (MITB)
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Muitos malwares financeiros
• tamanho: 3.5 KB
• espalhado via anexos de
email
• também encontrado em
roteadores caseiros
Fonte: Kaspersky Security Bulletin 2015
Por que dominar máquinas?:
3. Ransomware
CryptoWall (2014-)
• alveja Windows
• espalha-se por spam
emails
≈200.000 máquinas em 2015
Um problema mundial.
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Por que dominar máquinas?:
4. Espalhar para sistemas isolados
• Exemplo: Stuxnet
• Infecção no Windows software de controle
do Siemens PCS 7 SCADA no Windows
controlador do dispositivo Siemens na rede
isolada
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Ataques a servidores
• Roubo de dados financeiros: usualmente, números de
cart.cred
1. Exemplo: Target (2013), ≈ 140M núm. de CC roubados
2. Muitos ataques semelhantes (menores) desde 2000
• Motivação política:
3. Aurora, Tunisia Facebook (Fev. 2011), GitHub (Mar.
2015)
• Infectar usuários que visitam o servidor
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Tipos de dados roubados
(2012-2015)
Fonte: California breach notification report, 2015
Mercado de
Vulnerabilidades
Opção 1: programas de incentivo e premiação
• Google Vulnerability Reward Program: até $20K
• Microsoft Bounty Program: até $100K
• Mozilla Bug Bounty program: $7500
• Pwn2Own (competição): $15K
Opção 2:
• Zero day initiative (ZDI), iDefense: $2K – $25K
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Como empresas
perdem dinheiro
• malware/phishing: 54%
• laptops perdidos/roubados: 22%
• erros de membros internos: 17%
• ataque de membros internos: 7%
Fonte: California breach notification report, 2015
Exemplo: Mozilla
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Mercado de
Vulnerabilidades
Opção 3: mercado negro
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Mercado para máquinas
dominadas
• Serviços de Pay-Per-Install (PPI)
Operação PPI:
1. dominar a máquina da vítima
2. baixar e instalar o código do cliente
3. cobrar ao cliente
spam
bot
keylogger
PPI service
clientes
vítimas
Fonte: Cabalerro et al. (www.icir.org/vern/papers/ppi-usesec11.pdf)
Mercado para máquinas
dominadas
Custo:
• USA - 100-180$ / 1000 máquinas
• Ásia - 7-8$ / 1000 máquinas
Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
Definindo Segurança
Confidencialidade: Nenhum acesso indevido
Integridade: Dados não foram (maliciosamente) alterados
Disponibilidade: Dados/serviços podem ser acessados
quando desejado
Responsabilização: Ações são rastreáveis aos
responsáveis
Autenticação: Origem de dados precisamente
identificáveis
Contramedidas de Proteção
• Prevenção. Impedir quebras de segurança por
design dos sistemas e pelo uso de tecnologias de
segurança e de defesa.
• Detecção. Se uma tentativa de quebra ocorrer,
garantir que ela seja detectada.
• Resposta. Caso uma quebra de segurança ocorra,
dispor de um plano de recuperação. Respostas vão
desde restaurar de backups ou reivindicar ao seguro,
até informar aos stakeholders e aos agentes da lei.
Taxonomia de Ataques
• Virus, worms, rootkits, Trojan horse, spyware, keylogger,
screenlogger, adware, ransomware
• code injection (buffer overflow, integer overflow)
• phone phreaking, phishing, pharming
• engenharia social, spam
• cross-site request forgery, cross-site scripting, SQL-injection,
transaction generators, clickjacking, tapjacking, frame busting
• web spoofing, DNS rebinding
• distributed denial of service
Ransomware
(US-CERT, Mar/2016)
• “Ransomware é um tipo de malware que infecta sistemas de
computadores, restringindo o acesso dos usuários aos sistemas
infectados.
• Variantes de ransomware têm sido observados por vários anos e
frequentemente tentam extorquir dinheiro de vítimas exibindo um
alerta na tela.
• Tipicamente, esses alertas dizem que os sistemas do usuário
foram trancafiados ou que os arquivos do usuário foram
encriptados. Usuários são avisados de que a menos que um
resgate seja pago, acesso não será restaurado. O resgate
demandado de indivíduos varia enormemente mas é
frequentemente $200–$400 dólares e deve ser pago em moeda
virtual, como Bitcoin.”
Ransomware:
números recentes
• Americanos já pagaram mais de US$325 milhões em resgate
• No final de 2014, havia apenas 16 famílias de ransomware, conforme Malwarebytes.
Ano passado, surgiram 27 novas. No primeiro semestre de 2016 apareceram 15
novas.
• 60% das infecções de malware encontradas pela Malwarebytes são agora
ransomware.
• O número de infecções de ransomware detectadas pelo software SpyHunter nos
EUA saltou 158% apenas entre Março e Abril deste ano.
• No primeiro trimestre deste ano, o anti-virus da Kaspersky bloqueou a instalação de
virus nos computadores de 372.602 usuários, aumento de 30% em relação ao
trimestre anterior.
• Cerca de 2.453 queixas de ransomware foram depositadas no FBI's Internet Crime
Complaint Center no ano passado, com perdas chegando a mais de US$25 milhões.
Ataques em Smartphones
Vetores de ataque:
1. navegadores da web
2. aplicativos instalados
Específico para smartphones:
1. mensagens SMS
2. identificação da localização
3. gravação de chamadas
4. registro de SMS
Relatório da Kaspersky
(Ago/2013 a Mar/2014)
• 3.408.112 detecções de malware em 1.023.202 usuários.
• 69.000 ataques em Ago/2013 -> 644.000 in Mar/2014
• 35.000 usuários -> 242.000 usuários
• 59,06% relacionados a roubo de dinheiro do usuário
• Rússia, Índia, Cazaquistão, Vietnã, Ucrânia e Alemanha
têm os maiores números de ataques reportados
• Trojans enviando SMS foram 57,08% de todas as
detecções
Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Cenário Típico
• Cibercriminosos criam um site afiliado e convidam usuários da Internet
a se tornarem seus cúmplices
• Uma versão modificada do malware e uma página para download são
criadas para cada cúmplice
• Participantes do programa afiliado enganam usuários do Android e os
induzem a instalar aplicativos maliciosos
• Dispositivo infectado envia mensagens SMS a números “premium”,
ganhando dinheiro para os cibercriminosos
• Parte do dinheiro é pago aos parceiros afiliados
(Fonte: http://media.kaspersky.com/pdf/Kaspersky-Lab-KSN-Report-
mobile-cyberthreats-web.pdf)
Malware de Smartphone
Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Tendências
Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Incidência de Malware em
Aplicativos Android
A Large-Scale Study of Mobile Web App
Security, Patrick Mutchler, Adam Doupe, John
Mitchell, Chris Kruegel, Giovanni Vigna
• Aplicativos web para smartphones: trazem
embutido um navegador completamente
funcional como um elemento de uma interface
com o usuário
Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Análise Estática
• Quantos aplicativos web para smartphones?
• Quantos vulneráveis?
• Resultados:
• 737.828 apps grátis no Google Play (Out ’13)
• 563.109 apps embutem um browser
• 107.974 têm pelo menos uma violação de
segurança
Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Vulnerabilidades mais
significativas
1. Carregar conteúdo web não-confiável
A. 152.706 apps com URLs parcialmente
computadas
B. 87.968 apps (57%) com HTTP URLs
2. Vazar URLs para apps estrangeiros
3. Expor navegação de mudança de estado a
apps estrangeiros
Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
Resumo da Análise
• Análise de um dataset de 737.828 aplicativos Android
• Encontrou um grande número de apps contendo severas
vulnerabilidades
• 37.418 apps são vulneráveis a um exploit de execução
remota de código quando executados em qualquer
dispositivo Android, devido à omissão de segurança em
versões mais antigas e adoção lenta de versões seguras
• 45.689 apps são vulneráveis a um exploit de execução
remota de código quando executados em 73% dos
dispositivos Android em uso.
Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
“RANSOMWARE HACKERS ARE COMING
FOR YOUR HEALTH
RECORDS” (Newsweek, 9 Abril 2016)
• “Electronic health records em hospitais de todo
o país têm se tornado atraentes a
cibercriminosos buscando por alvos lucrativos
relativamente fáceis.
• Esses criminosos usam os chamados
“ransomwares” para encriptar arquivos e depois
mantê-los sob sua guarda para extrair resgates
para devolver os dados.”
How to prevent ransomware attacks
(Matthew Mellen, (16/05/2016)
• “A essa altura em 2015, 105 violações de dados de saúde
tinham sido reportados ao U.S. Department of Health and
Human Services (HHS) para um total de mais de 92
milhões de registros perdidos, comparados com “apenas”
81 violações e 3,5 milhões de registros até agora em
2016. Boas notícias, certo? Bem, nem tanto.
• Infelizmente, essa tendência aparentemente positiva não
reflete a verdadeira paisagem de ameaças na indústria da
assistência à saúde. Ransomware é um tipo de malware
que restringe o acesso a arquivos ou sistemas com
encriptação até que a vítima (o hospital) pague o resgate
pela chave de destravar.”
“Is ransomware considered a health data
breach under HIPAA?”
(CMIO, 29 Abril 2016)
• “Com um total de 112 milhões de violações de
dados de registros de assistência à saúde
acontecendo em mais de 250 incidentes
separados no ano passado, pode-se dizer que
segurança da informação não está na cabeça
das pessoas. O dilúvio de violações levantou
uma questão importante sobre um determinado
tipo de incidente: será que o ataque de
ransomware se constitui numa violação de
dados sob a HIPAA?”
“The NHS has given the medical records of
1.6 million patients to Google” (The
Independent, 04/05/16)
NHS compartilha os registros médicos de 1,6 milhões de pacientes
com Google como parte de acordo de compartilhamento de dados
(The Independent, 04 Maio 2016)
• “Os registros dizem respeito a pacientes de três hospitais de Londres
que formam o Royal Free Trust; Barnet, Chase Farm e Royal Free
Hospital coletaram no decorrer dos últimos cinco anos. Uma estimativa
de 1,6 milhões de pacientes visitaram os hospitais a cada ano.
• Google diz que pretende usar os dados como parte de seu grupo
DeepMind para desenvolver um aplicativo que possa ajudar a
reconhecer lesões renais. Entretanto, participantes de uma campanha
de protesto têm revelado preocupações com o fato de que o
compartilhamento de dados seja uma violação de confiança e não seja
do interesse dos pacientes.”
EHRs e Blockchain
• Blockchain ("cadeia de blocos" em inglês) é um banco de
dados distribuídos (livro-razão) de contabilidade pública
que registra as transações bitcoin.
• A tecnologia bitcoin é considerada uma revolução no
sistema monetário principalmente devido ao conceito
introduzido pela cadeia de blocos. Antes da invenção da
blockchain, a única maneira de se manter registros de
contabilidade (saldos e transações de contas) era bancos
de dados centralizados e, geralmente, não-públicos. Era
necessário que as pessoas confiassem que o banco de
dados fosse honesto, e que não haveria nenhuma
alteração maliciosa nos bancos de dados.
Blockchain
• Uma cadeia de bloco, ou blockchain, é um banco de
dados distribuído que mantém uma lista continuamente
crescente de registros de dados protegido contra
adulteração e revisão.
• Consiste de uma estrutura de dados em blocos-que detêm
exclusivamente dados em implementações blockchain
iniciais, e os dados e programas em algumas (por
exemplo, Ethereum) das mais recentes implementações
com cada bloco carregando lotes de transações
individuais e os resultados de quaisquer códigos
executáveis blockchain. Cada bloco contém um
timestamp e informações ligando-o a um bloco anterior.
Blockchain
• De forma simples, uma Blockchain é essencialmente um livro-razão
distribuído e seguro, atualizado usando criptografia de chave pública.
• Transações são enviadas a “endereços” de chave pública, e.g.:
1AjYPi8qryPCJu6xgdJuQzVnWFXLmxq9s3
1Give4dbry2pyJihnpqV6Urq2SGEhpz3K
• A carteira digital fica na escuta por transações endereçadas a
qualquer das suas chaves públicas e, teoricamente, é o único nó que
é capaz de decriptar e aceitar a transferência.
• “Moedas” são “enviadas” pela divulgação ampla de transações na
rede que são verificadas e adicionadas a um bloco.
EHRs em Blockchain
• Descentralização, garantindo que a integridade
dos dados armazenados permaneça intacta,
propiciando transparência completa.
• Encriptação e resistência à adulteração, portanto
blockchains alteradas são consideradas
inválidas.
• Acessibilidade global.
• Transações verificáveis e imutáveis.
Benefícios do registro de
EHRs em Blockchain
• Propicia maior eficiência para pedidos de aprovação e
cobrança e previne fraude já que os registros não podem ser
alterados.
• Tecnicamente, o método da blockchain atinge o padrão HIPAA
ao proteger a confidencialidade do paciente e garantir que os
registros médicos não são revelados a terceiros.
• Entretanto, a adoção de tal abordagem radical que
descentraliza os dados, independente de como estão
encriptados e gerenciados, provavelmente encontraria oposição
significativa de grupos defensores da privacidade, grupos de
pacientes e estaria certamente sujeita à opinião pública que, em
última análise, tem a palavra final.
Medical Records Project Wins Top Prize
at Blockchain Hackathon (Nov 2015)
• “MedVault, uma prova-de-conceito que permitiria pacientes
registrarem informações médicas na blockchain do bitcoin,
ganhou €5,000 em prêmio no Blockchain Hackathon esse final
de semana.
• Graham Rhodes, um desenvolvedor do MedVault, indicou que
o projeto foi capaz de se destacar dos competidores em razão
de seu uso da blockchain para “anonimizar” registros médicos:
• “[Estamos] dando aos pacientes o controle sobre seus
próprios registros médicos e a decisão de tornar certos
aspectos públicos ou privados, ainda que armazenados de
uma maneira distribuída global.”
“Blockchain collaboration defines the
fabric for healthcare 2.0” (CIO, 12/4/16)
• “Aplicações da blockchain relacionadas a assistência à saúde estão
surgindo em toda parte. Tierion permite que você crie um registro
verificável de quaisquer dados, arquivos, ou processos de negócios na
blockchain. Gem, a plataforma usa hardware security modules (HSMs)
multi-assinaturas, e cadeias de chaves criptográficas para tratar
identidade de endereço e segurança do acesso à informação, que age
como um protocolo da camada de aplicações da blockchain. Factom e
HealthNautica estão trabalhando para proteger registros médicos e
históricos de auditoria. Guardtime, um provedor de ciberssegurança que
usa os sistemas de blockchain para garantir a integridade dos dados, está
em parceria com a Estonian e-Health Authority para proteger mais de
um milhão de registros de assistência à saúde. MedVault, uma prova-de-
conceito que permitiria a pacientes registrar informações médicas na
blockchain do Bitcoin. MedVault trabalha com Colu para a emissão e
gerenciamento de ativos digitais sobre a blockchain do bitcoin usando API
e SDKs.”
Zerocash
• “Zerocash é um novo protocolo que propicia uma versão
preservadora da privacidade do Bitcoin (ou uma moeda similar).
• Zerocash repara uma fraqueza inerente do Bitcoin: toda a história
de pagamentos do usuário é registrada na visão pública na
blockchain, e é portanto imediatamente disponível a qualquer
um. Enquanto que há técnicas para ofuscar essa informação, elas
são problemáticas e ineficazes. Ao invés disso, em Zerocash,
usuários podem fazer pagamentos uns aos outros diretamente,
via transações de pagamento que não revelam nem a origem,
nem o destino, e nem o montante do pagamento. Essa é uma
melhora significativa comparada ao Bitcoin (e moedas digitais
descentralizadas), onde todas as informações de pagamento são
tornadas públicas para que o mundo todo veja.”

Mais conteúdo relacionado

Mais procurados

Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Ivomar Santos
 
Diário da saúde 3
Diário da saúde 3Diário da saúde 3
Diário da saúde 3
Marketingipm
 
Diário da saúde 3 (1)
Diário da saúde 3 (1)Diário da saúde 3 (1)
Diário da saúde 3 (1)
Marketingipm
 
Caso - DATASUS
Caso - DATASUSCaso - DATASUS
Caso - DATASUS
Informatica Brasil
 
Participação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalParticipação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios final
CONITEC
 
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeO Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
Fundação Fernando Henrique Cardoso
 
Central MéDica I Care®
Central MéDica I Care®Central MéDica I Care®
Central MéDica I Care®
guest8d08d6
 
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da Saúde
 

Mais procurados (8)

Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
Interface do mecanismo de apoio à decisão baseado em redes bayesianas para a ...
 
Diário da saúde 3
Diário da saúde 3Diário da saúde 3
Diário da saúde 3
 
Diário da saúde 3 (1)
Diário da saúde 3 (1)Diário da saúde 3 (1)
Diário da saúde 3 (1)
 
Caso - DATASUS
Caso - DATASUSCaso - DATASUS
Caso - DATASUS
 
Participação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios finalParticipação social para o fortalecimento da ats avanços e desafios final
Participação social para o fortalecimento da ats avanços e desafios final
 
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César AbicalaffeO Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
O Futuro do SUS: Desafios e Mudanças Necessárias - César Abicalaffe
 
Central MéDica I Care®
Central MéDica I Care®Central MéDica I Care®
Central MéDica I Care®
 
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
Ministério da saúde disponibiliza ferramenta de auxílio aos municípios e lanç...
 

Destaque

#4 A Proposal Ecard
#4 A Proposal Ecard#4 A Proposal Ecard
#4 A Proposal Ecard
cskorburg
 
DESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVODESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVO
tinaa_
 
Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3
Yumarasuarez
 
EyeSight001
EyeSight001EyeSight001
EyeSight001
Kizashi NAKANO
 
Marks of the Mission
Marks of the MissionMarks of the Mission
Las ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresaLas ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresa
bananapeak8
 
Schablone Bart.pdf
Schablone Bart.pdfSchablone Bart.pdf
Schablone Bart.pdf
unn | UNITED NEWS NETWORK GmbH
 
MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016
Ray G. Brown
 
Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_  Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_
Ntando Nkumane
 
Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança   Plus - 2012Planos de saúde e segurança   Plus - 2012
Planos de saúde e segurança Plus - 2012
Jesus Campos
 
Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança   Basic - 2012Planos de saúde e segurança   Basic - 2012
Planos de saúde e segurança Basic - 2012
Jesus Campos
 
dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」
Nezi Sato
 

Destaque (14)

#4 A Proposal Ecard
#4 A Proposal Ecard#4 A Proposal Ecard
#4 A Proposal Ecard
 
DESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVODESARROLLO EVOLUTIVO
DESARROLLO EVOLUTIVO
 
Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3Competencias Informacionales: seminario 3
Competencias Informacionales: seminario 3
 
Teste
TesteTeste
Teste
 
Giovana (
Giovana (Giovana (
Giovana (
 
EyeSight001
EyeSight001EyeSight001
EyeSight001
 
Marks of the Mission
Marks of the MissionMarks of the Mission
Marks of the Mission
 
Las ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresaLas ventajas del teletrabajao para tu empresa
Las ventajas del teletrabajao para tu empresa
 
Schablone Bart.pdf
Schablone Bart.pdfSchablone Bart.pdf
Schablone Bart.pdf
 
MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016MEASUREMENT - PEI 2016
MEASUREMENT - PEI 2016
 
Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_  Ntando_Nkumane_CV 2016_
Ntando_Nkumane_CV 2016_
 
Planos de saúde e segurança Plus - 2012
Planos de saúde e segurança   Plus - 2012Planos de saúde e segurança   Plus - 2012
Planos de saúde e segurança Plus - 2012
 
Planos de saúde e segurança Basic - 2012
Planos de saúde e segurança   Basic - 2012Planos de saúde e segurança   Basic - 2012
Planos de saúde e segurança Basic - 2012
 
dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」dotFes2016クリエイティブ大喜利「ハチ公」
dotFes2016クリエイティブ大喜利「ハチ公」
 

Semelhante a Cibersegurança no Contexto de Prontuários Médicos Eletrônicos

Aplicativos para medicina
Aplicativos para medicinaAplicativos para medicina
Aplicativos para medicina
Leonardo Vieira Hastenreiter
 
Res fenasaude
Res  fenasaudeRes  fenasaude
Res fenasaude
Jussara Rötzsch
 
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptxINFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
JosDivino5
 
Inteligência Artificial na Saúde - A Próxima Fronteira.pdf
Inteligência Artificial na Saúde - A Próxima Fronteira.pdfInteligência Artificial na Saúde - A Próxima Fronteira.pdf
Inteligência Artificial na Saúde - A Próxima Fronteira.pdf
MedTechBiz
 
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdfGestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Senior Consultoria em Gestão e Marketing
 
Aula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/GamaAula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/Gama
Camila Hamdan
 
PDF_Minicurso-1.pdf
PDF_Minicurso-1.pdfPDF_Minicurso-1.pdf
PDF_Minicurso-1.pdf
ANDERSONDIASDESOUSA1
 
DocPad - saúde online
DocPad - saúde onlineDocPad - saúde online
DocPad - saúde online
Frederico Szmukler Tannenbaum
 
A Saúde na Era da Informação
A Saúde na Era da InformaçãoA Saúde na Era da Informação
A Saúde na Era da Informação
Francisco Lupiáñez-Villanueva
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info
 
tic
tictic
Tecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na SauTecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na Sau
Elisabete500
 
saude digital.pdf
saude digital.pdfsaude digital.pdf
saude digital.pdf
BrenoSouto2
 
As tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na SaúdeAs tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na Saúde
missmiracema
 
Impacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúdeImpacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúde
AlunasCTDI
 
tic saude
tic saudetic saude
tic saude
DeboraCorreia
 
Aula TICS 13.05.09
Aula TICS 13.05.09Aula TICS 13.05.09
Aula TICS 13.05.09
Elisabete Oliveira
 
Reaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da SaúdeReaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da Saúde
Conselho Regional de Administração de São Paulo
 
Administração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptxAdministração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptx
Felipe Assan Remondi
 
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
Prof. Lobo
 

Semelhante a Cibersegurança no Contexto de Prontuários Médicos Eletrônicos (20)

Aplicativos para medicina
Aplicativos para medicinaAplicativos para medicina
Aplicativos para medicina
 
Res fenasaude
Res  fenasaudeRes  fenasaude
Res fenasaude
 
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptxINFORMÁTICA APLICADA A ENFERMAGEM.pptx
INFORMÁTICA APLICADA A ENFERMAGEM.pptx
 
Inteligência Artificial na Saúde - A Próxima Fronteira.pdf
Inteligência Artificial na Saúde - A Próxima Fronteira.pdfInteligência Artificial na Saúde - A Próxima Fronteira.pdf
Inteligência Artificial na Saúde - A Próxima Fronteira.pdf
 
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdfGestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
Gestão de Prontuários Eletrônicos em Clínicas Médicas.pdf
 
Aula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/GamaAula IV: Informática em Saúde- UnB-FGA/Gama
Aula IV: Informática em Saúde- UnB-FGA/Gama
 
PDF_Minicurso-1.pdf
PDF_Minicurso-1.pdfPDF_Minicurso-1.pdf
PDF_Minicurso-1.pdf
 
DocPad - saúde online
DocPad - saúde onlineDocPad - saúde online
DocPad - saúde online
 
A Saúde na Era da Informação
A Saúde na Era da InformaçãoA Saúde na Era da Informação
A Saúde na Era da Informação
 
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...
 
tic
tictic
tic
 
Tecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na SauTecnologias De Informacao E Comunicacao Na Sau
Tecnologias De Informacao E Comunicacao Na Sau
 
saude digital.pdf
saude digital.pdfsaude digital.pdf
saude digital.pdf
 
As tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na SaúdeAs tecnologias de Informação e Comunicação na Saúde
As tecnologias de Informação e Comunicação na Saúde
 
Impacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúdeImpacto das tecnologias da informação na saúde
Impacto das tecnologias da informação na saúde
 
tic saude
tic saudetic saude
tic saude
 
Aula TICS 13.05.09
Aula TICS 13.05.09Aula TICS 13.05.09
Aula TICS 13.05.09
 
Reaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da SaúdeReaprendizagem: um desafio para a cadeia da Saúde
Reaprendizagem: um desafio para a cadeia da Saúde
 
Administração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptxAdministração e Gerência de Serviços Públicos de Saúde.pptx
Administração e Gerência de Serviços Públicos de Saúde.pptx
 
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdfLOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
LOBO_Aula1_Curso_Saude_DIgital(Saude_4.0+Saude_Digital).pdf
 

Mais de Ruy De Queiroz

Homotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of ComputationHomotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of Computation
Ruy De Queiroz
 
What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...
Ruy De Queiroz
 
Connections between Logic and Geometry via Term Rewriting
 Connections between Logic and Geometry via Term Rewriting Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
Ruy De Queiroz
 
Law and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologiesLaw and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologies
Ruy De Queiroz
 
Criptografia como aliado
Criptografia como aliadoCriptografia como aliado
Criptografia como aliado
Ruy De Queiroz
 
Privacidade, Segurança, Identidade
Privacidade, Segurança, IdentidadePrivacidade, Segurança, Identidade
Privacidade, Segurança, Identidade
Ruy De Queiroz
 
From Tractatus to Later Writings and Back
From Tractatus to Later Writings and BackFrom Tractatus to Later Writings and Back
From Tractatus to Later Writings and Back
Ruy De Queiroz
 
Desafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre  Direito e TecnologiaDesafios na Interseção entre  Direito e Tecnologia
Desafios na Interseção entre Direito e Tecnologia
Ruy De Queiroz
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingConnections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
Ruy De Queiroz
 
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação:  Histórias e Perspectivas,  (TeoComp-NE)Teoria da Computação:  Histórias e Perspectivas,  (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Ruy De Queiroz
 
Consensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized NetworksConsensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized Networks
Ruy De Queiroz
 
Linguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da MatemáticaLinguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da Matemática
Ruy De Queiroz
 
Computational Paths and the Calculation of Fundamental Groups
 Computational Paths and the Calculation of Fundamental Groups Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
Ruy De Queiroz
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsComputational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
Ruy De Queiroz
 
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Ruy De Queiroz
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das Coisas
Ruy De Queiroz
 
Capitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisCapitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados Pessoais
Ruy De Queiroz
 
Computations, Paths, Types and Proofs
Computations, Paths, Types and ProofsComputations, Paths, Types and Proofs
Computations, Paths, Types and Proofs
Ruy De Queiroz
 
Computation, Paths, Types and Proofs
Computation, Paths, Types and ProofsComputation, Paths, Types and Proofs
Computation, Paths, Types and Proofs
Ruy De Queiroz
 
Privacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados PessoaisPrivacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados Pessoais
Ruy De Queiroz
 

Mais de Ruy De Queiroz (20)

Homotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of ComputationHomotopic Foundations of the Theory of Computation
Homotopic Foundations of the Theory of Computation
 
What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...What formal equalities between rewriting paths have in common with homotopies...
What formal equalities between rewriting paths have in common with homotopies...
 
Connections between Logic and Geometry via Term Rewriting
 Connections between Logic and Geometry via Term Rewriting Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
 
Law and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologiesLaw and Legal uses for blockchain technologies
Law and Legal uses for blockchain technologies
 
Criptografia como aliado
Criptografia como aliadoCriptografia como aliado
Criptografia como aliado
 
Privacidade, Segurança, Identidade
Privacidade, Segurança, IdentidadePrivacidade, Segurança, Identidade
Privacidade, Segurança, Identidade
 
From Tractatus to Later Writings and Back
From Tractatus to Later Writings and BackFrom Tractatus to Later Writings and Back
From Tractatus to Later Writings and Back
 
Desafios na Interseção entre Direito e Tecnologia
Desafios na Interseção entre  Direito e TecnologiaDesafios na Interseção entre  Direito e Tecnologia
Desafios na Interseção entre Direito e Tecnologia
 
Connections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term RewritingConnections between Logic and Geometry via Term Rewriting
Connections between Logic and Geometry via Term Rewriting
 
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
Teoria da Computação:  Histórias e Perspectivas,  (TeoComp-NE)Teoria da Computação:  Histórias e Perspectivas,  (TeoComp-NE)
Teoria da Computação: Histórias e Perspectivas, (TeoComp-NE)
 
Consensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized NetworksConsensus in Permissionless Decentralized Networks
Consensus in Permissionless Decentralized Networks
 
Linguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da MatemáticaLinguagem, Lógica e a Natureza da Matemática
Linguagem, Lógica e a Natureza da Matemática
 
Computational Paths and the Calculation of Fundamental Groups
 Computational Paths and the Calculation of Fundamental Groups Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
 
Computational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental GroupsComputational Paths and the Calculation of Fundamental Groups
Computational Paths and the Calculation of Fundamental Groups
 
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
Criptografia Moderna - Visita do SRBR (Samsung Research do Brasil)
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das Coisas
 
Capitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisCapitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados Pessoais
 
Computations, Paths, Types and Proofs
Computations, Paths, Types and ProofsComputations, Paths, Types and Proofs
Computations, Paths, Types and Proofs
 
Computation, Paths, Types and Proofs
Computation, Paths, Types and ProofsComputation, Paths, Types and Proofs
Computation, Paths, Types and Proofs
 
Privacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados PessoaisPrivacidade e Proteção de Dados Pessoais
Privacidade e Proteção de Dados Pessoais
 

Cibersegurança no Contexto de Prontuários Médicos Eletrônicos

  • 1. Cibersegurança no Contexto de Prontuários Médicos Eletrônicos Ruy J.G.B. de Queiroz IV SINFORGEDS, Fortaleza, 19-20 Maio 2016
  • 2. Electronic Health Record Da Wikipédia: • “An electronic health record (EHR), or electronic medical record (EMR), refers to the systematized collection of patient and population electronically-stored health information in a digital format. These records can be shared across different health care settings.” • “Prontuário Eletrônico do Paciente (PEP) é definido como um sistema de prontuário médico padronizado e digital. O prontuário eletrônico é um meio virtual, um repositório onde todas as informações de saúde, clínicas e administrativas, ao longo da vida de um indivíduo, estão armazenadas, e muitos benefícios podem ser obtidos deste formato de armazenamento.”
  • 3. Electronic Medical Record vs Electronic Health Record • Um EMR contém os dados médicos e clínicos padrão coletados por um provedor de assistência à saúde. Electronic health records (EHRs) vão além dos dados coletados no ambiente do provedor e incluem um histórico mais abrangente do paciente. • Um electronic medical record (EMR) é uma versão digital de uma documentação em papel que contém tudo do histórico médico do paciente registrado numa determinada prática. Um EMR é usado sobretudo por provedores para diagnóstico e tratmento.
  • 4. Cartilha sobre Prontuário Eletrônico (Soc.Bras. Informática na Medicina, 2012) • “Com a evolução da tecnologia, especialmente da Internet, a possibilidade de compartilhar as informações de saúde tornou-se viável, e, naturalmente o Protocolo Eletrônico do Paciente (PEP), antes de uso exclusivo e interno da instituição de saúde, evoluiu para o conceito de um Registro Eletrônico de Saúde (RES). Este possui em seu núcleo conceitual o compartilhamento de informações sobre a saúde de um ou mais indivíduos, inter e multi- instituição, dentro de uma região (município, estado ou país), ou ainda, entre um grupo de hospitais.”
  • 5. Por que adotar EHR? (HealthIT.gov) Provedores que usam EHRs reportam melhoras tangíveis em sua capacidade de tomar decisões melhores com informações mais abrangentes. A adoção do EHR pode propiciar ao provedor de assistência à saúde: • Informação completa e precisa sobre a saúde do paciente • Capacidade de agir rapidamente numa necessidade urgente • Capacidade de melhor coordenar a assistência que provê • Uma forma de compartilhar informação com o paciente e os familiares que o assistem
  • 6. Por que adotar EHR? (HealthIT.gov) • EHRs também permitem: • detectar interações medicamentosas potencialmente perigosas • verificar medicações e dosagens • reduzir a necessidade de testes e procedimentos potencialmente arriscados
  • 7. Adoção de EHR’s nos EUA (Dados até 2014) Mais de 8 em 10 médicos clínicos tinham adotado um EHR Enquanto que a maioria dos médicos clínicos-gerais usaram a maioria das funcionalidades do Basic EHR, somente 6 em 10 visualizaram eletronicamente exames de imagem. Uma maioria de médicos clínicos-gerais usaram EHRs certificados, independente de sua participação no EHR Incentive Program. Clínicos gerais de assistência básica reportaram as mais altas taxas de adoção de qualquer dos EHRs, EHR certificados, e Basic EHR. Médicos de prática independente tiveram as mais baixas taxas de adoção de qualquer EHR, EHR certificados, e Basic EHR. Clínicos gerais em centros comunitários de saúde reportaram a taxa mais alta de adoção para EHR (qualquer); mas tiveram baixas taxas de adoção de EHR certificados, e Basic EHR.
  • 8. Adoção pelos hospitais • 97% dos hospitais reportaram dispor de tecnologia de Certified EHR em 2014. • Adicionalmente, houve crescimento significativo na adoção do Basic EHR, uma medida histórica que surgiu antes dos EHR Incentive Programs. • Em 2014, 76% dos hospitais tinham adotado pelo menos um Basic EHR. Isso representa um aumento de 27% em relação a 2013 e um aumento de um fator de 8 em relação a 2008. 70% de hospitais de pequeno porte (menos de 100 leitos), hospitais rurais, e hospitais de acesso crítico tinham adotado um Basic EHR com notas de clínicos.
  • 9. Uso do EHR pelo paciente • DALLAS, May 1, 2016 /PRNewswire/ -- Mais de 80% de médicos clínicos-gerais têm adotado electronic health records (EHRs), e 60% de consumidores que usam ferramentas digitais de saúde dizem que têm um electronic health record. Mas a maioria está acessando seus registros de saúde para simplesmente “se manter informado." Apenas 22% dos usuários de saúde digital estão acessando EHRs para ajudar a tomar decisões médicas. • 29% daqueles consumidores que dizem que têm um EHR não estão tendo qualquer benefício disso. 15% dizem que é difícil entender as informações e outros 14% não acessam seu EHR.
  • 10. Uso do EHR pelo paciente • Bryce Williams, CEO e Presidente da HealthMine disse, "Electronic health records ainda estão na fase inicial da adoção do consumidor. Eles têm o potencial de engajar os consumidores mais diretamente no gerenciamento de sua saúde. Programas de bem-estar podem ajudar a preencher a lacuna entre a adoção do EHR e o entendimento tornando as informações tanto mais significativas quanto mais utilizáveis para pacientes."
  • 11. Participação do Paciente • “Provedores e pacientes que compartilham acesso a informações eletrônicas de saúde podem colaborar na tomada de decisão informada. A participação do paciente é especialmente importante no gerenciamento e no tratamento de condições crônicas como asma, diabete, e obesidade.”
  • 12. Como EHRs podem incentivar a participação do paciente EHRs podem ajudar provedores a: • Garantir assistência de alta qualidade. Com EHRs, provedores podem dar aos pacientes informações completas e precisas sobre toda as suas avaliações de saúde. Provedores podem também oferecer informações que se seguem a uma visita a um consultório ou uma estadia num hospital, tais como instruções e auto-cuidado, lembretes para outras ações posteriores de cuidado com a saúde, e apontadores para recursos na web. • Criar um canal de comunicação direta com seus pacientes. Com EHRs, provedores podem gerenciar eletronicamente agendamentos de consultas e trocar e-mail com seus pacientes. Comunicação rápida e fácil entre pacientes e provedores podem ajudar os provedores a identificar sintomas mais cedo. E pode colocar os provedores numa posição tal que possam ser mais proativos atingindo melhor seus pacientes.
  • 13. Federal Health IT Strategic Plan: 2015-2020
  • 14. Personal Health Record • Um personal health record, ou PHR, é uma aplicação eletrônica usada por pacientes para manter e gerenciar suas próprias informações de saúde (ou aquela de outros para os quais está autorizado a fazê-lo). • Um PHR difere de um EHR no sentido de que os próprios pacientes usualmente instalam e acessam o PHR. Pacientes podem usar o PHR para acompanhar as informações das visitas aos médicos, registrar outras informações relacionadas à saúde, e remeter a outros recursos relacionados à saúde.
  • 15. Application Programming Interface (API) • Application Programming Interface (API) - uma tecnologia que permite que um programa (software) acesse os serviços fornecidos por um outro programa • Em sua 2015 Edition CEHRT rule, o ONC incluiu critérios de certificação para APIs completamente funcionais para suportar acesso de pacientes a dados de saúde via visualização, download, e transmissão (VDT). • Entretanto, ao discutir esse conceito na regra proposta, muitos membros expressaram preocupações com o respeito à privacidade e à segurança das APIs. • Por isso, a API Task Force foi criada para…
  • 16. • Identificar as preocupações percebidas com a segurança e os riscos reais de segurança que são barreiras para a adoção ampla de APIs abertas em assistência à saúde. • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, prova de identidade e autenticação não privilégio de APIs); • Identificar as as preocupações percebidas com a privacidade e os riscos reais de privacidade que são barreiras para a adoção ampla de APIs abertas em assistência à saúde.    • Para os riscos identificados como reais, identificar aqueles que ainda não estão nos planos do Interoperability Roadmap (por exemplo, harmonizar lei estadual e a falta de entendimento do HIPAA); • Identificar recomendações de prioridade para o ONC que ajudará a permitir que consumidores alavanquem a tecnologia de API para acessar dados do paciente, ao mesmo tempo garantir o nível apropriado de proteção à privacidade e de segurança.
  • 17. Generic Use Case / User Flow for Patient-selected App App Developer builds an app that can benefit from patient data. App Developer builds support for an API-based connection to EHR data, and registers App with Hospital A (or its EHR). Patient reviews App's data use and privacy policies (and features) and decides to connect App to her EHR data in Hospital A. Patient signs into Hospital A's portal, and Hospital A shows an approval screen. Patient agrees to share (some of) her EHR data for some duration of time with App, and Hospital A records this decision. Hospital A's portal sends Patient back to App, and App gets a unique, time- and scope-limited access token for this patient. App can use the token to access Patient's EHR data for some duration of time in keeping with the patient’s approval. Variants on Use Case Personally-Controlled Health Record. For example, HealthVault. A site that stores information on a patient's behalf and makes it easily available. Personal health app. For example, a tool to manage diabetes. This app could be discovered and selected by the patient, or recommended by a provider. Patient-authored app. For example, a homemade tool to improve care coordination or plot lab results. Rogue app. For example, an app specifically designed from the ground up to steal data from a patient for financial gain. Or a "good" app that has been hacked. Casos de Uso
  • 18. Incidência de Violação de Informações de Saúde nos EUA “Baseados em dados coletados pelo HHS Office for Civil Rights, até 1 Fevereiro 2016, violação de informações protegidas de saúde (protected health information) sobre mais de 113 milhões de indivíduos em 2015. Em 2015, incidentes de hacking compreenderam quase 99% de todos os indivíduos afetados por violações, e o número de incidentes de hacking reportados, 57, cobriram mais de 20% de todas as violações reportadas. De 2011 a 2014, 97 incidentes de hacking afetaram menos de 4 milhões de indivíduos - menos de 10% de todas as violações reportadas e indivíduos afetados durante esse tempo.”
  • 20. Privacidade, Segurança e Confidencialidade Privacidade e Segurança • Health Information Protection and Accountability Act (HIPAA) • Regras de privacidade identificam padrões nacionais (45 CFR Part 160 e Subparts A e E da Part 164) • Regras de segurança operacionalizam esses padrões (Subparts A e C da Part 164) • Informações do paciente protegidas pelo HIPAA podem ser trocadas entre entidades cobertas na coordenação da assistência ao paciente sem consentimento adicional • Protegida pelo DHS Office of Civil Rights, penalidades aumentadas no Stage 1
  • 21. Privacidade, Segurança e Confidencialidade Confidencialidade • Confidentiality of Alcohol and Drug Abuse Patient Records Act (42 CFR Part 2) • Identifica e operacionaliza padrões • Informações do paciente não podem ser trocadas sem o consentimento do paciente • Protegida por lei federal, caso contrário, nenhuma penalidade
  • 22. Incidência de Violação de Informações de Saúde nos EUA Apesar do aumento nos casos de violação relacionados a incidentes de hacking, violações reportadas relacionadas a outros incidentes e o número de indivíduos afetados por essas violações diminuíram em 2015. Até 01/Fevereiro/2016, roubo, perda, descarte impróprio, e acesso não-autorizado ou revelação de informação protegida de saúde compreendem 208 de todas as violações reportadas (N=265), diminuíram de 216 (N=285) em 2014 e 211 (N=262) em 2013. Esses quatro tipos de incidentes de violação afetaram 1,4 milhões de indivíduos em 2015, comparados a 10,7 milhões em 2014 e 6,7 milhões em 2013.
  • 23. Incidência de Violação de Informações de Saúde nos EUA “Em 2015, 4 de 51 incidentes de hacking envolveram um electronic medical record (EMR). Um incidente de hacking afetou as informações de saúde de 3,9 milhões de indivíduos - quase todos os indivíduos afetados por um incidente de hacking de EMR em 2015.”
  • 24. Percepção da Segurança e da Privacidade de Prontuários Médicos ONC Data Brief ■ No. 33 ■ February 2016 (The Office of the National Coordinator for Health Information Technology) “Preservando a confiança do paciente na privacidade e na segurança das informações de saúde é um elemento crítico na obtenção de uma infraestrutura interoperável de TI de saúde. À medida em que a adoção de TI certificada de saúde e a troca de informações de saúde crescem em todos os hospitais e clínicas médicas, é importante avaliar o impacto dessas mudanças nas percepções dos consumidores a respeito de privacidade e segurança de suas informações de saúde. De 2012 a 2014, o ONC conduziu uma pesquisa nacional de consumidores para examinar as preocupações de privacidade e segurança e preferências com relação a electronic health records (EHRs) e trocas de informações de saúde (HIE).” Fonte: Trends in Individuals’ Perceptions regarding Privacy and Security of Medical Records and Exchange of Health Information: 2012-2014, V. Patel, P. Hughes, W. Barker, L. Moon
  • 25. Percepção da Segurança e da Privacidade de Prontuários Médicos • “As preocupações de indivíduos com a privacidade e a segurança de prontuários médicos em papel e eletrônicos diminuiu significativamente entre 2013 e 2014.” • “Em 2014, uma quantidade semelhante de indivíduos— cerca de um em cinco—expressou ausência de preocupação com ambas privacidade e segurança de seus registros médicos.” • “As preocupações de indivíduos com a privacidade e a segurança de registros médicos não diferem significativamente se eles têm registros médicos em papel ou eletrônico.”
  • 26. Percepção da Segurança e da Privacidade de Prontuários Médicos • “Entre 2012 e 2014, pelo menos três-quartos de indivíduos apoiavam o uso de EHRs de seus provedores de assistência à saúde, apesar de quaisquer potenciais preocupações com privacidade ou segurança.” • “As preocupações de indivíduos com a visualização não- autorizada de registros médicos quando enviados por fax ou meios eletrônicos diminuíram significativamente entre 2013 e 2014.” • “Entre 2012 e 2014, pelo menos 7 em 10 indivíduos apoiaram a troca de seus registros médicos apesar das potenciais preocupações com privacidade ou segurança.”
  • 27. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Protocolos médicos são normalmente usados por profissionais de saúde para propósitos de diagnóstico, tratamento, coordenação de assistência, e cobrança. • Entretanto, alguns registros contêm informações sensíveis tais como doenças sexualmente transmissíveis (DSTs), HIV, saúde mental ou informação de abuso de substância que podem ser embaraçosas ou usadas para discriminar contra o paciente de maneiras que são proibidas por certas leis estaduais ou federais.” Fonte: “Understanding the Challenges with Medical Data Segmentation for Privacy”, E. M. Chan, P; E. Lam, & J. C. Mitchell
  • 28. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Muitas dessas leis foram originalmente sancionadas para incentivar pacientes com condições sérias mas embaraçosas se apresentarem e buscarem tratamento médico ao mesmo tempo em que mantêm um certo nível de proteção à sua privacidade. • Sob uma perspectiva médica, estudos têm mostrado que alguns médicos podem ser suscetíveis a agir tendenciosamente de forma inconsciente se essas informações sensíveis estiverem presentes.”
  • 29. Segmentação de Dados e o Compartilhamento de Dados Sensíveis • “Portanto alguns defensores da privacidade argumentam que informações sensíveis deveriam ser escondidas por default, e que pacientes devem ter controle completo e total sobre quais informações são liberadas; mas outros relatórios têm sugerido que pacientes poderiam não ter condições de decidir quais informações são medicamente relevantes. • Reforma na assistência à saúde através da assistência coordenada vai exigir coordenação ainda maior das atividades e da continuidade das informações via electronic health records (EHRs). No entanto, as preocupações com a privacidade codificadas nas leis estaduais e federais de privacidade que governam condições médicas sensíveis (…) limitam as informações que as várias partes tais como as trocas de informações de saúde (HIE) podem manusear sem o consentimento explícito do paciente.”
  • 30. Resumindo • “À medida em que a adoção de EHR e HIE aumentou em hospitais e clínicas, as preocupações dos consumidores com relação a HIE e a privacidade e a segurança dos prontuários médicos diminuiu. Entretanto, é importante notar que essas percepções refletem os pontos de vista dos indivíduos antes do anúncio em 2015 de várias violações de informações de saúde. Se essas recentes violações podem impactar negativamente as percepções dos indivíduos relacionadas a privacidade e segurança dos seus protocolos médicos e a troca de suas informações de saúde não está claro e merece monitoramento. • Adicionalmente, não está claro se os decréscimos significativos nas preocupações entre 2013 e 2014 são uma anomalia ou se isso representa o início de uma nova tendência no sentido do decréscimo das preocupações com privacidade e segurança.”
  • 31. O problema da segurança de computador • Muito software com erros • Engenharia social funciona mesmo • É possível ganhar dinheiro com achar e explorar vulnerabilidades. 1. Existe mercado para vulnerabilidades 2. Existe mercado para máquinas dominadas (PPI) 3. Muitos métodos de se aproveitar de máquinas dominadas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 32. Muitas revelações de vulnerabilidades (2015) Fonte: www.cvedetails.com/top-50-products.php?year=2015
  • 33. Aplicações vulneráveis sendo exploradas Fonte: Kaspersky Security Bulletin 2015
  • 34. Malware móvel (Nov. 2013 – Out. 2014) A ascensão dos Trojans móveis para bancos (Kaspersky Security Bulletin 2014) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 35. Por que dominar máquinas?: 
 1. Roubo de IP e banda larga • Objetivo do atacante: se passar por um usuário comum da Internet • Usar o endereço IP da máquina ou smartphone infectado para: • Spam (e.g. uma botnet storm) • Spamalítica: • 1:12M pharma spams leva a compra • 1:260K greeting card spams leva a infecção • Negação de Serviço: Serviços: 1 hora (20$), 24 horas (100$) • Fraude de clique (e.g. Clickbot.a) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 36. Por que dominar máquinas?: 2. Roubar credenciais e injetar ads • keylog para senhas bancárias, senhas de serviços na web, senhas de jogos online. • Exemplo: SilentBanker Usuário solicita página de login Banco envia página de login solicitada BancoMalware injeta JavascriptQuando o usuário submete a informação, ela é enviada também ao atacante Man-in-the-Browser (MITB) Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 37. Muitos malwares financeiros • tamanho: 3.5 KB • espalhado via anexos de email • também encontrado em roteadores caseiros Fonte: Kaspersky Security Bulletin 2015
  • 38. Por que dominar máquinas?: 3. Ransomware CryptoWall (2014-) • alveja Windows • espalha-se por spam emails ≈200.000 máquinas em 2015 Um problema mundial. Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 39. Por que dominar máquinas?: 4. Espalhar para sistemas isolados • Exemplo: Stuxnet • Infecção no Windows software de controle do Siemens PCS 7 SCADA no Windows controlador do dispositivo Siemens na rede isolada Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 40. Ataques a servidores • Roubo de dados financeiros: usualmente, números de cart.cred 1. Exemplo: Target (2013), ≈ 140M núm. de CC roubados 2. Muitos ataques semelhantes (menores) desde 2000 • Motivação política: 3. Aurora, Tunisia Facebook (Fev. 2011), GitHub (Mar. 2015) • Infectar usuários que visitam o servidor Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 41. Tipos de dados roubados (2012-2015) Fonte: California breach notification report, 2015
  • 42. Mercado de Vulnerabilidades Opção 1: programas de incentivo e premiação • Google Vulnerability Reward Program: até $20K • Microsoft Bounty Program: até $100K • Mozilla Bug Bounty program: $7500 • Pwn2Own (competição): $15K Opção 2: • Zero day initiative (ZDI), iDefense: $2K – $25K Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 43. Como empresas perdem dinheiro • malware/phishing: 54% • laptops perdidos/roubados: 22% • erros de membros internos: 17% • ataque de membros internos: 7% Fonte: California breach notification report, 2015
  • 45. Mercado de Vulnerabilidades Opção 3: mercado negro Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 46. Mercado para máquinas dominadas • Serviços de Pay-Per-Install (PPI) Operação PPI: 1. dominar a máquina da vítima 2. baixar e instalar o código do cliente 3. cobrar ao cliente spam bot keylogger PPI service clientes vítimas Fonte: Cabalerro et al. (www.icir.org/vern/papers/ppi-usesec11.pdf)
  • 47. Mercado para máquinas dominadas Custo: • USA - 100-180$ / 1000 máquinas • Ásia - 7-8$ / 1000 máquinas Fonte: https://crypto.stanford.edu/cs155/lectures/01-intro.pdf
  • 48. Definindo Segurança Confidencialidade: Nenhum acesso indevido Integridade: Dados não foram (maliciosamente) alterados Disponibilidade: Dados/serviços podem ser acessados quando desejado Responsabilização: Ações são rastreáveis aos responsáveis Autenticação: Origem de dados precisamente identificáveis
  • 49. Contramedidas de Proteção • Prevenção. Impedir quebras de segurança por design dos sistemas e pelo uso de tecnologias de segurança e de defesa. • Detecção. Se uma tentativa de quebra ocorrer, garantir que ela seja detectada. • Resposta. Caso uma quebra de segurança ocorra, dispor de um plano de recuperação. Respostas vão desde restaurar de backups ou reivindicar ao seguro, até informar aos stakeholders e aos agentes da lei.
  • 50. Taxonomia de Ataques • Virus, worms, rootkits, Trojan horse, spyware, keylogger, screenlogger, adware, ransomware • code injection (buffer overflow, integer overflow) • phone phreaking, phishing, pharming • engenharia social, spam • cross-site request forgery, cross-site scripting, SQL-injection, transaction generators, clickjacking, tapjacking, frame busting • web spoofing, DNS rebinding • distributed denial of service
  • 51. Ransomware (US-CERT, Mar/2016) • “Ransomware é um tipo de malware que infecta sistemas de computadores, restringindo o acesso dos usuários aos sistemas infectados. • Variantes de ransomware têm sido observados por vários anos e frequentemente tentam extorquir dinheiro de vítimas exibindo um alerta na tela. • Tipicamente, esses alertas dizem que os sistemas do usuário foram trancafiados ou que os arquivos do usuário foram encriptados. Usuários são avisados de que a menos que um resgate seja pago, acesso não será restaurado. O resgate demandado de indivíduos varia enormemente mas é frequentemente $200–$400 dólares e deve ser pago em moeda virtual, como Bitcoin.”
  • 52. Ransomware: números recentes • Americanos já pagaram mais de US$325 milhões em resgate • No final de 2014, havia apenas 16 famílias de ransomware, conforme Malwarebytes. Ano passado, surgiram 27 novas. No primeiro semestre de 2016 apareceram 15 novas. • 60% das infecções de malware encontradas pela Malwarebytes são agora ransomware. • O número de infecções de ransomware detectadas pelo software SpyHunter nos EUA saltou 158% apenas entre Março e Abril deste ano. • No primeiro trimestre deste ano, o anti-virus da Kaspersky bloqueou a instalação de virus nos computadores de 372.602 usuários, aumento de 30% em relação ao trimestre anterior. • Cerca de 2.453 queixas de ransomware foram depositadas no FBI's Internet Crime Complaint Center no ano passado, com perdas chegando a mais de US$25 milhões.
  • 53. Ataques em Smartphones Vetores de ataque: 1. navegadores da web 2. aplicativos instalados Específico para smartphones: 1. mensagens SMS 2. identificação da localização 3. gravação de chamadas 4. registro de SMS
  • 54. Relatório da Kaspersky (Ago/2013 a Mar/2014) • 3.408.112 detecções de malware em 1.023.202 usuários. • 69.000 ataques em Ago/2013 -> 644.000 in Mar/2014 • 35.000 usuários -> 242.000 usuários • 59,06% relacionados a roubo de dinheiro do usuário • Rússia, Índia, Cazaquistão, Vietnã, Ucrânia e Alemanha têm os maiores números de ataques reportados • Trojans enviando SMS foram 57,08% de todas as detecções Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 55. Cenário Típico • Cibercriminosos criam um site afiliado e convidam usuários da Internet a se tornarem seus cúmplices • Uma versão modificada do malware e uma página para download são criadas para cada cúmplice • Participantes do programa afiliado enganam usuários do Android e os induzem a instalar aplicativos maliciosos • Dispositivo infectado envia mensagens SMS a números “premium”, ganhando dinheiro para os cibercriminosos • Parte do dinheiro é pago aos parceiros afiliados (Fonte: http://media.kaspersky.com/pdf/Kaspersky-Lab-KSN-Report- mobile-cyberthreats-web.pdf)
  • 56. Malware de Smartphone Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 58. Incidência de Malware em Aplicativos Android A Large-Scale Study of Mobile Web App Security, Patrick Mutchler, Adam Doupe, John Mitchell, Chris Kruegel, Giovanni Vigna • Aplicativos web para smartphones: trazem embutido um navegador completamente funcional como um elemento de uma interface com o usuário Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 59. Análise Estática • Quantos aplicativos web para smartphones? • Quantos vulneráveis? • Resultados: • 737.828 apps grátis no Google Play (Out ’13) • 563.109 apps embutem um browser • 107.974 têm pelo menos uma violação de segurança Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 60. Vulnerabilidades mais significativas 1. Carregar conteúdo web não-confiável A. 152.706 apps com URLs parcialmente computadas B. 87.968 apps (57%) com HTTP URLs 2. Vazar URLs para apps estrangeiros 3. Expor navegação de mudança de estado a apps estrangeiros Fonte: https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 61. Resumo da Análise • Análise de um dataset de 737.828 aplicativos Android • Encontrou um grande número de apps contendo severas vulnerabilidades • 37.418 apps são vulneráveis a um exploit de execução remota de código quando executados em qualquer dispositivo Android, devido à omissão de segurança em versões mais antigas e adoção lenta de versões seguras • 45.689 apps são vulneráveis a um exploit de execução remota de código quando executados em 73% dos dispositivos Android em uso. Fonte; https://crypto.stanford.edu/cs155/lectures/18-mobile-malware.pdf
  • 62. “RANSOMWARE HACKERS ARE COMING FOR YOUR HEALTH RECORDS” (Newsweek, 9 Abril 2016) • “Electronic health records em hospitais de todo o país têm se tornado atraentes a cibercriminosos buscando por alvos lucrativos relativamente fáceis. • Esses criminosos usam os chamados “ransomwares” para encriptar arquivos e depois mantê-los sob sua guarda para extrair resgates para devolver os dados.”
  • 63. How to prevent ransomware attacks (Matthew Mellen, (16/05/2016) • “A essa altura em 2015, 105 violações de dados de saúde tinham sido reportados ao U.S. Department of Health and Human Services (HHS) para um total de mais de 92 milhões de registros perdidos, comparados com “apenas” 81 violações e 3,5 milhões de registros até agora em 2016. Boas notícias, certo? Bem, nem tanto. • Infelizmente, essa tendência aparentemente positiva não reflete a verdadeira paisagem de ameaças na indústria da assistência à saúde. Ransomware é um tipo de malware que restringe o acesso a arquivos ou sistemas com encriptação até que a vítima (o hospital) pague o resgate pela chave de destravar.”
  • 64. “Is ransomware considered a health data breach under HIPAA?” (CMIO, 29 Abril 2016) • “Com um total de 112 milhões de violações de dados de registros de assistência à saúde acontecendo em mais de 250 incidentes separados no ano passado, pode-se dizer que segurança da informação não está na cabeça das pessoas. O dilúvio de violações levantou uma questão importante sobre um determinado tipo de incidente: será que o ataque de ransomware se constitui numa violação de dados sob a HIPAA?”
  • 65. “The NHS has given the medical records of 1.6 million patients to Google” (The Independent, 04/05/16) NHS compartilha os registros médicos de 1,6 milhões de pacientes com Google como parte de acordo de compartilhamento de dados (The Independent, 04 Maio 2016) • “Os registros dizem respeito a pacientes de três hospitais de Londres que formam o Royal Free Trust; Barnet, Chase Farm e Royal Free Hospital coletaram no decorrer dos últimos cinco anos. Uma estimativa de 1,6 milhões de pacientes visitaram os hospitais a cada ano. • Google diz que pretende usar os dados como parte de seu grupo DeepMind para desenvolver um aplicativo que possa ajudar a reconhecer lesões renais. Entretanto, participantes de uma campanha de protesto têm revelado preocupações com o fato de que o compartilhamento de dados seja uma violação de confiança e não seja do interesse dos pacientes.”
  • 66. EHRs e Blockchain • Blockchain ("cadeia de blocos" em inglês) é um banco de dados distribuídos (livro-razão) de contabilidade pública que registra as transações bitcoin. • A tecnologia bitcoin é considerada uma revolução no sistema monetário principalmente devido ao conceito introduzido pela cadeia de blocos. Antes da invenção da blockchain, a única maneira de se manter registros de contabilidade (saldos e transações de contas) era bancos de dados centralizados e, geralmente, não-públicos. Era necessário que as pessoas confiassem que o banco de dados fosse honesto, e que não haveria nenhuma alteração maliciosa nos bancos de dados.
  • 67. Blockchain • Uma cadeia de bloco, ou blockchain, é um banco de dados distribuído que mantém uma lista continuamente crescente de registros de dados protegido contra adulteração e revisão. • Consiste de uma estrutura de dados em blocos-que detêm exclusivamente dados em implementações blockchain iniciais, e os dados e programas em algumas (por exemplo, Ethereum) das mais recentes implementações com cada bloco carregando lotes de transações individuais e os resultados de quaisquer códigos executáveis blockchain. Cada bloco contém um timestamp e informações ligando-o a um bloco anterior.
  • 68. Blockchain • De forma simples, uma Blockchain é essencialmente um livro-razão distribuído e seguro, atualizado usando criptografia de chave pública. • Transações são enviadas a “endereços” de chave pública, e.g.: 1AjYPi8qryPCJu6xgdJuQzVnWFXLmxq9s3 1Give4dbry2pyJihnpqV6Urq2SGEhpz3K • A carteira digital fica na escuta por transações endereçadas a qualquer das suas chaves públicas e, teoricamente, é o único nó que é capaz de decriptar e aceitar a transferência. • “Moedas” são “enviadas” pela divulgação ampla de transações na rede que são verificadas e adicionadas a um bloco.
  • 69. EHRs em Blockchain • Descentralização, garantindo que a integridade dos dados armazenados permaneça intacta, propiciando transparência completa. • Encriptação e resistência à adulteração, portanto blockchains alteradas são consideradas inválidas. • Acessibilidade global. • Transações verificáveis e imutáveis.
  • 70. Benefícios do registro de EHRs em Blockchain • Propicia maior eficiência para pedidos de aprovação e cobrança e previne fraude já que os registros não podem ser alterados. • Tecnicamente, o método da blockchain atinge o padrão HIPAA ao proteger a confidencialidade do paciente e garantir que os registros médicos não são revelados a terceiros. • Entretanto, a adoção de tal abordagem radical que descentraliza os dados, independente de como estão encriptados e gerenciados, provavelmente encontraria oposição significativa de grupos defensores da privacidade, grupos de pacientes e estaria certamente sujeita à opinião pública que, em última análise, tem a palavra final.
  • 71. Medical Records Project Wins Top Prize at Blockchain Hackathon (Nov 2015) • “MedVault, uma prova-de-conceito que permitiria pacientes registrarem informações médicas na blockchain do bitcoin, ganhou €5,000 em prêmio no Blockchain Hackathon esse final de semana. • Graham Rhodes, um desenvolvedor do MedVault, indicou que o projeto foi capaz de se destacar dos competidores em razão de seu uso da blockchain para “anonimizar” registros médicos: • “[Estamos] dando aos pacientes o controle sobre seus próprios registros médicos e a decisão de tornar certos aspectos públicos ou privados, ainda que armazenados de uma maneira distribuída global.”
  • 72. “Blockchain collaboration defines the fabric for healthcare 2.0” (CIO, 12/4/16) • “Aplicações da blockchain relacionadas a assistência à saúde estão surgindo em toda parte. Tierion permite que você crie um registro verificável de quaisquer dados, arquivos, ou processos de negócios na blockchain. Gem, a plataforma usa hardware security modules (HSMs) multi-assinaturas, e cadeias de chaves criptográficas para tratar identidade de endereço e segurança do acesso à informação, que age como um protocolo da camada de aplicações da blockchain. Factom e HealthNautica estão trabalhando para proteger registros médicos e históricos de auditoria. Guardtime, um provedor de ciberssegurança que usa os sistemas de blockchain para garantir a integridade dos dados, está em parceria com a Estonian e-Health Authority para proteger mais de um milhão de registros de assistência à saúde. MedVault, uma prova-de- conceito que permitiria a pacientes registrar informações médicas na blockchain do Bitcoin. MedVault trabalha com Colu para a emissão e gerenciamento de ativos digitais sobre a blockchain do bitcoin usando API e SDKs.”
  • 73. Zerocash • “Zerocash é um novo protocolo que propicia uma versão preservadora da privacidade do Bitcoin (ou uma moeda similar). • Zerocash repara uma fraqueza inerente do Bitcoin: toda a história de pagamentos do usuário é registrada na visão pública na blockchain, e é portanto imediatamente disponível a qualquer um. Enquanto que há técnicas para ofuscar essa informação, elas são problemáticas e ineficazes. Ao invés disso, em Zerocash, usuários podem fazer pagamentos uns aos outros diretamente, via transações de pagamento que não revelam nem a origem, nem o destino, e nem o montante do pagamento. Essa é uma melhora significativa comparada ao Bitcoin (e moedas digitais descentralizadas), onde todas as informações de pagamento são tornadas públicas para que o mundo todo veja.”