Uma Breve Atualização Sobre Segurança da Informação em Saúde

Segurança da Informação em Saúde foi um tópico quente no XV Congresso Brasileiro de Informática em Saúde. O que impressionou, no entanto, não foi apenas o volume de informações, mas sim o nível de maturidade das preocupações e dos problemas de segurança reconhecidos pelas instituições de saúde atualmente.

Não é de hoje que o assunto segurança da informação me interessa e, aproveitando o embalo do CBIS, resolvi escrever este artigo para explicar um pouco mais sobre o contexto do mundo em que vivemos hoje e porque é importante nos preocuparmos com segurança da informação.

A Problemática da Segurança da Informação em Saúde

Acredito que está claro para todo mundo que a tecnologia da informação veio para ficar em virtude dos inúmeros benefícios da informatização em comparação com os processos em manuais e em papel. Ganhos de produtividade, confiabilidade e a possibilidade de produzir insights para a tomada de decisão são apenas alguns dos benefícios.

Porém, a medida que os processos são informatizados e o computador substitui o papel, estamos entrando em um mundo novo onde tudo está conectado. A rede global de computadores, a internet, elimina as barreiras físicas criando um mundo virtual onde todas as vias são eletrônicas com informações trafegando na velocidade da luz.

Na internet não há fronteiras que não possam ser quebradas. Um computador no Japão pode acessar um computador no Brasil com tempo de acesso da ordem de milissegundos. Quer dizer que uma pessoa do outro lado do mundo pode, por exemplo, acessar o prontuário eletrônico de um paciente brasileiro em instantes, coisa que nunca seria possível com um prontuário físico.

Naturalmente existem também barreiras virtuais, como os firewalls, e pontos de autenticação que tecnicamente dificultam o acesso. Mas toda tecnologia tem suas falhas e sempre existem possibilidades. Além disso, nem sempre é a tecnologia que falha. Só é preciso uma pessoa (em uma instituição com centenas ou mesmo milhares de colaboradores) cometer um erro para que toda segurança esteja comprometida.

O desafio da segurança da informação é estar sempre um passo à frente dos atacantes, tradicionalmente conhecidos como hackers, mas que aos poucos estão ganhando terminologias mais pesadas como cibercriminosos ou ciberterroristas, em função da complexidade e do impacto dos seus ataques.

Nossa melhor arma para combater este inimigo é o preparo, e por isso precisamos conhecer o que estamos enfrentando.

Tipos Tradicionais de Ameaças

Vírus e malware são programas de computador com intenções maliciosas. As vezes são responsáveis por incapacitar uma máquina, tornando-a mais lenta, apagando arquivos ou corrompendo dados. Em outras, são ameaças silenciosas instalando backdoors, portas de acesso que podem ser utilizadas pelo mandante do ataque para invadir e roubar informações  como arquivos, senhas e números de cartão de crédito, ou tomar o controle da máquina infectada.

Alguns tipos de malware assumem o controle de máquinas infectadas mas ficam silenciosos por muitos dias, meses ou até mesmos anos. Eles ficam dormentes para serem acionados futuramente em ataques de negação de serviço (do inglês denial of service ou DoS).

Um ataque de negação de serviço é quando uma grande quantidade de computadores ou dispositivos tenta acessar o mesmo serviço na internet simultaneamente. A sobrecarga pode derrubar o serviço do ar e ainda pode ter consequências mais graves tornando o computador alvo sujeito a ataques mais complexos. Quer dizer, o seu computador infectado pode virar uma arma para derrubar uma instituição maior, como a página de um hospital, instituição financeira ou mesmo um site de governo.

Ataques do tipo phishing (uma brincadeira com a palavra fishing, do inglês, pescaria) também visam o roubo de informações, geralmente dados de acesso, porém utilizam uma estratégia diferente. Os atacantes tentam se passar por uma instituição confiável criando uma página falsa para a instituição na internet ou mandando e-mails falsos em nome dela. Geralmente esta técnica vem acompanhada de algum tipo de formulário ou campo de login onde o usuário digita voluntariamente os seus dados, que ao invés de serem direcionados para a instituição que ele acredita estar acessando, caem direto nas mãos do hacker ou cibercriminoso.

Para completar a lista dos ataques mais comuns, temos o ataque de força bruta, geralmente associado a técnica de dicionário, que é a tentativa de quebra de senhas através de repetidas tentativas utilizando um ou mais computadores percorrendo listas de palavras prováveis (o dicionário).

O ataque de força bruta, para ser mais efetivo, inicia com a construção de um dicionário personalizado para o ataque. Por exemplo, ao atacar a conta de e-mail de um indivíduo, o atacante irá coletar o máximo de informações sobre ele: data de nascimento, nome, sobrenome, nome de solteiro, mãe, pai, filhos, animais de estimação, etc, e construir um dicionário com base nestes dados conhecidos.

É por isso que existem tantas políticas de senha para criarmos senhas fortes, porque combinações triviais podem ser facilmente exploradas por este tipo de ataque. Também é por isso que é importante não compartilhar informações pessoais publicamente em redes sociais e, se possível, evitar publicar como um todo.

Engenharia social não é um ataque virtual propriamente dito, mas é uma técnica que pode ser utilizada em conjunto com as citadas anteriormente para conseguir acesso a informações ou sistemas restritos. Trata-se do atacante impersonar uma figura de autoridade real ou inventada e/ou utilizar de mentiras e persuasão para obter informações controladas. Por exemplo, um atacante pode se passar por um diretor de uma empresa e ligar para a secretária de outro diretor para obter informações sobre a sua agenda, e com base nesta informação construir ataques mais complexos. O hacker Kevin Mitnick ficou famoso na década de 90 por utilizar muito bem desta técnica.

Novas Ameaças

Todas as técnicas descritas na seção anterior são técnicas clássicas de invasão, mas que continuam válidas até hoje. Porém, assim como a computação evoluiu, as ameaças também evoluíram, com potenciais ainda mais destrutivos.

Um ataque que se popularizou recentemente foi o ransomware (ransom, do inglês, resgate), uma espécie de vírus que utiliza da criptografia para bloquear redes de computadores inteiras. O objetivo do ataque é tomar o controle da rede de computadores da empresa ou serviço até que o alvo decida pagar um “resgate”, geralmente em bitcoins, uma moeda virtual de difícil rastreamento. Um exemplo deste tipo de ataque foi o sequestro do HPMC, que eu já relatei anteriormente neste blog.

Para explicar melhor as dimensões deste tipo de ataque eu gostaria de fazer uma breve introdução à darknet.

Darknet, o lado obscuro da internet

Eu estou abrindo este tema porque muito provavelmente não é um assunto que todos estão familiarizados. A internet como conhecemos possui duas camadas distintas: 1) a surface net, ou clearnet, é a internet pública e indexada pelos sites que conhecemos (ex.: Google, Bing, Yahoo, etc). 2) a deep web é a camada que fica “escondida”, a qual o público geral não tem acesso, como por exemplo, intranet de empresas que requerem autenticações específicas para acessar.

Estima-se que apenas 4% da internet é indexada (clearnet) e que 96% corresponda a camada da deep web. Dentro desta camada, existe algumas subredes que exigem acessos especiais e tem características próprias, como é o caso da darknet.

O nome darknet vem da sua relação com o que é obscuro e sombrio. Esta rede surge como uma consequência direta do projeto TOR (The Onion Ring), uma tecnologia de rede que tem o objetivo de tornar comunicações eletrônicas criptografadas e não rastreáveis. Por ser uma rede não rastreável, ela começou a se tornar refúgio de todos os tipos de cibercriminosos. Dentro da darknet existem os hidden services, sites que possuem todos os tipos de serviços, desde venda de drogas, armas, documentos falsos e até a contratação de hackers para serviços ilegais.

A darknet é acessível através de um browser especial que implementa o protocolo Tor (nota: não recomendo ninguém a acessar a darknet sem um conhecimento muito avançado de segurança). Os endereços dentro da darknet possuem uma nomenclatura especial utilizando hashes e a terminação .onion, uma analogia a cebola em função das várias camadas de conexões.

Vale lembrar que a darknet e o Tor não foram inventados para o crime, mas este infelizmente foi uma consequência da sua invenção. Por exemplo, praticamente todos os principais jornais do mundo têm hidden services publicados na darknet. O objetivo destes hidden services é receber contatos de informantes de maneira completamente anônima. Lembrem-se que muitos destes informantes correm risco de vida pelas denúncias que expõem.

Um produto que é bastante comercializado nos mercados negros da darknet são os chamados DOX, nada mais do que documentos pessoais. Este tipo de informação é utilizado para roubo de identidade e forjar documentos falsos. Aqui voltamos para o problema da segurança da informação em saúde, pois o setor de saúde é uma fonte importante de dados pessoais e, devido a sua tradicional baixa preocupação com segurança, se tornou um alvo fácil para hackers mal intencionados.

Outro tipo de serviço disponível são os scramblers de bitcoin, cujo objetivo é embaralhar as transações em bitcoins para que não sejam rastreáveis. Ou seja, quando um hacker utiliza um ransomware e pede o resgate em bitcoins, ele na sequencia irá utilizar um serviço destes para tornar a transação completamente não rastreável, fazendo com que ele saia impune do crime.

Os próprios ransomware podem ser comprados nestes mercados, então não é necessário que o hacker programe o seu próprio, o que explica como este tipo de ataque tem aumentado exponencialmente.

Talvez um ponto ainda mais preocupante é a possibilidade de contratar assassinos pela darkweb. Eu sei, parece coisa de filme de Hollywood, mas é real. Naturalmente existem muitos scammers, golpistas que publicam serviços falsos para roubar bitcoins, mas é de se esperar que existam sim serviços reais de “hitmen” na darknet. Isso preocupa ainda mais quando colocamos o contexto de medjacking, o apoderamento do controle de dispositivos médicos pelo agressor. Seja uma bomba-infusora, um desfibrilador ou qualquer outro dispositivo de saúde interligado pela tecnologia, estamos abrindo uma porta para que o crime seja executado remotamente e de forma totalmente não-rastreável.

Conclusões

O problema da segurança da informação não é novo, mas está ganhando proporções que realmente parecem sair de filmes de Hollywood. A nossa única defesa é a informação, precisamos conhecer os tipos de ameaça para nos prepararmos contra elas.

O tema da segurança da informação, especialmente na área da saúde, precisa se tornar uma prioridade para CEOs e CIOs rapidamente, pois as consequências de uma negligência tendem ser cada vez piores à medida que sistemas são integrados e a tecnologia móvel se espalha pelos dispositivos médicos.

Eu fiquei feliz em ver que no CBIS 2016 este assunto foi discutido tão abertamente. Significa que já estamos caminhando nesta direção. Falou-se de ransomware, medjacking e darknet, entre outros, coisa que eu não esperava ser discutido com tanta clareza. Espero que com este artigo eu também tenha contribuído para desmistificar um pouco tema e reforçar a sua importância.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s