IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

NÃO SE ASSUSTE! Ok, você pode se assustar um pouco, é normal! Riscos em IoT (internet das coisas) não é exatamente uma novidade, mas marca-passos, bombas de insulina, desfibriladores e qualquer outro tipo de equipamento médico inteligente e interconectado representam uma das mais atemorizantes fontes de ameaça no cenário atual de cibersegurança.

A preocupação mais óbvia é com a proteção do paciente que pode ser vítima, por exemplo, de uma bomba de insulina hackeada, usada para dispensar uma dose literalmente fatal, ai não tem backup que dê jeito. A segunda grande preocupação é com a infraestrutura tecnológica de grandes hospitais e centros de saúde, que se tornam cada vez mais vulneráveis devido a quantidade de conexões, usualmente inseguras, de hardware médico embarcado com uma infinidade de sensores e monitores.

Iot, Cibersegurança e medicina

IoT na medicina: Estamos seguros?

Esse tipo de conexão insegura pode muito bem ser usado como uma porta de entrada para disseminação de códigos maliciosos ou sequestro de informações sensíveis como, por exemplo, registros médicos. Por enquanto ainda não existem registros de ciberataques fatais a pacientes, mas em 2016 não faltou exemplo de hospitais comprometidos com ransomwares.

Como esse cenário não é novo, seguimos com a vã esperança que as empresas que fabricam dispositivos médicos estejam atentas as boas práticas de cibersegurança. Preciso mesmo dizer que isso ainda não acontece? Pois é.

O atual nível de exposição de equipamento médico é bem fácil de ser comprovado. Faça uma busca simples no Shodan usando termos como “cardiologia” ou “radiologia”. É bem fácil encontrar alguns exemplos aqui do Brasil. Se você expandir a busca para termos em inglês, bem é estimado que pelo menos 40.000 equipamentos americanos estejam expostos atualmente. É difícil acreditar que todos sejam realmente seguros.

Iot, Cibersegurança e medicina

Shodan.io: Busca por cardiologia

Iot, Cibersegurança e medicina

Shodan.io: Busca por radiologia

Acredito que nem todo mundo pense em uma máquina de tomografia ou equipamentos similares como plataforma de  disseminação de um ataque, mas quando você descobre que uma parte significativa desses equipamentos ainda usa sistemas operacionais como Windows XP ou Windows Server 2003, fica fácil imaginar por que ataques como o MedJack usavam malware literalmente ancião para atacar especificamente dispositivos hospitalares.

Para o ambiente corporativo hospitalar a solução é bem conhecida, razoavelmente simples, mas talvez não seja algo exatamente fácil de implantar. Com um bom programa de gestão de riscos, você pode identificar todos os equipamentos vulneráveis e quais seriam os tratamentos adequados. O problema vai ser conseguir o apoio de fabricantes para o desenvolvimento de atualizações e correções.

Se o sequestro de informações médicas já é algo extremamente delicado, imagine que um cracker literalmente “roubou” seu coração marca-passo e está exigindo uma “doação” de bitcoins nas próximas horas para não te enviar um ataque cardíaco remoto? Não é uma situação nada agradável. Acesso wireless, monitoramento remoto, NFC, são todas conveniências que beneficiam o paciente, permitem que profissionais de saúde façam ajustes sem procedimentos invasivos, mas sem proteção adequada, se tornam pontos de alta exposição que podem literalmente acabar com vidas.

E quando o alvo for você? Será que é sensato confiarmos nossa existência aos escassos controles de segurança dos equipamentos médicos inteligentes instalados em nosso frágil e já debilitado corpo? Pelo menos por enquanto, não consigo acreditar que seja uma boa ideia. Que tal um pouco de Segurança em Camadas?

Iot, Cibersegurança e medicina

Seu corpo, suas regras de segurança!

[UNIFOR] – Palestra “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura” – Download dos Slides

Prezados amigos,

Como mencionado previamente em outros posts,  no dia 20/02 tive o prazer de palestrar na UNIFOR apresentando o tema “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”.

UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.
UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.

Foi grande prazer poder discutir o conflito INOVAÇÃO x SEGURANÇA com amigos, alunos e profissionais na minha cidade. Agradeço a todos os presentes, e em especial ao Prof. Marcus Venicius e a UNIFOR pela parceria.

Clique para fazer o download da apresentação!
Clique para fazer o download da apresentação!

Estou publicando  aqui <<[PDF]Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura>> o material de apoio que usei na palestra.

Para ver mais fotos do evento, que foram publicadas na comunidade do facebook, clique AQUI.

Palestra Gratuita em Fortaleza: “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”

Caros colegas,

Em 20 de fevereiro as 19:30, estarei em Fortaleza apresentando uma palestra com o tema “Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura”.

clique na imagem para se inscrever
clique na imagem e faça sua inscrição!

Em uma cultura cada vez mais dinâmica, onde novas tendências, tecnologias e ameaças surgem em uma base quase diária, um dos grandes desafios a Segurança da Informação é não se tornar um empecilho a INOVAÇÃO nas corporações, ao mesmo tempo em que garante um ambiente livre de impactos adversos.

Vamos tentar responder a pergunta: É possível ter flexibilidade o suficiente para INOVAR DE MANEIRA SEGURA?

O evento é gratuito, mas as vagas são limitadas! Inscreva-se aqui: http://dary.us/1h4iXNm.

Aproveite e participe do evento no Facebook: http://dary.us/1bFhMMu.