IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

NÃO SE ASSUSTE! Ok, você pode se assustar um pouco, é normal! Riscos em IoT (internet das coisas) não é exatamente uma novidade, mas marca-passos, bombas de insulina, desfibriladores e qualquer outro tipo de equipamento médico inteligente e interconectado representam uma das mais atemorizantes fontes de ameaça no cenário atual de cibersegurança.

A preocupação mais óbvia é com a proteção do paciente que pode ser vítima, por exemplo, de uma bomba de insulina hackeada, usada para dispensar uma dose literalmente fatal, ai não tem backup que dê jeito. A segunda grande preocupação é com a infraestrutura tecnológica de grandes hospitais e centros de saúde, que se tornam cada vez mais vulneráveis devido a quantidade de conexões, usualmente inseguras, de hardware médico embarcado com uma infinidade de sensores e monitores.

Iot, Cibersegurança e medicina

IoT na medicina: Estamos seguros?

Esse tipo de conexão insegura pode muito bem ser usado como uma porta de entrada para disseminação de códigos maliciosos ou sequestro de informações sensíveis como, por exemplo, registros médicos. Por enquanto ainda não existem registros de ciberataques fatais a pacientes, mas em 2016 não faltou exemplo de hospitais comprometidos com ransomwares.

Como esse cenário não é novo, seguimos com a vã esperança que as empresas que fabricam dispositivos médicos estejam atentas as boas práticas de cibersegurança. Preciso mesmo dizer que isso ainda não acontece? Pois é.

O atual nível de exposição de equipamento médico é bem fácil de ser comprovado. Faça uma busca simples no Shodan usando termos como “cardiologia” ou “radiologia”. É bem fácil encontrar alguns exemplos aqui do Brasil. Se você expandir a busca para termos em inglês, bem é estimado que pelo menos 40.000 equipamentos americanos estejam expostos atualmente. É difícil acreditar que todos sejam realmente seguros.

Iot, Cibersegurança e medicina

Shodan.io: Busca por cardiologia

Iot, Cibersegurança e medicina

Shodan.io: Busca por radiologia

Acredito que nem todo mundo pense em uma máquina de tomografia ou equipamentos similares como plataforma de  disseminação de um ataque, mas quando você descobre que uma parte significativa desses equipamentos ainda usa sistemas operacionais como Windows XP ou Windows Server 2003, fica fácil imaginar por que ataques como o MedJack usavam malware literalmente ancião para atacar especificamente dispositivos hospitalares.

Para o ambiente corporativo hospitalar a solução é bem conhecida, razoavelmente simples, mas talvez não seja algo exatamente fácil de implantar. Com um bom programa de gestão de riscos, você pode identificar todos os equipamentos vulneráveis e quais seriam os tratamentos adequados. O problema vai ser conseguir o apoio de fabricantes para o desenvolvimento de atualizações e correções.

Se o sequestro de informações médicas já é algo extremamente delicado, imagine que um cracker literalmente “roubou” seu coração marca-passo e está exigindo uma “doação” de bitcoins nas próximas horas para não te enviar um ataque cardíaco remoto? Não é uma situação nada agradável. Acesso wireless, monitoramento remoto, NFC, são todas conveniências que beneficiam o paciente, permitem que profissionais de saúde façam ajustes sem procedimentos invasivos, mas sem proteção adequada, se tornam pontos de alta exposição que podem literalmente acabar com vidas.

E quando o alvo for você? Será que é sensato confiarmos nossa existência aos escassos controles de segurança dos equipamentos médicos inteligentes instalados em nosso frágil e já debilitado corpo? Pelo menos por enquanto, não consigo acreditar que seja uma boa ideia. Que tal um pouco de Segurança em Camadas?

Iot, Cibersegurança e medicina

Seu corpo, suas regras de segurança!

Gestão de Continuidade de Negócios x Plano de Recuperação de Desastres: Entenda a diferença!

MESMO HOJE, ALGUNS PROFISSIONAIS AINDA CONFUNDEM CONTINUIDADE DE NEGÓCIOS COM RECUPERAÇÃO DE DESASTRES.

O Plano de Recuperação de Desastres (PRD) visa restaurar, o mais rápido possível e mesmo com desempenho reduzido, a TIC que sustenta processos críticos do negócio. O PRD só é concluído quando tudo já foi completamente recuperado e a empresa pode voltar ao seu “estado de normalidade”.

Mesmo entendendo que a maioria dos processos de negócio são dependentes da TIC, existem outros componentes que são essenciais a uma boa Gestão de Continuidade de Negócios (GCN). Esse é o caso com o Plano de Comunicação em Crise, que define pontos vitais como: A forma como a organização deve se comunicar, o tom da mensagem e quem deve estar a frente da comunicação. Tudo isso de acordo com o nível/tipo de crise.

PRD - Plano de Recuperação de Desastres, PCO - Plano de Contingencia Operacional, PCOM - Plano de Comunicação, PGC - Plano de Gestão de Crises
PRD – Apenas uma parte da Gestão de Continuidade

Ainda ontem um dos meus alunos de uma turma do curso CISA em BSB me perguntou: O que acontece quando a empresa faz um “Plano de Continuidade” somente para TIC?

Bem, a resposta é obvia, sua Gestão de Continuidade de Negócios – reduzida exclusivamente ao PRD – fica míope. Cuidado apenas de um aspecto, mesmo dos mais relevantes, parte significativa dos riscos/impactos a organização não será tratada, e seu resultado para o negócio pode ser catastrófico.

Para fechar o exemplo, perguntei: “O que a TIC pode fazer, no caso de uma crise como a da Ellus, que lançou uma campanha estratégica com o tema “ABAIXO ESTE BRASIL ATRASADO“, e foi imediatamente detonada quando um colunista do Estadão lembrou que – apesar da marca considerar o governo culpado pelo atraso do Brasil – a Ellus é acusada de utilizar mão de obra escrava em sua produção?”

O que a TI pode fazer neste cenário de crise? Praticamente NADA. No máximo se preparar para eventuais ataques de hacktivistas. A campanha segue amplamente difundida em vários sites, associando a marca ao trabalho escravo. Acho que esse não era o objetivo inicial da turma do marketing!

Eis o provável resultado quando se limita a GCN apenas ao Plano de Recuperação de Desastres. Não custa nada lembrar que no mundo corporativo, crises são inevitáveis. O quão preparado você está, incluindo a abrangência em todos os aspectos de Continuidade, é que vai definir o nível de impacto para sua organização, e até a sobrevivência da mesma.

DARYUS- Palestra Cibersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo? VIDEO e download dos SLIDES

Prezados amigos,

Como mencionado previamente em outros posts,  no dia 14/05 tive o prazer de palestrar novamente na UNIFOR apresentando o tema “Cibsersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?”.

unifor_ciberseguranca

É sempre excelente poder discutir um assunto tão relevante e que de um jeito ou de outro, afeta todo o Brasil. Agradeço a todos os presentes, e em especial ao Prof. Marcus Venicius e a UNIFOR pela parceria.

Como sempre, estou publicando  no <<SLIDESHARE>> o material de apoio que usei na palestra. Como a apresentação original continha um vídeo, aproveitei e subi para o youtube. Espero que gostem!

Para ver mais fotos do evento, que foram publicadas na comunidade do facebook, clique AQUI.

DARYUS-UNIFOR: Palestra Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?
Clique e se inscreva

Em meio a inúmeros atrasos, manifestações e polêmicas, enfim a Copa do Mundo está chegando.

Enquanto a infraestrutura e logística para esse megaevento são os assuntos mais debatidos, não podemos esquecer que o Brasil é um país com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa. Temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com cyberataques podem ser considerados – na melhor das hipóteses – precários.

Manifestações, fraudes, ciberativismo, hacktivismo ou mesmo o ciberterrorismo. Vamos discutir como o Brasil preparou suas defesas virtuais. Será que realmente estamos prontos para entrar em campo?

O evento, realizado pela DARYUS em parceria com a UNIFOR, é gratuito, mas as vagas são limitadas.

Inscreva-se AQUI!

Cybersegurança na Copa do Mundo: O Brasil está pronto para entrar em campo?

FALTA POUCO MAIS DE UM MÊS. Depois de inúmeras denuncias, controvérsias e atrasos ,enfim chegamos ao que pode ser considerado um dos maiores eventos que o Brasil já sediou, a Copa do Mundo de 2014. As próximas semanas trarão a resposta a uma pergunta que assombra muitos profissionais que lidam com gestão de riscos: Com os olhos e holofotes do mundo centrados em nossa nação, será que teremos finalmente um momento de merecida glória ou um retumbante fracasso?

risco-copa

Indo além do nobre esporte bretão disputado no tapete esmeralda, quando entramos no campo digital talvez nossa seleção não seja a mais preparada. Somos uma nação virtual com mais de 100 milhões de internautas, onde a cada 17 segundos existe uma tentativa de golpe financeiro com o uso de identidade falsa, temos mais de 2500 denúncias de crimes online por dia e nossos esforços em lidar com ciberataques podem ser considerados – na melhor das hipóteses – precários.

O crime não tira férias e nem assiste aos jogos da Copa

Quando olhamos individualmente para organizações, as estatísticas apontam que datas comemorativas e grandes eventos representam um número maior de ataques cibernéticos. Esse movimento é natural, visto que boa parte das empresas acaba contando com equipes menores, trabalhando em regime de plantão. Imagine que, se já não é fácil monitorar o ambiente corporativo com uma equipe completa, um quadro reduzido amplia a possibilidade de não se detectar ou tratar um incidente a tempo. Enquanto estamos de olho nos telões, torcendo pela seleção canarinho,  vazamento de informações, infecções por malwares, golpes de phishing e similares aumentam tanto quanto a quantidade de faltas cavadas por certos jogadores, frente a uma marcação mais cerrada.

Acredito que seja evidente a todos que – gostando ou não – vai ter Copa sim, e a esmagadora maioria dos brasileiros aplaudirá o evento. Esse fato não diminui as oportunidades que movimentos como o “Não Vai Ter Copa” terão para divulgar sua mensagem. Um ponto importante é entendermos a tênue diferença entre o ciberativismo – a versão repaginada do sofativismo, que usa primariamente redes sociais para divulgar idéias – e o hacktivismo ou mesmo o ciberterrorismo. Esses dois últimos fazem uso da tecnologia aliada ao medo e caos, juntando uma massa cega e inconsequente de internautas, que não tem uma real percepção do prejuízo que um ataque pode causar a uma empresa ou órgão público.

Falou o corretor sobre o apartamento de 50m²
Falou o corretor sobre um apartamento de 50m²

Muito além de empresas privadas como a própria FIFA e seus patrocinadores, alvos de hacktivistas incluem serviços críticos como polícia, bombeiros e até mesmo as forças armadas. Isso ficou claro 2013, durante a chamada “Operação 7 de Setembro”, quando crackers atacaram mais de 50 sites nacionais, dos quais 75% eram órgãos do governo. Os ataques – geralmente de negação de serviço – chegaram a derrubar páginas como das Polícias Militares do Rio de Janeiro e Distrito Federal. Sinceramente não é difícil imaginar um cenário onde ataques similares poderiam visar a desestabilização da infraestrutura crítica desses órgãos, podendo chegar a comprometer operações de proteção a vida.

A administração pública já vem tomando algumas medidas para garantir a segurança da informação em grandes eventos, como a implementação dos Centros de Comando e Controle  e a forte mobilização de agentes da segurança pública durante a Copa do Mundo. Entretanto, nas próprias palavras do Delegado José Mariano – da Polícia Civil de São Paulo – “Só agimos reativamente. Falta integração e articulação para deixarmos de ser o país com pior índice de segurança da informação na América Latina”. Essa escassez de ações proativas é a lacuna que permite ao Brasil ser um dos países mais afetados pelo cibercrime, com um prejuízo anual estimado em mais de R$ 18,3 bilhões de acordo com o Norton Cybercrime Report 2013.

 Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime
Norton Cybercrime Report 2013: R$ 18,3 bilhões de prejuízo com cibercrime

Como resolver esses problemas? Acredito que apesar de empecilhos como o escasso investimento nas iniciativas pública e privada, o pequeno número de profissionais experientes no mercado, nosso maior problema é a falta de uma cultura em Segurança da Informação. É “fácil” investir em uma das muitas tecnologias de proteção disponíveis no mercado, mas enquanto não tivermos bons profissionais a frente das mesmas, e um apoio executivo na Alta Direção das empresas, vamos continuar levando gol contra.

CARTO_vermelho