IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

NÃO SE ASSUSTE! Ok, você pode se assustar um pouco, é normal! Riscos em IoT (internet das coisas) não é exatamente uma novidade, mas marca-passos, bombas de insulina, desfibriladores e qualquer outro tipo de equipamento médico inteligente e interconectado representam uma das mais atemorizantes fontes de ameaça no cenário atual de cibersegurança.

A preocupação mais óbvia é com a proteção do paciente que pode ser vítima, por exemplo, de uma bomba de insulina hackeada, usada para dispensar uma dose literalmente fatal, ai não tem backup que dê jeito. A segunda grande preocupação é com a infraestrutura tecnológica de grandes hospitais e centros de saúde, que se tornam cada vez mais vulneráveis devido a quantidade de conexões, usualmente inseguras, de hardware médico embarcado com uma infinidade de sensores e monitores.

Iot, Cibersegurança e medicina

IoT na medicina: Estamos seguros?

Esse tipo de conexão insegura pode muito bem ser usado como uma porta de entrada para disseminação de códigos maliciosos ou sequestro de informações sensíveis como, por exemplo, registros médicos. Por enquanto ainda não existem registros de ciberataques fatais a pacientes, mas em 2016 não faltou exemplo de hospitais comprometidos com ransomwares.

Como esse cenário não é novo, seguimos com a vã esperança que as empresas que fabricam dispositivos médicos estejam atentas as boas práticas de cibersegurança. Preciso mesmo dizer que isso ainda não acontece? Pois é.

O atual nível de exposição de equipamento médico é bem fácil de ser comprovado. Faça uma busca simples no Shodan usando termos como “cardiologia” ou “radiologia”. É bem fácil encontrar alguns exemplos aqui do Brasil. Se você expandir a busca para termos em inglês, bem é estimado que pelo menos 40.000 equipamentos americanos estejam expostos atualmente. É difícil acreditar que todos sejam realmente seguros.

Iot, Cibersegurança e medicina

Shodan.io: Busca por cardiologia

Iot, Cibersegurança e medicina

Shodan.io: Busca por radiologia

Acredito que nem todo mundo pense em uma máquina de tomografia ou equipamentos similares como plataforma de  disseminação de um ataque, mas quando você descobre que uma parte significativa desses equipamentos ainda usa sistemas operacionais como Windows XP ou Windows Server 2003, fica fácil imaginar por que ataques como o MedJack usavam malware literalmente ancião para atacar especificamente dispositivos hospitalares.

Para o ambiente corporativo hospitalar a solução é bem conhecida, razoavelmente simples, mas talvez não seja algo exatamente fácil de implantar. Com um bom programa de gestão de riscos, você pode identificar todos os equipamentos vulneráveis e quais seriam os tratamentos adequados. O problema vai ser conseguir o apoio de fabricantes para o desenvolvimento de atualizações e correções.

Se o sequestro de informações médicas já é algo extremamente delicado, imagine que um cracker literalmente “roubou” seu coração marca-passo e está exigindo uma “doação” de bitcoins nas próximas horas para não te enviar um ataque cardíaco remoto? Não é uma situação nada agradável. Acesso wireless, monitoramento remoto, NFC, são todas conveniências que beneficiam o paciente, permitem que profissionais de saúde façam ajustes sem procedimentos invasivos, mas sem proteção adequada, se tornam pontos de alta exposição que podem literalmente acabar com vidas.

E quando o alvo for você? Será que é sensato confiarmos nossa existência aos escassos controles de segurança dos equipamentos médicos inteligentes instalados em nosso frágil e já debilitado corpo? Pelo menos por enquanto, não consigo acreditar que seja uma boa ideia. Que tal um pouco de Segurança em Camadas?

Iot, Cibersegurança e medicina

Seu corpo, suas regras de segurança!

Segurança da Informação: Muito mais que um appliance com um LED piscando.

Ao longo dos anos tenho brincando com colegas que se conseguíssemos criar um appliance com alguns LEDs e um display exibindo “Segurança OK!” seria bem mais simples conseguir vender consultorias não-técnicas de Segurança da Informação (SegInfo).

Não pesa nada e é wireless.

O fato é que, brincadeiras a parte, a cultura desenvolvida em torno da  SegInfo tem fortes raízes na TI, em especial na área de infraestrutura. Dado o crescimento exponencial da quantidade de informações digitais nas organizações é correto e esperado ter uma boa infra de segurança composta Firewalls, UTMs, DLPs e as demais buzzwords que os fabricantes escolheram para designar a última moda.

Até ai tudo bem. O problema surge quando esquecemos que Segurança da Informação vai muito além da TI.

Assistimos diariamente ao poder de disseminação de conteúdo das redes sociais. Compartilhamos informações que vão desde fotos familiares (ou indiscretas), o nosso estado de humor, geolocalização e até um resumo do que foi o jantar do gato da tia da prima da vizinha.

A família adora, stalkers e pervertidos de plantão adoram, namoradas e esposas nem tanto. Mas quem realmente odeia redes sociais são empresas quando acontece de uma informação que preferiam manter debaixo do tapete ser divulgada.

Em 2011 muito se falou do Toddynho detergente e eis que nos vemos com um novo incidente envolvendo um produto alimentício: O Ades sabor Uva, variedade Fungi.

Suco de soja sabor Fungi
Suco de soja sabor Fungi

Tudo começou ontem (19/10/2012) quando uma usuária do Facebook compartilhou a foto acima e relatou o caso a seguir: A mãe compra o produto, o filho reclama do sabor “diferente”, o pai diz que está normal e todos alegres e satisfeitos se deliciam com o suco de soja sabor Fungi (sim, um fungo havia brotado dentro da embalagem).

Imagem meramente ilustrativa de uma shroom trip do Brian Griffin
Imagem meramente ilustrativa de uma shroom trip do Brian Griffin

Apenas após consumir o produto, percebem uma “gosma enorme com aspecto de cogumelo saindo da caixa” e ao ligar para 0800 da empresa foram informados “com a maior naturalidade” que isso havia ocorrido por uma fissura na embalagem – que poderia ser jogada fora – e a oferta de um crédito no valor de R$ 5,00 (sim, cinco reais).

Resultado: Em menos de 24 horas, a foto em questão já havia sido compartilhada por pouco mais de 71 mil pessoas (que obviamente não se importam nem um pouco se o caso é real ou não) e foi inserida dentro de uma campanha no facebook institucional da empresa. O casal que comprou o suco já decidiu por fazer uma perícia e abrir um processo.

Campanha publicitária no facebook institucional
Campanha publicitária no facebook institucional

É um problema de SegInfo? Sim, certamente. O que acontece é que muitas vezes esquecemos que Segurança da Informação não é um objetivo, em si, mas um meio para garantir que os objetivos do negócio sejam atingidos. Nesse caso vender caixinhas de suco de soja.

Muitas vezes não é possível controlar o que um cliente ou qualquer agente externo a empresa publica em uma rede social, mas será que é tão difícil assim treinar a equipe da central de serviços (sim, o 0800 é um service desk) ou preparar a equipe responsável pelas redes sociais corporativas para agir rapidamente quando um incidente acontece?

Não é necessário ou correto mentir e ocultar erros, mas empresas devem sim saber a forma de explicar corretamente e se retratar junto aos clientes e publico em geral para proteger sua imagem e reputação. Isso se chama contenção de danos e faz parte de qualquer metodologia de gestão de incidentes de Segurança da Informação ou Continuidade de Negócios.

Objetivos de Seginfo x Negócio
Objetivos de Seginfo x Negócio

A melhor maneira para se criar uma boa gestão de segurança da informação é manter uma abordagem holística, envolver diferentes setores como: Marketing, Departamento Pessoal, Jurídico e qualquer outro que possa ajudar a tirar o excesso de responsabilidade da área de TI que, na maioria das empresas, ainda é a única responsável pela SegInfo.

Enquanto isso, por enquanto, estou cancelando o suco de soja de minha dieta usual 🙂

Segurança da Informação: Da Utopia a criação de uma cultura de proteção aos dados corporativos

Por volta do o ano de 1516, Sir Thomas More se viu fascinado pela descrição de Americo Vespucio do arquipélago paradisíaco brasileiro de Fernando de Noronha, e decidiu escrever sobre “um novo lugar onde haveria uma sociedade pura e perfeita”.

De optimo rei publicae statu deque nova insula Utopia traduz-se literalmente “Sobre o melhor estado da república e da nova ilha Utopia” e é comumente conhecido simplesmente por Utopia, a sociedade ideal, onde não há guerra, fome, pobreza, e – se Sir Thomas More tivesse nascido cerca de 500 anos mais tarde – sem incidentes de segurança da informação.

VUTOPIA - É bem ali.. depois de três quadras, dobra a esquerda, passa duas quadras, vira na padaria do Zé e é só seguir reto mais um ou dois Parsecs

Na sociedade utópica cada usuário está perfeitamente consciente de seus papéis e responsabilidades e, apesar de a segurança da informação (SI) ainda ser baseada na triade integridade, confidencialidade e disponibilidade (CID), os controles de segurança são focados apenas no fortalecimento da infra-estrutura contra eventos imprevisíveis e questões ambientais como um incêndio ou a velha e boa catástrofe natural.

Na Utopia não há necessidade de controles como, por exemplo, configurar requisitos de complexidade para senhas ou instalar um filtro web já que os próprios usuários sempre criam senhas complexas e usam o acesso à Internet somente para fins de trabalho.

Y U NO LESS BORING?
Que mundo chato! Voltemos a realidade atual!

Infelizmente cada dia nos leva um passo mais longe da utopia e a gestão de segurança da informação (GSI) tem de lidar com problemas comuns, tais como o surgimento de novos códigos maliciosos, vazamento de informações, hacktivismo e ao mesmo tempo derrotar o mais temível de todos os desafios: convencer o négocio e os usuários sobre a importância da segurança da informação como um ativo estratégico.

Dada a quantidade de espaço que a mídia tem usado para mostrar casos recentes de ataques realizados pelos autointitulados grupos hacktivistas como Anonymous e Lulzsec seria uma suposição bastante razoável que a maturidade corporativa sobre iniciativas de segurança também estaria aumentando. #Not!

awareness or not

A infeliz realidade é que, excetuando-se casos de empresas onde SI é mandatória (basicamente quando se é obrigado por alguma lei ou regulamentação) a maioria das organizações ainda têm um nível de maturidade pobre e prefere lidar com incidentes a “moda antiga”: SER REATIVO.

Qualquer literatura recente, incluindo normas como a ISO 27001, define Segurança da Informação como a “preservação da confidencialidade, integridade e disponibilidade das informações, além disso, outras propriedades, como autenticidade, não repúdio, responsabilidade e confiabilidade podem também estar envolvidos”. Estes aspectos certamente são importantes, porém não devem ofuscar o fato de que a tríade CID é suportada e dependente de processos, pessoas e tecnologia.

Esta “pequena” falha de entendimento pode levar a lacunas na proteção de ativos de informação, afinal, a SI tem um escopo muito mais abrangente do que IT Sec e até mesmo a melhor tecnologia não será capaz proteger a sua empresa quando o CFO tem uma senha “escondida” sob o seu teclado que é compartilhada com sua secretária de confiança.Do ponto de vista do business a SI não faz a operação ser mais fácil ou barata, mas certamente torna o negócio possível em um ambiente em constante evolução e com uma crescente variedade de ameaças.

CIDxPPT
CID x PPT

Desde seus primórdios, a segurança da informação tem sido intimamente associada com tecnologia, incluindo firewalls, IPS, IDS e todo um universo siglas que representam softwares ou appliances que visam a proteger a infra-estrutura e seus dados eletrônicos. Este fato vem de um erro bastante comum: confunir segurança da informação (SI) com segurança de tecnologia da informação (IT Sec).

Esta série de artigos tem como foco um dos aspectos-chave da gestão de segurança da informação: a criação de um programa de conscientização sobre segurança da informação que efetivamente permita a todos os níveis da organização compreender e cumprir o seu papel na proteção dos ativos de informação.

É preciso compreender que não existe necessidade de se criar uma “sociedade utópica”. Entretanto, um programa de conscientização de sucesso deve garantir o florescimento de uma cultura corporativa que abrange a protecção de dados para cada pessoa – desde a alta direção até estagiários, funcionários temporários e terceiros – que tem acesso ou manuseiam ativos de informação da empresa durante seu ciclo de vida.

A única maneira para se garantir o sucesso desta empreitada é ter a participação ativa da alta direção: Não basta ser comprometido, é preciso parecer comprometido. Outro ponto essencial é reunir as demais partes interessadas em departamentos como Recursos Humanos, Marketing e Jurídico.  Desta forma, garantimos que não há falta de conhecimento sobre as disciplinas não inerentes a área de SI ou das equipes de TI, especialmente de comunicação interna e iniciativas de marketing.

PDF – Palestra: Auditando Segurança da Informação – Combatendo fraudes e controlando riscos

Prezados colegas,

Estou disponibilizando AQUI o material de apoio da palestra que apresentei no dia 31/03 durante o Seminário de TI da turma de MBA de Governança de TI na FIC/CE. Novamente, agradeço ao Prof. Otávio Frota pelo convite.

Auditando Segurança da Informação - Combatendo fraudes e controlando riscos

 

Segurança Digital – 3ª edição setembro 2011

Revista Segurança Digital - 2ª Edição - Setembro 2011
Revista Segurança Digital - 2ª Edição - Setembro 2011

Lançar uma revista de Segurança da Informação traz sempre um grande risco de cair no comum e não conseguir brilhar diante da ampla quantidade e qualidade de publicações disponíveis na mídia convencional ou independente. E é com essa visão que no final de setembro estamos publicando nossa segunda edição recheada de matérias que abordam desde aspectos técnicos até a definição de estratégias de segurança corporativa.

-Baixe a revista agora-

A matéria de capa trata da Cyberguerra e reflete um cenário amplamente divulgado pela mídia, mesmo que nem sempre de forma justa. Quantas vezes confundimos hackers com crackers? Quantas vezes deixamos de nos preocupar com seus motivadores, com suas ambições e suas falhas? Muitas organizações simplesmente adotam uma postura neutra acreditando “que este problema não é meu” até que descobrem tarde demais que eram uma peça de um jogo onde muitas vezes as regras são tão confusas quanto injustas.

O registro dos usuários e o armazenamento de logs joga luz sobre aspectos legais de mitos como o anonimato na internet, que muitas vezes é o mantra de um lobby de empresas que não estão dispostas a abrir mão de seus lucros para investir em uma estrutura que pode apoiar a rápida solução de crimes digitais.

Nossa sessão de dicas traz o uso de uma ferramenta de criptografia extremamente maleável, poderosa e gratuita, o TrueCrypt, que permite a criação de drives ou partições seguras e uso transparente de criptografica. Continuamos discutindo e explicando questões bastante similares às provas do CISSP da ISC², uma das certificações de segurança mais desejadas e respeitadas a nível internacional.

Por fim, apresentamos uma abordagem realista para apoiar a árdua (e muitas vezes ingrata), mas extremamente importante tarefa da criação e manutenção de uma Política de Segurança da Informação, um excelente ativo estratégico que impulsiona a criação de uma cultura de proteção aos dados corporativos.

Tudo isso e muito mais foi feito pensando em você, caro leitor, que agora é convidado não só como mero coadjuvante, mas como peça principal em nosso cheque mate. Queremos a sua opinião, a sua dúvida, a sua participação, a sua crítica. Mais que tudo, queremos fazer bom uso do seu tempo divulgando e expandindo o corpo de conhecimento comum sobre assuntos sempre presentes no contexto profissional, que com uma frequência cada vez maior transcendem para nossas vidas pessoais.

Hinc robur et securitas