ATAQUES CIBERNÉTICOS: QUEM SERÁ A PRÓXIMA VÍTIMA?
Hospitais e outras empresas do setor de saúde são alvo de invasões para obter informações sigilosas e com isso ganhar muito dinheiro. Entenda por que isso acontece e como proceder para melhorar a segurança dos sistemas de informação e não cair em armadilhas
Imagine a seguinte situação: o acompanhante de um
paciente está no quarto de um hospital aguardando o parente que foi fazer determinado
procedimento médico. De repente, o telefone do quarto toca. A pessoa atende e recebe
a informação de que será necessário fazer novos exames, que vai precisar de
autorização para realizá-los e de um depósito imediato para tal fim. A voz do
outro lado conhece detalhes da ficha médica do paciente e diz que o caráter é
de urgência.
Muitos familiares sob o estresse de lidar com a doença
acabam caindo na encenação e só vão saber que foram roubados na hora de fechar
a conta no hospital. “A área da saúde está sendo muito atacada. A organizações têm
dificuldade de garantir a segurança do banco de dados interno. E aí quem tem
essa informação pode passá-la para as quadrilhas, que se aproveitam da boa-fé
de todo mundo”, afirma o gerente da qualidade da Diretoria de Certificação da
Fundação Vanzolini, Airton Gonzalez. “Não se trata de uma situação hipotética,
para calcular riscos ou avaliar possíveis brechas de segurança. Coisas assim
estão acontecendo realmente.”
Organizações de saúde têm se mostrado o alvo ideal
para invasões de hackers e a realização de crimes diversos. Isso por serem
depositárias de informações relevantes e sigilosas de pacientes, além de reunirem
muitas pessoas operando dispositivos tecnológicos que se comunicam em redes com
baixo grau de segurança. Ou seja, empresas como hospitais, laboratórios,
clínicas, operadoras de planos de saúde, entre outras, estão cada vez mais
visadas por criminosos cibernéticos.
Inimigo
à espreita
Em 2015, a Anthem Inc., segunda
maior seguradora dos Estados Unidos, maculou a própria imagem – e com certeza
perdeu muito dinheiro – por falhas na segurança de dados. De acordo com
reportagem publicada no Wall Street
Journal, em fevereiro daquele ano, um ataque virtual nos sistemas da
instituição foi o responsável pela violação nos dados de 78,8
milhões de clientes da empresa.
Uma pesquisa conduzida pela KPMG e publicada nos
Estados Unidos em 2015 também chegou a conclusões bem sérias: 81% dos executivos da área de saúde
disseram que suas organizações já foram comprometidas por algum tipo de
ciberataque nos dois anos anteriores ao relatório.
O tom das afirmações pode parecer alarmante, mas tem
sua razão de ser. Imagine o estrago causado na credibilidade de uma organização
cujo sistema de segurança da informação não tenha sido capaz de evitar uma
invasão desse tipo. Isso sem contar o dano financeiro. “Vamos pensar um pouco:
antigamente, falava-se em roubo de dados, mas isso se aplicava a grandes
empresas, como bancos”, diz Gonzalez. “Agora, cada vez mais o cidadão está
exposto a esse tipo de crime.”
O especialista explica ainda que, para além do impacto
negativo na reputação da organização, entre as possibilidades de lucro para criminosos,
estão o acesso a dados bancários e de cartões de crédito dos pacientes; dados
de planejamento estratégico da organização de saúde, relatórios sigilosos ou
sua movimentação financeira; propriedade intelectual de técnicas, metodologias,
equipamentos ou sistemas; falsificação
de resultados ou diagnósticos de pacientes; e avarias nos equipamentos
médicos, que podem causar tanto danos físicos aos pacientes quanto enormes
prejuízos financeiros.
Só para dar uma ideia do volume de dinheiro envolvido
em crimes desse tipo, segundo dados publicados por Aguinaldo Aragon Fernandes
e Vladimir Ferraz de Abreu no livro Implantando
a Governança de TI: Da Estratégia à Gestão dos Processos e Serviços, somente no Brasil, no ano de 2005 as
fraudes pela internet foram estimadas em R$ 300 milhões.
Benefícios
do sistema de gestão da segurança da informação
Diante desse cenário, Gonzalez destaca alguns
benefícios de investir em um sistema
de gestão de segurança da informação segundo a norma NBR ISO/IEC 27001:2013, adequado a organizações de saúde:
•
Desenvolvimento da conscientização das pessoas (colaboradores e usuários)
•
Monitoramento e fortalecimento contínuo da gestão da segurança da informação
•
Declaração de conformidade por terceira parte, conferindo maior
credibilidade à comunicação entre as partes envolvidas
•
Construção
de confiança nas relações com as partes interessadas e parceiros do negócio
•
Prevenção de perdas relacionadas à segurança
da informação
•
Criação e estímulo de novas oportunidades de negócio
por gerar confiança, segurança e privacidade
•
Sistematização de um inventário dos ativos
da Organização – Descoberta dos
ativos com valor e seu risco
•
Redução do risco por meio de um plano de
análise e tratamento de risco
•
Formalização da “Declaração de
Aplicabilidade” – Manter a memória
do Planejamento da Aplicação dos Controles do SGSI
- Dicas para diminuir os riscos de ataque
Entre as recomendações
sugeridas pela Kaspersky Lab para minimizar a vulnerabilidade de organizações
de saúde estão a adoção de senhas fortes para proteger os pontos de conexão
externa, a atualização das políticas de segurança de TI, a proteção de
aplicativos de equipamentos médicos na rede local, coibindo o acesso não
autorizado à área confiável; proteção contra malware e ataques de hackers,
atualização regular de backup das informações críticas e manutenção de uma
cópia de backup off-line.
A
SEGURANÇA DA INFORMAÇÃO CADA VEZ MAIS AMEAÇADA
O
desenvolvimento tecnológico possibilitou um aumento exponencial da circulação e
armazenamento de informações, o que trouxe inúmeros benefícios para empresas e
cidadãos, mas quanto mais dados circulam pela internet, maior é o interesse em
hackeá-los para obter algum tipo de vantagem
Na era da comunicação em rede, da indústria 4.0 e da internet
das coisas, os dados de empresas e pessoas são ativos cada vez mais valiosos e
estratégicos. Por isso mesmo, os inimigos estão à espreita, esperando o melhor
momento para invadir sistemas e cometer crimes de vários tipos.
O gerente da qualidade da Diretoria de Certificação da
Fundação Vanzolini, Airton Gonzalez, alerta para o fato de que quanto maior é o
volume de informação circulando por redes específicas (de empresas, por
exemplo) ou por canais abertos, como a internet, mais gente se interessa em
obter esses conteúdos para tirar alguma vantagem. “Hoje é muito fácil para o
usuário transferir informações via rede, mas há o outro lado da moeda, pois
quanto mais comum é o compartilhamento, mais gente se interessa em fazer mau
uso desses dados”, afirma Airton.
Diante disso, como é possível se precaver de modo
sistêmico, para que as informações que tenham de ser preservadas o sejam, ao
mesmo tempo que elas estejam disponíveis quando necessário? “É com isso que o
sistema de gestão da informação trabalha numa empresa, mas para que ele seja
eficiente é preciso levar em conta os processos, os equipamentos, os softwares
e as pessoas – que são a parte mais frágil dessa corrente”, explica o gestor.
Outro fator de risco citado pelo especialista é a própria
internet, por onde trafega a informação que vai ser armazenada na nuvem, por
exemplo. “Hoje se orienta a fazer auditoria desses clusters de servidores que o
pessoal chama de nuvem, pois o servidor pode estar em qualquer lugar, mas a
questão é como a informação trafega? Pela internet, e esse é outro ponto fraco
na cadeia”, acrescenta.
Desafios
do avanço tecnológico
Vamos pensar numa situação como a seguinte: ao instalar uma
fechadura na porta de sua casa, você recebe uma chave que dá acesso à entrada e
saída controlada do local. Na semana seguinte, você faz uma cópia para o
namorado que precisa entrar quando você não estiver no local. Passados mais
alguns dias, dá outra cópia para sua irmã que vai alimentar o gato durante um
período em que você vai viajar. E assim por diante. Depois de algum tempo, o
controle da entrada foi para o espaço.
As fechaduras virtuais seguem o mesmo princípio com a senha
de acesso. Quanto mais gente conhecê-la, menor o controle e mais vulnerável
fica o sistema. “O fato é que o mundo está mais complicado na busca por
garantir a segurança das informações. À medida que vão sendo criadas soluções
para os desafios da segurança, vão surgindo novos meios de superá-las”, diz
Airton. “Há sempre alguém disposto quebrar as regras.”
Hoje temos vários aparelhos eletrônicos conectados à
internet que conversam entre si e que abrem muitas brechas de segurança. E o
nível de preparo para operar esses equipamentos e sistemas é muito irregular.
Basta pensar num avanço tecnológico como o do carro autônomo. “Ele é conectado
à internet. Portanto, pode receber uma orientação divergente e levar o passageiro
a um local diferente da solicitação original ou mesmo causar um acidente de
trânsito”, destaca o gestor. Outro exemplo relativo ao controle de tráfego é o
dos semáforos inteligentes, que, como mostraram diversos filmes de ação
hollywoodianos, podem ser alvos de hackers interessados em facilitar uma fuga
ou gerar o caos no trânsito.
Isso sem falar nos possíveis riscos que a internet das
coisas pode vir a oferecer, com monitoramentos a distância, geladeiras e outros
eletrodomésticos inteligentes – só para ficar no ambiente doméstico. Como será
feito o controle de tudo isso? O fato é que na mesma medida e proporção que a
tecnologia embarcada nos equipamentos aumenta, o risco de ataque cibernético
também cresce.
A
norma NBR ISO/IEC 27001:2013
O cenário um tanto alarmista tem sua função didática, mas é
claro que pessoas e empresas não vão começar a descartar equipamentos de última
geração em nome da segurança. No entanto, os riscos são altos demais para deixar
de tratar essa questão de modo estratégico.
“No contexto empresarial, os gestores de segurança da
informação são obrigados a buscar um alto nível de conhecimento técnico e
aplicar mecanismos de gestão cada vez mais complexos e flexíveis para proteger
a informação”, esclarece Airton.
O século passado foi marcado por coalizões, pactos, “joint-ventures”,
associações de livre comércio entre nações, e um grande “boom” tecnológico
ocasionado pela utilização da internet, que interligou esses atores e à
dinamização de negócios, na busca por rentabilidade e competitividade. Na base da convergência de tecnologias e
integração de processos entre empresas, parceiros e fornecedores, temos uma
ampla rede mundial que representa a cada instante uma nova ameaça à segurança
da informação.
Nesta situação, vale a pena avaliar ativos com base na sua
criticidade e impacto (ameaça x vulnerabilidade e sua probabilidade) para o
negócio, por exemplo:
•
Ativos de Informação (Banco de Dados,
Formulários, Planilhas, Base de Dados);
•
Ativos Físicos (Hardware, Equipamentos de
Energia, Links de Comunicação);
•
Ativos de Software (Aplicativos, Antivírus,
Ambientes);
•
Ativos
Intangíveis (Imagens, Procedimentos);
•
Colaboradores
envolvidos
De acordo com Airton, neste cenário em que devemos garantir a autonomia de processos que geram, tratam e manejam a informação – motor propulsor desta nova sociedade –, devemos estar preparados para gerenciar a segurança da informação de maneira eficiente, e para isso o conhecimento é a pedra fundamental.
É exatamente neste ponto que se insere a norma NRB ISO/IEC
27001, que é uma evolução da norma britânica BS 7799. Com requisitos genéricos
e aplicáveis a qualquer organização, a metodologia foi estruturada para a
adoção das melhores práticas na segurança da informação.
O objetivo básico da norma é
ajudar a estabelecer e manter um sistema de gestão da segurança da informação
buscando a melhoria contínua. “A grande vantagem que vejo na
certificação pela 27001 é que se trata de um sistema que aprende. Você vai
aprendendo com as lições boas e com as não tão boas e vai colocando tudo em um
sistema. E assim todos podem ir se atualizando, mesmo com a troca de pessoal
numa empresa”, completa Airton.
Nenhum comentário:
Postar um comentário