tecnologia e segurança

t

ATAQUES CIBERNÉTICOS: QUEM SERÁ A PRÓXIMA VÍTIMA?

Hospitais e outras empresas do setor de saúde são alvo de invasões para obter informações sigilosas e com isso ganhar muito dinheiro. Entenda por que isso acontece e como proceder para melhorar a segurança dos sistemas de informação e não cair em armadilhas



Imagine a seguinte situação: o acompanhante de um paciente está no quarto de um hospital aguardando o parente que foi fazer determinado procedimento médico. De repente, o telefone do quarto toca. A pessoa atende e recebe a informação de que será necessário fazer novos exames, que vai precisar de autorização para realizá-los e de um depósito imediato para tal fim. A voz do outro lado conhece detalhes da ficha médica do paciente e diz que o caráter é de urgência.

Muitos familiares sob o estresse de lidar com a doença acabam caindo na encenação e só vão saber que foram roubados na hora de fechar a conta no hospital. “A área da saúde está sendo muito atacada. A organizações têm dificuldade de garantir a segurança do banco de dados interno. E aí quem tem essa informação pode passá-la para as quadrilhas, que se aproveitam da boa-fé de todo mundo”, afirma o gerente da qualidade da Diretoria de Certificação da Fundação Vanzolini, Airton Gonzalez. “Não se trata de uma situação hipotética, para calcular riscos ou avaliar possíveis brechas de segurança. Coisas assim estão acontecendo realmente.”
Organizações de saúde têm se mostrado o alvo ideal para invasões de hackers e a realização de crimes diversos. Isso por serem depositárias de informações relevantes e sigilosas de pacientes, além de reunirem muitas pessoas operando dispositivos tecnológicos que se comunicam em redes com baixo grau de segurança. Ou seja, empresas como hospitais, laboratórios, clínicas, operadoras de planos de saúde, entre outras, estão cada vez mais visadas por criminosos cibernéticos.
Inimigo à espreita
Em 2015, a Anthem Inc., segunda maior seguradora dos Estados Unidos, maculou a própria imagem – e com certeza perdeu muito dinheiro – por falhas na segurança de dados. De acordo com reportagem publicada no Wall Street Journal, em fevereiro daquele ano, um ataque virtual nos sistemas da instituição foi o responsável pela violação nos dados de 78,8 milhões de clientes da empresa.
Uma pesquisa conduzida pela KPMG e publicada nos Estados Unidos em 2015 também chegou a conclusões bem sérias: 81% dos executivos da área de saúde disseram que suas organizações já foram comprometidas por algum tipo de ciberataque nos dois anos anteriores ao relatório.
O tom das afirmações pode parecer alarmante, mas tem sua razão de ser. Imagine o estrago causado na credibilidade de uma organização cujo sistema de segurança da informação não tenha sido capaz de evitar uma invasão desse tipo. Isso sem contar o dano financeiro. “Vamos pensar um pouco: antigamente, falava-se em roubo de dados, mas isso se aplicava a grandes empresas, como bancos”, diz Gonzalez. “Agora, cada vez mais o cidadão está exposto a esse tipo de crime.”
O especialista explica ainda que, para além do impacto negativo na reputação da organização, entre as possibilidades de lucro para criminosos, estão o acesso a dados bancários e de cartões de crédito dos pacientes; dados de planejamento estratégico da organização de saúde, relatórios sigilosos ou sua movimentação financeira; propriedade intelectual de técnicas, metodologias, equipamentos ou sistemas; falsificação de resultados ou diagnósticos de pacientes; e avarias nos equipamentos médicos, que podem causar tanto danos físicos aos pacientes quanto enormes prejuízos financeiros.
Só para dar uma ideia do volume de dinheiro envolvido em crimes desse tipo, segundo dados publicados por Aguinaldo Aragon Fernandes e Vladimir Ferraz de Abreu no livro Implantando a Governança de TI: Da Estratégia à Gestão dos Processos e Serviços, somente no Brasil, no ano de 2005 as fraudes pela internet foram estimadas em R$ 300 milhões. 
Benefícios do sistema de gestão da segurança da informação
Diante desse cenário, Gonzalez destaca alguns benefícios de investir em um sistema de gestão de segurança da informação segundo a norma NBR ISO/IEC 27001:2013, adequado a organizações de saúde:
         Desenvolvimento da conscientização das pessoas (colaboradores e usuários)
         Monitoramento e fortalecimento contínuo da gestão da segurança da informação
         Declaração de conformidade por terceira parte, conferindo maior credibilidade à comunicação entre as partes envolvidas
         Construção de confiança nas relações com as partes interessadas e parceiros do negócio
         Prevenção de perdas relacionadas à segurança da informação
         Criação e estímulo de novas oportunidades de negócio por gerar confiança, segurança e privacidade
         Sistematização de um inventário dos ativos da Organização – Descoberta dos ativos com valor e seu risco
         Redução do risco por meio de um plano de análise e tratamento de risco
         Formalização da “Declaração de Aplicabilidade” – Manter a memória do Planejamento da Aplicação dos Controles do SGSI

  • Dicas para diminuir os riscos de ataque
Entre as recomendações sugeridas pela Kaspersky Lab para minimizar a vulnerabilidade de organizações de saúde estão a adoção de senhas fortes para proteger os pontos de conexão externa, a atualização das políticas de segurança de TI, a proteção de aplicativos de equipamentos médicos na rede local, coibindo o acesso não autorizado à área confiável; proteção contra malware e ataques de hackers, atualização regular de backup das informações críticas e manutenção de uma cópia de backup off-line.





A SEGURANÇA DA INFORMAÇÃO CADA VEZ MAIS AMEAÇADA


O desenvolvimento tecnológico possibilitou um aumento exponencial da circulação e armazenamento de informações, o que trouxe inúmeros benefícios para empresas e cidadãos, mas quanto mais dados circulam pela internet, maior é o interesse em hackeá-los para obter algum tipo de vantagem


Na era da comunicação em rede, da indústria 4.0 e da internet das coisas, os dados de empresas e pessoas são ativos cada vez mais valiosos e estratégicos. Por isso mesmo, os inimigos estão à espreita, esperando o melhor momento para invadir sistemas e cometer crimes de vários tipos.


O gerente da qualidade da Diretoria de Certificação da Fundação Vanzolini, Airton Gonzalez, alerta para o fato de que quanto maior é o volume de informação circulando por redes específicas (de empresas, por exemplo) ou por canais abertos, como a internet, mais gente se interessa em obter esses conteúdos para tirar alguma vantagem. “Hoje é muito fácil para o usuário transferir informações via rede, mas há o outro lado da moeda, pois quanto mais comum é o compartilhamento, mais gente se interessa em fazer mau uso desses dados”, afirma Airton.

Diante disso, como é possível se precaver de modo sistêmico, para que as informações que tenham de ser preservadas o sejam, ao mesmo tempo que elas estejam disponíveis quando necessário? “É com isso que o sistema de gestão da informação trabalha numa empresa, mas para que ele seja eficiente é preciso levar em conta os processos, os equipamentos, os softwares e as pessoas – que são a parte mais frágil dessa corrente”, explica o gestor.

Outro fator de risco citado pelo especialista é a própria internet, por onde trafega a informação que vai ser armazenada na nuvem, por exemplo. “Hoje se orienta a fazer auditoria desses clusters de servidores que o pessoal chama de nuvem, pois o servidor pode estar em qualquer lugar, mas a questão é como a informação trafega? Pela internet, e esse é outro ponto fraco na cadeia”, acrescenta.



Desafios do avanço tecnológico

Vamos pensar numa situação como a seguinte: ao instalar uma fechadura na porta de sua casa, você recebe uma chave que dá acesso à entrada e saída controlada do local. Na semana seguinte, você faz uma cópia para o namorado que precisa entrar quando você não estiver no local. Passados mais alguns dias, dá outra cópia para sua irmã que vai alimentar o gato durante um período em que você vai viajar. E assim por diante. Depois de algum tempo, o controle da entrada foi para o espaço.


As fechaduras virtuais seguem o mesmo princípio com a senha de acesso. Quanto mais gente conhecê-la, menor o controle e mais vulnerável fica o sistema. “O fato é que o mundo está mais complicado na busca por garantir a segurança das informações. À medida que vão sendo criadas soluções para os desafios da segurança, vão surgindo novos meios de superá-las”, diz Airton. “Há sempre alguém disposto quebrar as regras.”

Hoje temos vários aparelhos eletrônicos conectados à internet que conversam entre si e que abrem muitas brechas de segurança. E o nível de preparo para operar esses equipamentos e sistemas é muito irregular. Basta pensar num avanço tecnológico como o do carro autônomo. “Ele é conectado à internet. Portanto, pode receber uma orientação divergente e levar o passageiro a um local diferente da solicitação original ou mesmo causar um acidente de trânsito”, destaca o gestor. Outro exemplo relativo ao controle de tráfego é o dos semáforos inteligentes, que, como mostraram diversos filmes de ação hollywoodianos, podem ser alvos de hackers interessados em facilitar uma fuga ou gerar o caos no trânsito.

Isso sem falar nos possíveis riscos que a internet das coisas pode vir a oferecer, com monitoramentos a distância, geladeiras e outros eletrodomésticos inteligentes – só para ficar no ambiente doméstico. Como será feito o controle de tudo isso? O fato é que na mesma medida e proporção que a tecnologia embarcada nos equipamentos aumenta, o risco de ataque cibernético também cresce.



A norma NBR ISO/IEC 27001:2013

O cenário um tanto alarmista tem sua função didática, mas é claro que pessoas e empresas não vão começar a descartar equipamentos de última geração em nome da segurança. No entanto, os riscos são altos demais para deixar de tratar essa questão de modo estratégico.


“No contexto empresarial, os gestores de segurança da informação são obrigados a buscar um alto nível de conhecimento técnico e aplicar mecanismos de gestão cada vez mais complexos e flexíveis para proteger a informação”, esclarece Airton.

O século passado foi marcado por coalizões, pactos, “joint-ventures”, associações de livre comércio entre nações, e um grande “boom” tecnológico ocasionado pela utilização da internet, que interligou esses atores e à dinamização de negócios, na busca por rentabilidade e competitividade.  Na base da convergência de tecnologias e integração de processos entre empresas, parceiros e fornecedores, temos uma ampla rede mundial que representa a cada instante uma nova ameaça à segurança da informação.

Nesta situação, vale a pena avaliar ativos com base na sua criticidade e impacto (ameaça x vulnerabilidade e sua probabilidade) para o negócio, por exemplo:

         Ativos de Informação (Banco de Dados, Formulários, Planilhas, Base de Dados);

         Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação);

         Ativos de Software (Aplicativos, Antivírus, Ambientes);

         Ativos Intangíveis (Imagens, Procedimentos);

         Colaboradores envolvidos

 
De acordo com Airton, neste cenário em que devemos garantir a autonomia de processos que geram, tratam e manejam a informação – motor propulsor desta nova sociedade –, devemos estar preparados para gerenciar a segurança da informação de maneira eficiente, e para isso o conhecimento é a pedra fundamental.

É exatamente neste ponto que se insere a norma NRB ISO/IEC 27001, que é uma evolução da norma britânica BS 7799. Com requisitos genéricos e aplicáveis a qualquer organização, a metodologia foi estruturada para a adoção das melhores práticas na segurança da informação.

O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua. “A grande vantagem que vejo na certificação pela 27001 é que se trata de um sistema que aprende. Você vai aprendendo com as lições boas e com as não tão boas e vai colocando tudo em um sistema. E assim todos podem ir se atualizando, mesmo com a troca de pessoal numa empresa”, completa Airton.

Nenhum comentário:

Postar um comentário