Precisando testar sua segurança digital?
Fale com a gente!

BLOG

Vazamento de Dados: A Morte Anunciada

POR:

Haline Farias

Desde a última quarta-feira (13 de novembro de 2019), vários veículos de mídia relataram e confirmaram o vazamento de dados de sistemas da Unimed Brasil, a maior operadora de saúde brasileira.

Os dados pessoais potencialmente vazados incluem fichas médicas cadastrais completas com informações críticas internas, histórico de consultas, além de diversos dados sensíveis, assim sendo: resultados de exames laboratoriais e de imagem. 

Informações revelam que as Unimeds das cidades de Teresina (PI), Imperatriz (MA), Parnaíba (PI) e Vale dos Sinos, em São Leopoldo (RS), entre outras, encontraram falhas nos sistemas.

O caso segue sob análise e novas informações tem surgido diariamente. Seja como for, a dimensão do problema e o prejuízo é considerável.

Como ocorre o vazamento de dados na saúde?

Nestas ocasiões sempre surge a pergunta: como uma coisa destas pode acontecer com informações de saúde?

A resposta a esta pergunta é simples: Alguém não fechou as portas adequadamente no momento certo. É uma morte anunciada.

É ilusório pensar que um vazamento de dados esteja sempre associado com um ataque hacker super elaborado e sofisticado. Sendo assim, os atacantes usam 3 pilares fundamentais para realizar o ataque, seja no caso da Unimed ou em centenas de outros casos, especialmente na área de saúde. Dois deles os hackers têm de sobra: paciência e determinação. O terceiro se baseia em explorar vulnerabilidades bem conhecidas, que já foram divulgadas suas devidas correções, e que não foram realizadas pelas vítimas.

Os atacantes podem explorar essas vulnerabilidades automaticamente ou manualmente, com grande taxa de sucesso. Relatórios recentes de nossos analistas mostram que, em 2019, a maioria das vulnerabilidades usadas em ataques a sistemas e redes foi detectada há cerca de 5 anos.

Algumas mais simples e outras mais complexas, mas as correções destas vulnerabilidades, na maior parte, já existem. Invasões e vazamentos ocorrem porque não identificamos e sanamos as falhas de maneira adequada e a tempo.

Tipos de Ataques

Um ataque como o sofrido pela Unimed raramente utiliza um ponto único de falha. O atacante costuma encontrar falhas em mais de uma aplicação ou sistema, e as associa para chegar ao seu objetivo final.

Em diversos casos se utiliza uma técnica denominada “ataque lateral”, onde o atacante lança ataques em alvos secundários para, posteriormente, chegar ao seu objetivo final.

O ataque ocorre de maneira lenta, e a extração de dados também, por isso num ataque desta natureza não se consegue ver grandes quantidades de dados anormais fluindo na rede, e eles passam despercebidos, esta técnica é conhecida como “low and slow”, lenta e persistente.

Relatórios recentes apontam que leva, em média, 280 dias para se descobrir um vazamento de dados nestes moldes. Além das questões tecnológicas, a última linha de defesa envolve os procedimentos de políticas e contratuais. Assim, é bastante comum que isso acabe sendo negligenciado.

Nada adianta possuir mecanismos de segurança tecnológicos se os contratos e políticas não exigem o mesmo nível de segurança de aplicações de terceiros, de serviços de Internet bem como, de hardware adquirido, apenas para citar alguns.

Proteger uma estrutura de informações críticas não é uma tarefa simples e ninguém o fará sozinho, em virtude das disciplinas multifacetadas exigidas pela segurança da informação.

É preciso ter uma visão holística da segurança da informação.  É preciso mitigar riscos e ficar constantemente atento. Não se trata de “se” você será atacado, mas sim de “quando”.

Por todos estes motivos, é muito importante testar regulamente qualquer sistema, aplicação ou rede que esteja exposta na Internet. Também é fundamental que seus contratos, políticas de segurança estejam atualizados e de acordo com as legislações vigentes com as melhores práticas conhecidas.

Metodologias para mitigar riscos

Para auxiliar corporações brasileiras com estes processos, a Resh Pentest Experts desenvolveu metodologias próprias para mitigar riscos e levar a sua organização ao compliance. Ademais, com profissionais com mais de 25 anos de experiência em segurança de dados, atuamos com certificações e processos especializados. Portanto, nosso objetivo é aumentar o nível de segurança de suas aplicações e atender às predefinições jurídicas.

Conheça nossos produtos, o Selo de Proteção Resh mitiga ao máximo as vulnerabilidades existentes em suas aplicações e rede, além de auxiliar com problemas internos sobre uso de dados, segurança e privacidade. Clique aqui!

Adriana de Moraes Cansian

Diretora Jurídica – Resh Pentest Experts

RESH

Compartilhe:

Artigos Relacionados

IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?
IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?