Desde a última quarta-feira (13 de novembro de 2019), vários veículos de mídia relataram e confirmaram o vazamento de dados de sistemas da Unimed Brasil, a maior operadora de saúde brasileira.
Os dados pessoais potencialmente vazados incluem fichas médicas cadastrais completas com informações críticas internas, histórico de consultas, além de diversos dados sensíveis, assim sendo: resultados de exames laboratoriais e de imagem.
Informações revelam que as Unimeds das cidades de Teresina (PI), Imperatriz (MA), Parnaíba (PI) e Vale dos Sinos, em São Leopoldo (RS), entre outras, encontraram falhas nos sistemas.
O caso segue sob análise e novas informações tem surgido diariamente. Seja como for, a dimensão do problema e o prejuízo é considerável.
Como ocorre o vazamento de dados na saúde?
Nestas ocasiões sempre surge a pergunta: como uma coisa destas pode acontecer com informações de saúde?
A resposta a esta pergunta é simples: Alguém não fechou as portas adequadamente no momento certo. É uma morte anunciada.
É ilusório pensar que um vazamento de dados esteja sempre associado com um ataque hacker super elaborado e sofisticado. Sendo assim, os atacantes usam 3 pilares fundamentais para realizar o ataque, seja no caso da Unimed ou em centenas de outros casos, especialmente na área de saúde. Dois deles os hackers têm de sobra: paciência e determinação. O terceiro se baseia em explorar vulnerabilidades bem conhecidas, que já foram divulgadas suas devidas correções, e que não foram realizadas pelas vítimas.
Os atacantes podem explorar essas vulnerabilidades automaticamente ou manualmente, com grande taxa de sucesso. Relatórios recentes de nossos analistas mostram que, em 2019, a maioria das vulnerabilidades usadas em ataques a sistemas e redes foi detectada há cerca de 5 anos.
Algumas mais simples e outras mais complexas, mas as correções destas vulnerabilidades, na maior parte, já existem. Invasões e vazamentos ocorrem porque não identificamos e sanamos as falhas de maneira adequada e a tempo.
Tipos de Ataques
Um ataque como o sofrido pela Unimed raramente utiliza um ponto único de falha. O atacante costuma encontrar falhas em mais de uma aplicação ou sistema, e as associa para chegar ao seu objetivo final.
Em diversos casos se utiliza uma técnica denominada “ataque lateral”, onde o atacante lança ataques em alvos secundários para, posteriormente, chegar ao seu objetivo final.
O ataque ocorre de maneira lenta, e a extração de dados também, por isso num ataque desta natureza não se consegue ver grandes quantidades de dados anormais fluindo na rede, e eles passam despercebidos, esta técnica é conhecida como “low and slow”, lenta e persistente.
Relatórios recentes apontam que leva, em média, 280 dias para se descobrir um vazamento de dados nestes moldes. Além das questões tecnológicas, a última linha de defesa envolve os procedimentos de políticas e contratuais. Assim, é bastante comum que isso acabe sendo negligenciado.
Nada adianta possuir mecanismos de segurança tecnológicos se os contratos e políticas não exigem o mesmo nível de segurança de aplicações de terceiros, de serviços de Internet bem como, de hardware adquirido, apenas para citar alguns.
Proteger uma estrutura de informações críticas não é uma tarefa simples e ninguém o fará sozinho, em virtude das disciplinas multifacetadas exigidas pela segurança da informação.
É preciso ter uma visão holística da segurança da informação. É preciso mitigar riscos e ficar constantemente atento. Não se trata de “se” você será atacado, mas sim de “quando”.
Por todos estes motivos, é muito importante testar regulamente qualquer sistema, aplicação ou rede que esteja exposta na Internet. Também é fundamental que seus contratos, políticas de segurança estejam atualizados e de acordo com as legislações vigentes com as melhores práticas conhecidas.
Metodologias para mitigar riscos
Para auxiliar corporações brasileiras com estes processos, a Resh Pentest Experts desenvolveu metodologias próprias para mitigar riscos e levar a sua organização ao compliance. Ademais, com profissionais com mais de 25 anos de experiência em segurança de dados, atuamos com certificações e processos especializados. Portanto, nosso objetivo é aumentar o nível de segurança de suas aplicações e atender às predefinições jurídicas.
Conheça nossos produtos, o Selo de Proteção Resh mitiga ao máximo as vulnerabilidades existentes em suas aplicações e rede, além de auxiliar com problemas internos sobre uso de dados, segurança e privacidade. Clique aqui!
Adriana de Moraes Cansian
Diretora Jurídica – Resh Pentest Experts