Vazamento de Dados: A Morte Anunciada

Adriana de Moraes Cansian

Diretora Jurídica – Resh Cyber Defense

Desde a última quarta-feira (13 de novembro de 2019), vários veículos de mídia relataram e confirmaram o vazamento de dados de sistemas da Unimed Brasil, a maior operadora de saúde brasileira.

Os dados pessoais potencialmente vazados incluem fichas médicas cadastrais completas com informações críticas internas, histórico de consultas, além de diversos dados sensíveis, tais como resultados de exames laboratoriais e de imagem. 

Segundo informações, as falhas nos sistemas foram encontradas nas Unimeds das cidades de Teresina (PI), Imperatriz (MA), Parnaíba (PI), Vale dos Sinos, em São Leopoldo (RS), entre outras.

O caso segue sob análise e novas informações tem surgido diariamente. Seja como for, a dimensão do problema e o prejuízo é considerável.

Nestas ocasiões sempre surge a pergunta: como uma coisa destas pode acontecer com informações de saúde?

A resposta a esta pergunta é bastante simples: porque as portas não foram fechadas adequadamente no momento correto. É uma morte anunciada.

É ilusório pensar que um vazamento de dados esteja sempre associado com um ataque hacker super elaborado e sofisticado. Seja no caso da Unimed, ou em centenas de outros casos, notadamente na área de saúde, o ataque é feito utilizando 3 pilares fundamentais. Dois deles os hackers têm de sobra: paciência e determinação. O terceiro se baseia em explorar vulnerabilidades bem conhecidas, que já foram divulgadas suas devidas correções, e que não foram realizadas pelas vítimas.

Estas vulnerabilidades podem ser exploradas automaticamente ou manualmente pelos atacantes, com grande taxa de sucesso. Só para se ter uma ideia, relatórios recentes de nossos analistas apontam que, neste ano de 2019, a maioria das vulnerabilidades utilizadas para ataques em sistemas e redes foram detectados há a cerca de 5 anos.

Algumas mais simples e outras mais complexas, mas as correções destas vulnerabilidades, na maior parte, já existem. As invasões e vazamentos acontecem porque falhas não foram identificadas e sanadas de maneira adequada e a tempo.

Um ataque como o sofrido pela Unimed raramente utiliza um ponto único de falha. O atacante costuma encontrar falhas em mais de uma aplicação ou sistema, e as associa para chegar ao seu objetivo final.

Em diversos casos se utiliza uma técnica denominada “ataque lateral”, onde o atacante lança ataques em alvos secundários para, posteriormente, chegar ao seu objetivo final.

O ataque ocorre de maneira lenta, e a extração de dados também, por isso num ataque desta natureza não se consegue ver grandes quantidades de dados anormais fluindo na rede, e eles passam despercebidos, esta técnica é conhecida como “low and slow”, lenta e persistente.

Relatórios recentes apontam que leva, em média, 280 dias para se descobrir um vazamento de dados nestes moldes. Além das questões tecnológicas, a última linha de defesa envolve os procedimentos de políticas e contratuais. É bastante comum que isso acabe sendo negligenciado.

Nada adianta possuir mecanismos de segurança tecnológicos se os contratos e políticas não exigem o mesmo nível de segurança de aplicações de terceiros, de serviços de Internet e de hardware adquirido, apenas para citar alguns.

Proteger uma estrutura de informações críticas não é uma tarefa simples e ninguém o fará sozinho, em virtude das disciplinas multifacetadas exigidas pela segurança da informação.

É preciso ter uma visão holística da segurança da informação.  É preciso mitigar riscos e ficar constantemente atento. Não se trata de “se” você será atacado, mas sim de “quando”.

Por todos estes motivos, é muito importante testar regulamente qualquer sistema, aplicação ou rede que esteja exposta na Internet. Também é fundamental que seus contratos, políticas de segurança estejam atualizados e de acordo com as legislações vigentes com as melhores práticas conhecidas.

Para auxiliar corporações brasileiras com estes processos, a Resh Cyber Defense desenvolveu metodologias próprias para mitigar riscos e levar a sua organização ao compliance. Com profissionais com mais de 25 anos de experiência com segurança de dados, atuamos com certificações e processos para aumentar o nível de segurança de suas aplicações e atender as predefinições jurídicas.

Conheça nossos produtos, o Selo de Proteção Resh mitiga ao máximo as vulnerabilidades existentes em suas aplicações e rede, além de auxiliar com problemas internos sobre uso de dados, segurança e privacidade. Clique aqui!