APT
Para terminar esta semana temos a notícia sobre um grupo de hackers chineses que roubaram a informação pessoal de mais de 4,5 milhões de pessoas desde dispositivos médicos utilizados nos centros de saúde da Community Health Systems (CHS). A violação de dados demonstrou o risco real que representa os dispositivos médicos conectados quando os mesmos não possuem um sistema de segurança eficiente que proteja os dispositivos nos centros médicos.
Você se lembra da Heartbleed?
A vulnerabilidade no OpenSSL, apelidada de Heartbleed, surgiu no início deste ano e afetou mais do que 60% dos sites da Internet ao mesmo tempo, e poderia, teoricamente, dar a um cibercriminoso a capacidade de roubar uma certa quantidade de informações durante uma conexão cliente-servidor. Bem, isso pode ser o primeiro caso de impacto internacional no qual os cibercriminosos exploram uma vulnerabilidade de grande porte para fins pessoais. Especificamente, os cibercriminosos desenvolveram uma façanha que permitiu que eles utilizassem a Heartbleed para roubar credenciais de acesso da CHS, organização que gerencia centenas de hospitais nos EUA.
Quem é afetado? Como isso aconteceu?
Esta violação expôs informações pessoais (não médicas e nem financeiras) de 4,5 milhões de pacientes que foram atendidos por médicos afiliados a CHS durante os últimos cinco anos. Embora nenhum dado médico foi exposto, o que é bom, números de Segurança Social (SSNs) estavam expostos, o que é muito ruim. Além de CPFs, os cibercriminosos fugiram com nomes dos pacientes, endereços, datas de nascimento e, em alguns casos, com informações sobre o local de trabalho e números de telefone dos pacientes.
O problema aqui pode é que os cibercriminosos são atores de APT (Ameaça Persistente Avançada) que provavelmente não pretendiam roubar este tipo de informação, e sim buscavam roubar a propriedade intelectual armazenada nos dispositivos. Nesse sentido, o ataque “APT 18” (também conhecido como “Dynamite Panda”) falhou. Com isso, é difícil dizer o que os cibercriminosos irão fazer com este vasto estoque de informações sigilosas.
Um problema maior
No entanto, o problema da violação de dados de saúde tem sido debatido há anos e, infelizmente, não vai ser agora que isso não melhorar. Aqui está o porque:
Quando falamos em segurança de dispositivos médicos, temos a tendência de falar sobre os fantásticos e sombrios contos de cibercriminosos que a distância hackeam bombas de insulina e marca-passos. O fato é que não encontramos nenhuma falha de segurança que traga consequência terriveis para os usuários. Isto é, ninguém morrerá por um ataque desta natureza.
O problema, por enquanto, parece ser mais sistêmico e crescente. Está relacionado mais com a forma que os médicos e hospitais armazenam e compartilham as informações. O cenário mais provável, através do qual um dispositivo médico conectado pode afetar a segurança pessoal, seria se um paciente foi tratado com registros médicos de forma inadequada devido que haviam sido adulterados ou alterados – hackeando ou por acidente.
En una entrevista con Terry Gross, el cardiólogo Sandeep Jauhar explicó que el sistema sanitario estadounidense se encuentra más retrasado respecto de otros países del mundo debido a la falta de intercambio de información en el ambiente de la salud de ese país. Por lo que, según el dr Jauhar, para mejorar los sistemas médicos resulta necesario perfeccionar las comunicaciones y las capacidades de conectividad de los dispositivos médicos. El problema es que, cuanto más avanzados sean los sistemas de conectividad más propensos serán los centros médicos a los ataques.
Em uma entrevista com Terry Gross, o cardiologista Dr. Sandeep Jauhar, explicou que o sistema sanitário estadunidense se encontra mais atrasado do que os outros países do mundo, isto ocorre devido à falta de intercâmbio de informações no ambiente de saúde do país. Assim, para melhorar o sistema de saúde dos EUAé necessário aparefeiçoar as comunicações e as capacidades de conectividade entre dispositivos médicos. O problema é que, quanto mais avançados sejam os sistemas de conectividade mais propensos serão os centros médicos aos ataques.
E se você é uma das vítimas afetadas, como você saberá?
A Community Health Systems (CHS) está em processo de envio de notificações para qualquer pessoa cuja informação foi exposta no ataque. Então, o que você deve fazer se você receber uma dessas cartas? Nós recomendamos que você se matricule imediatamente em serviços de monitoramento de crédito, que o CHS estará oferecendo gratuitamente a todas as vítimas. A carta de notificação de violação conterá instruções sobre como se inscrever.
Além disso, você vai querer acompanhar o seu relatório de crédito no seu próprio país para se certificar de que ninguém está usando o seu CPF para tirar linhas de crédito. A página de notificação de violação da CHS ‘tem informações de contato, use-o se você tiver outras perguntas.
Por último, a Comissão Federal de Comércio dos EUA tem um site dedicado inteiramente para encaminhar pessoas através do processo de roubo de identidade. Se alguma vez você estiver preocupado com o roubo de identidade, esse site é um ótimo lugar para começar a investigar.
Roubo de dados na #CommunityHealthSystems (CHS) expôs os CPFs de 4.5 milhões de pacientes. Você era uma vítima? Veja coomo deve reagir?
Tweet
Tradução: Juliana Costa Santos Dias
Dicas