modern healthcare hacking
TRANSCRIPT
O MAIOR EVENTO DE HACKING, SEGURANÇA E TECNOLOGIA DO BRASIL
DO CONTINENTE
Modern Healthcare HackingArthur Paixão | @arthurpaixao
Who am i?• Formado no Curso Técnico em ADS-
UNIBRATEC.• Graduado em Segurança da Informação –
FG.• Pós graduando em Segurança da
Informação Aplicada à Engenharia de Software – C.E.S.A.R
• Engenheiro de Software Sênior – MV s/a.• CTF Player RTFM[SCR34M0].• Finalista do Hackaflag 2015.
01/05/2023 3
#RTFM
#CTF-BR
Agenda• The internet progress...• The age of “Cybercrimes”• What motivates me?• Modern Healthcare Hacking• Application Vulnerability• The guilt is...• Good pratices, where are you?
01/05/2023 4
Calanguinho e suas
perguntas...
The internet progress…• Desde antigamente o homem usou meios nativos para se comunicar
e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação.
01/05/2023 5
“MÓ LEGAL SABER SOBRE OS AVANÇOS DA INTERNET, MAS O QUE ISSO TEM HAVER COM HOSPITAIS?”
01/05/2023 6
The age of “Cybecrimes”
01/05/2023 7
The age of “Cybecrimes”
01/05/2023 8
The age of “Cybecrimes”
01/05/2023 9
The age of “Cybecrimes”
01/05/2023 10
What motivates me?• Diversão• Black Hats• HackAtivistas• Hackers Patrocinados pelo Estado• Terrorismo
01/05/2023 11
“JÁ SABEMOS QUE OCORREM ATAQUES TODOS OS DIAS, PORÉM O QUE HOSPITAIS TEM HAVER COM ISSO?”
01/05/2023 12
Modern Healthcare Hacking• As tendências de compartilhamento de informações médicas
procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais.
01/05/2023 13
Modern Healthcare Hacking• Uma pesquisa recente da InfoMoney mostra que a população
brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde:
“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz
respeito à proteção dos dados pessoais”
01/05/2023 14
“AHHH, ESTOU COMEÇANDO A ENTENDER... MAS ESTA PESQUISA REALMENTE ESTÁ FALANDO A VERDADE?”
01/05/2023 15
Modern Healthcare Hacking
01/05/2023 16
Modern Healthcare Hacking
01/05/2023 17
Modern Healthcare Hacking
01/05/2023 18
Modern Healthcare Hacking
01/05/2023 19
Modern Healthcare Hacking
01/05/2023 20
Modern Healthcare Hacking
01/05/2023 21
Modern Healthcare Hacking
Informações Pessoais X Informações Clinicas
01/05/2023 22
“MAS COMO OS HOSPITAIS TROCAM ESSAS INFORMAÇÕES?”
01/05/2023 23
Modern Healthcare Hacking• Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”
01/05/2023 24
• Como os hospitais tem acesso as informações?
01/05/2023 25
Application Vulnerability
• Política de Segurança70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas.
• OWASP Top 1087% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web.
• SANS Top 2569% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software.
01/05/2023 26
Modern Healthcare Hacking
• Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso?
• O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?
• As bases de dados usadas permitem salvar os dados de forma encriptada?
• As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos?
01/05/2023 27
Modern Healthcare Hacking
• Os meios de comunicação permitem o uso de encriptação?
• Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário?
• É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado?
• Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente?
01/05/2023 28
Modern Healthcare Hacking
01/05/2023 29
“PERA AI, DE QUEM É A CULPA?”
01/05/2023 30
The guilt is...
01/05/2023 31
Show me the argument!
• “Contratei uma boa empresa”Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software.• “Segurança aumenta o custo”Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade.• “Tenho bons programadores”Bons programadores sem a devida capacitação desconhecem práticas de segurança de software.• “Meu sistema é seguro”Seu maior problema é a ignorância, causada pela falta de informação.
01/05/2023 32
The guilt is mine
01/05/2023 33
01/05/2023 34
“EXISTE ALGUMA LEI QUE PODERIA NOS DAR UMA MAIOR 'PROTEÇÃO'?”
01/05/2023 35
Modern Healthcare Hacking
01/05/2023 36
Health Insurance Portability and Accountability Act - 1996
Modern Healthcare Hacking
01/05/2023 37
PCISOX
Regras de Privacidade
HIPAAHL7TIS
ISO 27799
Good pratices, where are you?
• Elabore um plano de ação.• Conscientize os funcionários.• Teste a segurança de aplicações que já existem.• Contrate uma consultoria especializada.• Valorize os resultados positivos.• Invista na continuidade do processo.• Adotar e SEGUIR uma politica de segurança.• Ter um CSIRT em caso de incidentes.
01/05/2023 38
That's all folks!
• Twitter: @arthurpaixao• Linkedin: linkedin.com/in/arthurpaixao• Blog: www.arthurpaixao.com.br
01/05/2023 39
Obrigado!
#dontstophacking