segunda-feira, 25 de janeiro de 2016

Medicina parece que é a pior indústria do mundo para segurança de dados

Quando se trata de segurança de TI, o mundo médico é de longe o mais inepto a segurança dos dados. Assim dizem investigadores top na primeira Usenix Enigma conferência de segurança, realizada esta semana em San Francisco.


"Como um testador que já trabalhou em muitas indústrias, cuidados de saúde é o pior em termos de segurança", Avi Rubin, diretor técnico do Instituto de Segurança da Informação na Universidade Johns Hopkins, em Maryland, disse aos participantes da Enigma. "O que é realmente preocupante é que todos nós interagimos com cuidados de saúde, mas suas práticas de segurança de dados foram até agora abaixo de todas as outras indústrias que vimos."

Rubin foi contratado para analisar a segurança do sistema de seis grandes hospitais na costa oeste dos Estados Unidos. Ele encontrou um rosário de erros básicos que coloca os dados dos pacientes, e em alguns casos, vidas reais, em risco. Parte do problema é que os médicos são péssimos em segurança, mas também houve sérios problemas sistêmicos.

Em um hospital, o gerente de TI exigia a todos os usuários a alterem suas senhas uma vez por hora. Em resposta, os médicos mandaram um enfermeiro júnior ir para cada uma das suas estações de trabalho a cada sessenta minutos, alterar a senha, e mantê-los logado.

Um hospital permitiu que mais de 8.000 funcionários em todos os níveis de acesso a todos os registros da instalação armazenados. Outro permitiu a um médico fazer logon nos servidores do hospital no mesmo computador que seus filhos utilizam para jogos e downloads.

O caso mais notório que Rubin viu foi um computador inseguro que cospe DVDs de raios-X para os pacientes e médicos, um hacker astuto poderia ter infiltrado malwares em cada disco único.


Algumas técnicas de segurança simples poderiam resolver muitos dos problemas de TI que hospitais estão enfrentando, disse ele. Controles de acesso multi-fator, whitelisting de aplicações em dispositivos médicos e de monitoramento de atividade de banco de dados traria uma melhoria enorme.

Kevin Fu, diretor do Centro Arquimedes para segurança de Dispositivo Medical na Universidade de Michigan, concordou, dizendo que seria relativamente simples de resolver 90 por cento dos problemas que ele vê em profissionais de saúde apenas usando o bom senso.

Por exemplo, ele examinou um hospital, e descobriu que a grande maioria dos computadores em uso estava executando o Windows XP e não foi remendado, uma vez que tinha sido comprado há sete anos. Quando ele fez uma varredura de rede, ele também descobriu uma máquina Windows 95 que estava executando o scanner de ressonância magnética. Quando ele perguntou sobre isso, descobriu-se que era impossível executar o software de ressonância magnética em um sistema operacional mais recente, sem substituir todo o scanner.

pacemaker, Kevin Fu

É aí que reside o problema, disse ele, na medida em que o tempo de espera para os dispositivos médicos é tão longo que eles estão desatualizados em termos de segurança de hoje. Ele exibiu um pacemaker que teve uma rotina de depuração que poderia interromper um batimento cardíaco e foi aberto a qualquer pessoa.

Em alguns casos, os próprios dispositivos médicos eram o ponto de infecção. Um fabricante do dispositivo tinha enviado uma atualização de firmware infectado com malware que continha 38 cavalos de Tróia, que, em seguida, foram distribuídos por hospitais.

"A situação está ficando melhor", opinou Fu. "Eu agora estou vendo os fabricantes de dispositivos projetando em segurança na fase de quadro branco. A profissão médica levou mais de 100 anos para aceitar que a lavagem das mãos reduzia mortes de pessoas, mas os dispositivos de front-end em hospitais devem ser melhor em poucos anos”.