Para terminar esta semana temos a not\u00edcia sobre um grupo de hackers chineses que roubaram a informa\u00e7\u00e3o pessoal de mais de 4,5 milh\u00f5es de pessoas desde dispositivos m\u00e9dicos utilizados nos centros de sa\u00fade da Community Health Systems (CHS). A viola\u00e7\u00e3o de dados demonstrou\u00a0o risco real que representa os dispositivos m\u00e9dicos conectados quando os mesmos n\u00e3o possuem um sistema de seguran\u00e7a eficiente que proteja os dispositivos nos centros m\u00e9dicos.<\/p>\n
Voc\u00ea se lembra da Heartbleed?<\/strong><\/p>\n A\u00a0vulnerabilidade no OpenSSL, apelidada de Heartbleed, surgiu no in\u00edcio deste ano e afetou mais do que 60% dos sites da Internet ao mesmo tempo, e poderia, teoricamente, dar a um cibercriminoso a capacidade de roubar uma certa quantidade de informa\u00e7\u00f5es durante uma conex\u00e3o cliente-servidor. Bem, isso pode ser o primeiro caso de impacto internacional no qual os cibercriminosos exploram uma vulnerabilidade de grande porte para fins pessoais. Especificamente, os cibercriminosos\u00a0desenvolveram uma fa\u00e7anha que permitiu que eles utilizassem a Heartbleed para roubar credenciais de acesso da CHS, organiza\u00e7\u00e3o que gerencia centenas de hospitais nos EUA.<\/p>\n Quem \u00e9 afetado? Como isso aconteceu?<\/strong><\/p>\n Esta\u00a0viola\u00e7\u00e3o exp\u00f4s informa\u00e7\u00f5es pessoais (n\u00e3o m\u00e9dicas e nem financeiras) de 4,5 milh\u00f5es de pacientes que foram\u00a0atendidos por m\u00e9dicos afiliados a CHS durante os \u00faltimos cinco anos. Embora nenhum dado m\u00e9dico foi exposto, o que \u00e9 bom, n\u00fameros de Seguran\u00e7a Social (SSNs) estavam expostos, o que \u00e9 muito\u00a0ruim. Al\u00e9m de CPFs, os cibercriminosos fugiram com nomes dos pacientes, endere\u00e7os, datas de nascimento e, em alguns casos,\u00a0com informa\u00e7\u00f5es\u00a0sobre o local de trabalho e n\u00fameros de telefone dos pacientes.<\/p>\n O problema\u00a0aqui pode \u00e9\u00a0que os cibercriminosos s\u00e3o atores de APT (Amea\u00e7a Persistente Avan\u00e7ada) que provavelmente n\u00e3o pretendiam roubar este tipo de informa\u00e7\u00e3o, e sim buscavam roubar a propriedade intelectual armazenada nos dispositivos. Nesse sentido, o ataque\u00a0\u201cAPT 18\u201d (tamb\u00e9m conhecido como \u201cDynamite Panda\u201d)\u00a0falhou. Com isso,\u00a0\u00e9 dif\u00edcil dizer o que os cibercriminosos ir\u00e3o fazer\u00a0com este vasto estoque de informa\u00e7\u00f5es sigilosas.<\/p>\n Um problema\u00a0maior<\/strong><\/p>\n No entanto, o problema da viola\u00e7\u00e3o de dados de sa\u00fade tem sido debatido h\u00e1 anos e, infelizmente, n\u00e3o vai ser agora que isso n\u00e3o melhorar. Aqui est\u00e1 o porque:<\/p>\n Quando falamos em seguran\u00e7a de dispositivos m\u00e9dicos, temos a tend\u00eancia de falar sobre os fant\u00e1sticos e sombrios contos de cibercriminosos que a dist\u00e2ncia hackeam bombas de insulina e marca-passos. O fato \u00e9 que n\u00e3o encontramos nenhuma falha de seguran\u00e7a que traga consequ\u00eancia terriveis para os usu\u00e1rios. Isto \u00e9, ningu\u00e9m morrer\u00e1 por um ataque desta natureza.<\/p>\n O problema, por enquanto, parece ser mais sist\u00eamico e crescente. Est\u00e1 relacionado mais com a forma que os m\u00e9dicos e hospitais armazenam e compartilham as informa\u00e7\u00f5es. O\u00a0cen\u00e1rio mais prov\u00e1vel, atrav\u00e9s do qual um dispositivo m\u00e9dico conectado pode afetar a seguran\u00e7a pessoal, seria se um paciente foi tratado com registros m\u00e9dicos de forma inadequada devido que haviam sido adulterados ou alterados \u2013 hackeando\u00a0ou por acidente.<\/p>\n En una entrevista con Terry Gross, el cardi\u00f3logo Sandeep Jauhar explic\u00f3 que el sistema sanitario estadounidense se encuentra m\u00e1s retrasado respecto de otros pa\u00edses del mundo debido a la falta de intercambio de informaci\u00f3n en el ambiente de la salud de ese pa\u00eds. Por lo que, seg\u00fan el dr Jauhar, para mejorar los sistemas m\u00e9dicos resulta necesario perfeccionar las comunicaciones y las capacidades de conectividad de los dispositivos m\u00e9dicos. El problema es que, cuanto m\u00e1s avanzados sean los sistemas de conectividad m\u00e1s propensos ser\u00e1n los centros m\u00e9dicos a los ataques.<\/p>\n Em uma entrevista com Terry Gross, o cardiologista Dr. Sandeep Jauhar, explicou que o sistema sanit\u00e1rio estadunidense se encontra mais atrasado do que os outros pa\u00edses do mundo, isto ocorre devido \u00e0 falta de interc\u00e2mbio de informa\u00e7\u00f5es no ambiente de sa\u00fade do pa\u00eds.\u00a0Assim, para\u00a0melhorar o sistema de sa\u00fade dos EUA\u00e9 necess\u00e1rio aparefei\u00e7oar as comunica\u00e7\u00f5es e as capacidades de\u00a0conectividade entre dispositivos m\u00e9dicos. O problema \u00e9 que, quanto mais avan\u00e7ados sejam os sistemas de conectividade mais propensos ser\u00e3o os centros m\u00e9dicos aos ataques.<\/p>\n E se voc\u00ea \u00e9 uma das v\u00edtimas afetadas, como voc\u00ea saber\u00e1?<\/strong><\/p>\n A\u00a0Community Health Systems (CHS)\u00a0est\u00e1 em processo de envio de notifica\u00e7\u00f5es para qualquer pessoa cuja informa\u00e7\u00e3o foi exposta no ataque. Ent\u00e3o, o que voc\u00ea deve fazer se voc\u00ea receber uma dessas cartas? N\u00f3s recomendamos que voc\u00ea se matricule imediatamente em servi\u00e7os de monitoramento de cr\u00e9dito, que o CHS\u00a0estar\u00e1 oferecendo gratuitamente a todas as v\u00edtimas. A carta de notifica\u00e7\u00e3o de viola\u00e7\u00e3o conter\u00e1 instru\u00e7\u00f5es sobre como se inscrever.<\/p>\n Al\u00e9m disso, voc\u00ea vai querer acompanhar o seu relat\u00f3rio de cr\u00e9dito no seu pr\u00f3prio pa\u00eds para se certificar de que ningu\u00e9m est\u00e1 usando o seu CPF para tirar linhas de cr\u00e9dito. A p\u00e1gina de notifica\u00e7\u00e3o de viola\u00e7\u00e3o da CHS \u2018tem informa\u00e7\u00f5es de contato, use-o\u00a0se voc\u00ea tiver outras perguntas.<\/p>\n Por \u00faltimo, a Comiss\u00e3o Federal de Com\u00e9rcio dos EUA tem um site dedicado inteiramente para encaminhar pessoas atrav\u00e9s do processo de roubo de identidade. Se alguma vez voc\u00ea estiver preocupado com o roubo de identidade, esse site \u00e9 um \u00f3timo lugar para come\u00e7ar a investigar.<\/p>\n