Modern Healthcare Hacking

O MAIOR EVENTO DE HACKING, SEGURANÇA E TECNOLOGIA DO BRASIL

DO CONTINENTE

Modern Healthcare HackingArthur Paixão | @arthurpaixao

Who am i?• Formado no Curso Técnico em ADS-

UNIBRATEC.• Graduado em Segurança da Informação –

FG.• Pós graduando em Segurança da

Informação Aplicada à Engenharia de Software – C.E.S.A.R

• Engenheiro de Software Sênior – MV s/a.• CTF Player RTFM[SCR34M0].• Finalista do Hackaflag 2015.

01/05/2023 3

#RTFM

#CTF-BR

Agenda• The internet progress...• The age of “Cybercrimes”• What motivates me?• Modern Healthcare Hacking• Application Vulnerability• The guilt is...• Good pratices, where are you?

01/05/2023 4

Calanguinho e suas

perguntas...

The internet progress…• Desde antigamente o homem usou meios nativos para se comunicar

e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação.

01/05/2023 5

“MÓ LEGAL SABER SOBRE OS AVANÇOS DA INTERNET, MAS O QUE ISSO TEM HAVER COM HOSPITAIS?”

01/05/2023 6

The age of “Cybecrimes”

01/05/2023 7


01/05/2023 8


01/05/2023 9


01/05/2023 10

What motivates me?• Diversão• Black Hats• HackAtivistas• Hackers Patrocinados pelo Estado• Terrorismo

01/05/2023 11

“JÁ SABEMOS QUE OCORREM ATAQUES TODOS OS DIAS, PORÉM O QUE HOSPITAIS TEM HAVER COM ISSO?”

01/05/2023 12

Modern Healthcare Hacking• As tendências de compartilhamento de informações médicas

procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais.

01/05/2023 13

Modern Healthcare Hacking• Uma pesquisa recente da InfoMoney mostra que a população

brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde:

“Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz

respeito à proteção dos dados pessoais”

01/05/2023 14

“AHHH, ESTOU COMEÇANDO A ENTENDER... MAS ESTA PESQUISA REALMENTE ESTÁ FALANDO A VERDADE?”

01/05/2023 15

Modern Healthcare Hacking

01/05/2023 16


01/05/2023 17


01/05/2023 18


01/05/2023 19


01/05/2023 20


01/05/2023 21


Informações Pessoais X Informações Clinicas

01/05/2023 22

“MAS COMO OS HOSPITAIS TROCAM ESSAS INFORMAÇÕES?”

01/05/2023 23

Modern Healthcare Hacking• Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0”

01/05/2023 24

• Como os hospitais tem acesso as informações?

01/05/2023 25

Application Vulnerability

• Política de Segurança70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas.

• OWASP Top 1087% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web.

• SANS Top 2569% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software.

01/05/2023 26


• Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso?

• O tempo de acesso a estas informações pode inviabilizar seu uso distribuído?

• As bases de dados usadas permitem salvar os dados de forma encriptada?

• As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos?

01/05/2023 27


• Os meios de comunicação permitem o uso de encriptação?

• Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário?

• É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado?

• Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente?

01/05/2023 28


01/05/2023 29

“PERA AI, DE QUEM É A CULPA?”

01/05/2023 30

The guilt is...

01/05/2023 31

Show me the argument!

• “Contratei uma boa empresa”Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software.• “Segurança aumenta o custo”Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade.• “Tenho bons programadores”Bons programadores sem a devida capacitação desconhecem práticas de segurança de software.• “Meu sistema é seguro”Seu maior problema é a ignorância, causada pela falta de informação.

01/05/2023 32

The guilt is mine

01/05/2023 33

01/05/2023 34

“EXISTE ALGUMA LEI QUE PODERIA NOS DAR UMA MAIOR 'PROTEÇÃO'?”

01/05/2023 35


01/05/2023 36

Health Insurance Portability and Accountability Act - 1996


01/05/2023 37

PCISOX

Regras de Privacidade

HIPAAHL7TIS

ISO 27799

Good pratices, where are you?

• Elabore um plano de ação.• Conscientize os funcionários.• Teste a segurança de aplicações que já existem.• Contrate uma consultoria especializada.• Valorize os resultados positivos.• Invista na continuidade do processo.• Adotar e SEGUIR uma politica de segurança.• Ter um CSIRT em caso de incidentes.

01/05/2023 38

That's all folks!

• Twitter: @arthurpaixao• Linkedin: linkedin.com/in/arthurpaixao• Blog: www.arthurpaixao.com.br

01/05/2023 39

http://www.arthurpaixao.com.br/

Obrigado!

#dontstophacking

Modern Healthcare Hacking

Internet