SlideShare une entreprise Scribd logo

Modern Healthcare Hacking

Télécharger en tant que PPTX, PDF
Arthur Paixão
Arthur Paixão

- Apresentação realizada no Roadsec Fortaleza 04/2016; - Chegamos a era onde todos falam sobre IOT, porém com essas novidades tecnológicas vieram também os avanços no cibercrime. Muitos dos criminosos resolveram mudar o foco, como por exemplo instituições financeiras, ecommerce e começaram a se dedicar ao "Healthcare Hacking".

Internet
1  sur  40
O MAIOR EVENTO DE HACKING, SEGURANÇA E TECNOLOGIA DO BRASIL DO CONTINENTE
Modern Healthcare Hacking Arthur Paixão | @arthurpaixao
Who am i? • Formado no Curso Técnico em ADS-UNIBRATEC. • Graduado em Segurança da Informação – FG. • Pós graduando em Segurança da Informação Aplicada à Engenharia de Software – C.E.S.A.R • Engenheiro de Software Sênior – MV s/a. • CTF Player RTFM[SCR34M0]. • Finalista do Hackaflag 2015. 03/05/2016 3 #RTFM #CTF-BR
Agenda • The internet progress... • The age of “Cybercrimes” • What motivates me? • Modern Healthcare Hacking • Application Vulnerability • The guilt is... • Good pratices, where are you? 03/05/2016 4 Calanguinho e suas perguntas...
The internet progress… • Desde antigamente o homem usou meios nativos para se comunicar e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação. 03/05/2016 5
“MÓ LEGAL SABER SOBRE OS AVANÇOS DA INTERNET, MAS O QUE ISSO TEM HAVER COM HOSPITAIS?” 03/05/2016 6
The age of “Cybecrimes” 03/05/2016 7
The age of “Cybecrimes” 03/05/2016 8
The age of “Cybecrimes” 03/05/2016 9
The age of “Cybecrimes” 03/05/2016 10
What motivates me? • Diversão • Black Hats • HackAtivistas • Hackers Patrocinados pelo Estado • Terrorismo 03/05/2016 11
“JÁ SABEMOS QUE OCORREM ATAQUES TODOS OS DIAS, PORÉM O QUE HOSPITAIS TEM HAVER COM ISSO?” 03/05/2016 12
Modern Healthcare Hacking • As tendências de compartilhamento de informações médicas procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais. 03/05/2016 13
Modern Healthcare Hacking • Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde: “Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais” 03/05/2016 14
“AHHH, ESTOU COMEÇANDO A ENTENDER... MAS ESTA PESQUISA REALMENTE ESTÁ FALANDO A VERDADE?” 03/05/2016 15
Modern Healthcare Hacking 03/05/2016 16
Modern Healthcare Hacking 03/05/2016 17
Modern Healthcare Hacking 03/05/2016 18
Modern Healthcare Hacking 03/05/2016 19
Modern Healthcare Hacking 03/05/2016 20
Modern Healthcare Hacking 03/05/2016 21
Modern Healthcare Hacking Informações Pessoais X Informações Clinicas 03/05/2016 22
“MAS COMO OS HOSPITAIS TROCAM ESSAS INFORMAÇÕES?” 03/05/2016 23
Modern Healthcare Hacking • Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0” 03/05/2016 24
• Como os hospitais tem acesso as informações? 03/05/2016 25
Application Vulnerability • Política de Segurança 70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas. • OWASP Top 10 87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web. • SANS Top 25 69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software. 03/05/2016 26
Modern Healthcare Hacking • Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso? • O tempo de acesso a estas informações pode inviabilizar seu uso distribuído? • As bases de dados usadas permitem salvar os dados de forma encriptada? • As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos? 03/05/2016 27
Modern Healthcare Hacking • Os meios de comunicação permitem o uso de encriptação? • Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário? • É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado? • Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente? 03/05/2016 28
Modern Healthcare Hacking 03/05/2016 29
“PERA AI, DE QUEM É A CULPA?” 03/05/2016 30
The guilt is... 03/05/2016 31
Show me the argument! • “Contratei uma boa empresa” Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software. • “Segurança aumenta o custo” Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade. • “Tenho bons programadores” Bons programadores sem a devida capacitação desconhecem práticas de segurança de software. • “Meu sistema é seguro” Seu maior problema é a ignorância, causada pela falta de informação. 03/05/2016 32
The guilt is mine  03/05/2016 33
03/05/2016 34
“EXISTE ALGUMA LEI QUE PODERIA NOS DAR UMA MAIOR 'PROTEÇÃO'?” 03/05/2016 35
Modern Healthcare Hacking 03/05/2016 36 Health Insurance Portability and Accountability Act - 1996
Modern Healthcare Hacking 03/05/2016 37 PCI SOX Regras de Privacidade HIPAA HL7 TIS ISO 27799
Good pratices, where are you? • Elabore um plano de ação. • Conscientize os funcionários. • Teste a segurança de aplicações que já existem. • Contrate uma consultoria especializada. • Valorize os resultados positivos. • Invista na continuidade do processo. • Adotar e SEGUIR uma politica de segurança. • Ter um CSIRT em caso de incidentes. 03/05/2016 38
That's all folks! • Twitter: @arthurpaixao • Linkedin: linkedin.com/in/arthurpaixao • Blog: www.arthurpaixao.com.br 03/05/2016 39
Obrigado! #dontstophacking

Recommandé

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
Arthur Paixão
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
Daybson Bruno
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
Humberto Xavier
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
Módulo Security Solutions
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
Ricardo Cavalcante
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 

Recommandé

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
Arthur Paixão
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
Daybson Bruno
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
Humberto Xavier
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
Módulo Security Solutions
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
Ricardo Cavalcante
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
Grupo Treinar
 
Forense computacional e seguranca da informacao
Forense computacional e seguranca da informacaoForense computacional e seguranca da informacao
Forense computacional e seguranca da informacao
Marcelo Lau
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWS
bibliotecafacigsp bibliotecafacigsp
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
Marcelo Lau
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
Robson Silva Espig
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Emerson Rocha
 
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
sucesuminas
 
Ciberameacas no universo mobile
Ciberameacas no universo mobileCiberameacas no universo mobile
Ciberameacas no universo mobile
Data Security
 
Segurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slidesSegurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slides
Ana Lúcia Albano
 
Guerra cibernética 2.0 - Latinoware
Guerra cibernética 2.0 - LatinowareGuerra cibernética 2.0 - Latinoware
Guerra cibernética 2.0 - Latinoware
Eddy Oliveira
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
Edkallenn Lima
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
Marcelo Lau
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
Petter Lopes
 
Voce sabe o que esta guardado em seu computador
Voce sabe o que esta guardado em seu computadorVoce sabe o que esta guardado em seu computador
Voce sabe o que esta guardado em seu computador
Data Security
 
Seguranca de dados e fraudes corporativas
Seguranca de dados e fraudes corporativasSeguranca de dados e fraudes corporativas
Seguranca de dados e fraudes corporativas
Data Security
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
Robson Silva Espig
 
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
tdc-globalcode
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
FecomercioSP
 
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Thiago Julio, MD
 

Contenu connexe

Tendances

Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
Grupo Treinar
 

Tendances (19)

Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
 
Forense computacional e seguranca da informacao
Forense computacional e seguranca da informacaoForense computacional e seguranca da informacao
Forense computacional e seguranca da informacao
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWS
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
 
Ciberameacas no universo mobile
Ciberameacas no universo mobileCiberameacas no universo mobile
Ciberameacas no universo mobile
 
Segurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slidesSegurança nas redes e internet - baixar slides
Segurança nas redes e internet - baixar slides
 
Guerra cibernética 2.0 - Latinoware
Guerra cibernética 2.0 - LatinowareGuerra cibernética 2.0 - Latinoware
Guerra cibernética 2.0 - Latinoware
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
 
Voce sabe o que esta guardado em seu computador
Voce sabe o que esta guardado em seu computadorVoce sabe o que esta guardado em seu computador
Voce sabe o que esta guardado em seu computador
 
Seguranca de dados e fraudes corporativas
Seguranca de dados e fraudes corporativasSeguranca de dados e fraudes corporativas
Seguranca de dados e fraudes corporativas
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 

Similaire à Modern Healthcare Hacking

VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
FecomercioSP
 
Grupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveisGrupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveis
Dra. Camila Hamdan
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
Luciano Madeira
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
Filipe Rolo
 
Segurança cibernética: Desafios e oportunidades na era de ciberespionagem
Segurança cibernética: Desafios e oportunidades na era de ciberespionagemSegurança cibernética: Desafios e oportunidades na era de ciberespionagem
Segurança cibernética: Desafios e oportunidades na era de ciberespionagem
Mehran Misaghi
 
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosWiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Leonardo Couto
 

Similaire à Modern Healthcare Hacking (20)

TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas...
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
 
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
 
Grupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveisGrupo 3 trabalho inovacao e tecnologias moveis
Grupo 3 trabalho inovacao e tecnologias moveis
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
 
Formação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. pptFormação de recursos humanos em saúde digital. ppt
Formação de recursos humanos em saúde digital. ppt
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
 
Direito digital com enfoque na gestão de rh
Direito digital com enfoque na gestão de rhDireito digital com enfoque na gestão de rh
Direito digital com enfoque na gestão de rh
 
Capitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados PessoaisCapitalismo de Vigilância e Proteção de Dados Pessoais
Capitalismo de Vigilância e Proteção de Dados Pessoais
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
Segurança cibernética: Desafios e oportunidades na era de ciberespionagem
Segurança cibernética: Desafios e oportunidades na era de ciberespionagemSegurança cibernética: Desafios e oportunidades na era de ciberespionagem
Segurança cibernética: Desafios e oportunidades na era de ciberespionagem
 
Mundo big data
Mundo big dataMundo big data
Mundo big data
 
Monografia Ultima Versao
Monografia Ultima VersaoMonografia Ultima Versao
Monografia Ultima Versao
 
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em SegurosWiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
Wiseminer - Tecnologia Analítica Avançada no Combate à Fraude em Seguros
 

Plus de Arthur Paixão

Plus de Arthur Paixão (6)

From P0W3R to SH3LL
From P0W3R to SH3LLFrom P0W3R to SH3LL
From P0W3R to SH3LL
 
Porque Investir em um time de segurança ofensiva?
Porque Investir em um time de segurança ofensiva?Porque Investir em um time de segurança ofensiva?
Porque Investir em um time de segurança ofensiva?
 
Red Team Diary: Meu Recon falhou e agora?
Red Team Diary: Meu Recon falhou e agora?Red Team Diary: Meu Recon falhou e agora?
Red Team Diary: Meu Recon falhou e agora?
 
Como se tornar JEDI em desafios de Capture the Flag
Como se tornar JEDI em desafios de Capture the FlagComo se tornar JEDI em desafios de Capture the Flag
Como se tornar JEDI em desafios de Capture the Flag
 
Investigando email
Investigando emailInvestigando email
Investigando email
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 

Modern Healthcare Hacking

  • 1. O MAIOR EVENTO DE HACKING, SEGURANÇA E TECNOLOGIA DO BRASIL DO CONTINENTE
  • 2. Modern Healthcare Hacking Arthur Paixão | @arthurpaixao
  • 3. Who am i? • Formado no Curso Técnico em ADS-UNIBRATEC. • Graduado em Segurança da Informação – FG. • Pós graduando em Segurança da Informação Aplicada à Engenharia de Software – C.E.S.A.R • Engenheiro de Software Sênior – MV s/a. • CTF Player RTFM[SCR34M0]. • Finalista do Hackaflag 2015. 03/05/2016 3 #RTFM #CTF-BR
  • 4. Agenda • The internet progress... • The age of “Cybercrimes” • What motivates me? • Modern Healthcare Hacking • Application Vulnerability • The guilt is... • Good pratices, where are you? 03/05/2016 4 Calanguinho e suas perguntas...
  • 5. The internet progress… • Desde antigamente o homem usou meios nativos para se comunicar e transmitir conhecimento entre as pessoas. A sociedade moderna criou muitos meios modernos para difundir a comunicação, esses meios modificaram a maneira como as pessoas se interagem atualmente, pois deu um salto na agilidade e diversificou a escala na disseminação da informação. 03/05/2016 5
  • 6. “MÓ LEGAL SABER SOBRE OS AVANÇOS DA INTERNET, MAS O QUE ISSO TEM HAVER COM HOSPITAIS?” 03/05/2016 6
  • 7. The age of “Cybecrimes” 03/05/2016 7
  • 8. The age of “Cybecrimes” 03/05/2016 8
  • 9. The age of “Cybecrimes” 03/05/2016 9
  • 10. The age of “Cybecrimes” 03/05/2016 10
  • 11. What motivates me? • Diversão • Black Hats • HackAtivistas • Hackers Patrocinados pelo Estado • Terrorismo 03/05/2016 11
  • 12. “JÁ SABEMOS QUE OCORREM ATAQUES TODOS OS DIAS, PORÉM O QUE HOSPITAIS TEM HAVER COM ISSO?” 03/05/2016 12
  • 13. Modern Healthcare Hacking • As tendências de compartilhamento de informações médicas procuram atingir um melhor resultado nos tratamentos dos pacientes, considerando-se que esta meta será atingida com diagnósticos mais exatos e mais rápidos, maior troca de informações entre os diversos especialistas e redução nos custos gerais. 03/05/2016 13
  • 14. Modern Healthcare Hacking • Uma pesquisa recente da InfoMoney mostra que a população brasileira tem consciência quanto aos riscos de ter seus dados pessoais expostos em instituições de saúde: “Quando perguntados sobre ameaças relacionadas à violação de dados causada pela perda acidental, roubo ou ação de hackers em empresas que hospedam seus dados pessoais, 93% dos brasileiros afirmaram se preocupar com essa questão nas empresas da área de saúde. Essa conclusão contraria a média mundial, que em geral considera o setor de saúde como um dos mais seguros no que diz respeito à proteção dos dados pessoais” 03/05/2016 14
  • 15. “AHHH, ESTOU COMEÇANDO A ENTENDER... MAS ESTA PESQUISA REALMENTE ESTÁ FALANDO A VERDADE?” 03/05/2016 15
  • 22. Modern Healthcare Hacking Informações Pessoais X Informações Clinicas 03/05/2016 22
  • 23. “MAS COMO OS HOSPITAIS TROCAM ESSAS INFORMAÇÕES?” 03/05/2016 23
  • 24. Modern Healthcare Hacking • Sistemas de Gestão Hopitalar/Médica no padrão “Web 2.0” 03/05/2016 24
  • 25. • Como os hospitais tem acesso as informações? 03/05/2016 25
  • 26. Application Vulnerability • Política de Segurança 70% das aplicações testadas possuem uma ou mais falhas de segurança consideradas sérias de acordo com políticas de segurança das empresas. • OWASP Top 10 87% das aplicações testadas possuem uma ou mais falhas classificadas entre as 10 principais falhas de segurança em aplicações web. • SANS Top 25 69% das aplicações testadas possuem uma ou mais classificadas entre as 25 principais falhas de software. 03/05/2016 26
  • 27. Modern Healthcare Hacking • Os sistemas possuem meios compatíveis para definição dos vários níveis de permissão de acesso? • O tempo de acesso a estas informações pode inviabilizar seu uso distribuído? • As bases de dados usadas permitem salvar os dados de forma encriptada? • As instituições possuem infraestrutura de segurança capaz de proteger estas informações de ataques cibernéticos externos? 03/05/2016 27
  • 28. Modern Healthcare Hacking • Os meios de comunicação permitem o uso de encriptação? • Quais serão as regras que definirão qual profissional de saúde terá acesso aos dados do paciente e a seu prontuário? • É necessária uma gestão centralizada destes acessos ou este controle pode ser descentralizado? • Os pacientes precisarão estar cientes deste intercâmbio de informações e o autorizarem previamente? 03/05/2016 28
  • 30. “PERA AI, DE QUEM É A CULPA?” 03/05/2016 30
  • 32. Show me the argument! • “Contratei uma boa empresa” Empresas de desenvolvimento de software geralmente não dominam práticas de segurança em desenvolvimento de software. • “Segurança aumenta o custo” Segurança não é opcional. O desenvolvimento deve compreender as práticas de desenvolvimento seguro e entregar software com qualidade. • “Tenho bons programadores” Bons programadores sem a devida capacitação desconhecem práticas de segurança de software. • “Meu sistema é seguro” Seu maior problema é a ignorância, causada pela falta de informação. 03/05/2016 32
  • 33. The guilt is mine  03/05/2016 33
  • 35. “EXISTE ALGUMA LEI QUE PODERIA NOS DAR UMA MAIOR 'PROTEÇÃO'?” 03/05/2016 35
  • 36. Modern Healthcare Hacking 03/05/2016 36 Health Insurance Portability and Accountability Act - 1996
  • 37. Modern Healthcare Hacking 03/05/2016 37 PCI SOX Regras de Privacidade HIPAA HL7 TIS ISO 27799
  • 38. Good pratices, where are you? • Elabore um plano de ação. • Conscientize os funcionários. • Teste a segurança de aplicações que já existem. • Contrate uma consultoria especializada. • Valorize os resultados positivos. • Invista na continuidade do processo. • Adotar e SEGUIR uma politica de segurança. • Ter um CSIRT em caso de incidentes. 03/05/2016 38
  • 39. That's all folks! • Twitter: @arthurpaixao • Linkedin: linkedin.com/in/arthurpaixao • Blog: www.arthurpaixao.com.br 03/05/2016 39