Imagem: Divulgação/B. Braun

Hackers poderiam dobrar a taxa de fluxo de medicamento das bombas médicas em hospitais, é o que dizem pesquisadores da McAfee.  

De acordo com a Wired, os pesquisadores descobriram que um hacker com acesso à rede de uma unidade de saúde conseguiria controlar essas bombas, chamadas B. Braun SpaceStation, explorando uma vulnerabilidade comum. 

“Puxamos todos os fios que podíamos e, no final das contas, encontramos o pior cenário possível”, disse Steve Povolny, chefe de pesquisa em segurança da McAfee. Ele continua dizendo que é possível dobrar a taxa de fluxo do medicamento, e que “como um invasor, você não deve ser capaz de se mover para frente e para trás da SpaceStation para o sistema operacional da bomba [...] – Isso é um problema real.” 

Seria necessário um hacker determinado para a invadir a vulnerabilidade dos produtos B. Braun; um ataque que, na prática, não seria fácil de se reproduzir. Contudo, se tratando de redes hospitalares, o impacto poderia ser devastador. Por isso, todo cuidado é pouco. 

A B. Braun disse em um comunicado que a melhor forma de manter os dispositivos seguros seria usar as últimas versões de software, lançados em outubro. E recomendou que os clientes implementassem outras formas de segurança de rede, como autenticação multifatorial. 

Ainda no comunicado, B. Braun Melsungen disse discordar veementemente da declaração da McAfee de que este é um “cenário realista”, no qual a segurança dos pacientes está em risco. 

Mas os pesquisadores notaram que a maioria dos bugs não foram corrigidos em produtos existentes e o problema ainda não foi oficialmente resolvido. 

Caso os hackers obtenham controle do SpaceStation, eles podem explorar quatro outras vulnerabilidades que se relacionam com a falta de controles de acesso entre o dispositivo e uma bomba. Assim, os criminosos podem dosar a quantidade de medicamento que é servida ao paciente. 

Além de conseguir controlar o fluxo do medicamento, os pesquisadores descobriram que o dispositivo não é criptografado – o que é um grande erro de segurança de softwares -, e que também é vulnerável à malwares que se instalam no dispositivo. 

Os equipamentos eletrônicos utilizados em hospitais, como marcapassos, ultrassons e monitores, são manuseados de forma remota, tanto pela internet quanto por controladores internos. A maioria deles, porém, não é desenvolvida pensando na segurança do software, o que facilita possíveis invasões nos dispositivos. 

Não há dúvidas de que existe um grande potencial de que a saúde e segurança de pacientes sejam impactadas, caso esses dispositivos, como as bombas médicas, não sejam totalmente seguros. Independentemente das tendências de ataques cibernéticos atuais, essa é uma questão que requer atenção imediata. 

“Queremos ter certeza de que as instituições e instalações que realmente implantam esses dispositivos no mundo inteiro percebam que esse é um risco real. [...] Tudo que é preciso é literalmente uma vez - uma figura política, uma tentativa de assassinato e estaremos pensando que poderíamos ter feito algo para evitar isso.” concluiu Povolny, pesquisador da McAfee. 

Segundo um estudo publicado por pesquisadores do MIT, os vazamentos de dados aumentaram 493% no Brasil, além disso o país está entre os dez com mais ataques baseados em nuvem.  

Esta situação foi agravada por conta da pandemia, pois as pessoas precisaram se adaptar ao trabalho remoto às pressas e a grande maioria enfrentou esta mudança sem uma preparação prévia, às vezes até usando dispositivos pessoais para acessar conteúdos corporativos. 

Frequentemente, esses dispositivos não são mantidos com as medidas de segurança adequadas deixando as organizações vulneráveis a vários ataques. 

Esse é um dos motivos que fizeram a Segurança da informação ganhar mais relevância no cenário mundial nos últimos anos, com grandes investimentos das organizações em segurança e treinamentos. O avanço tecnológico caminha para proteger redes, cloud, web de ameaças ocultas. 

Nessa live nossos convidados Matheus Vasconcelos, Senior System Enginner | McAfee, Taiolor Morais, Gerente de Engenharia e Integração de Sistemas | Itaú Unibanco e Vagner Guedes, IT Architecture Manager | Via falaram sobre os desafios e benefícios de manter a sua organização protegida, seja em terminais, na web ou na nuvem. 

De acordo com Matheus Vasconcelos, a adoção de sistemas em nuvem cresceu 50% durante a pandemia. Infelizmente, o aumento as ameaças nativas da nuvem também cresceram.  

As ameaças atingem diversos segmentos, entretanto, os principais alvos são: serviços financeiros e varejo. 

Justamente esses dois serviços mudaram completamente sua rotina de trabalho por conta da pandemia. Os colaboradores começaram a trabalhar de casa e os riscos ficaram ainda maiores. 

Taiolor Morais destaca que as organizações devem entender a segurança da informação como parte da jornada do produto, “Se o produto não estiver atrelado à segurança, não teremos sucesso. É preciso conscientizar todos os colaboradores”. 

Para garantir que a todas as áreas estejam protegidas e tenham proteção assertiva, além de investir em tecnologia é essencial alinhar processos e conscientizar pessoas. 

Segurança digital não é opcional. Todo profissional de tecnologia deve ter o item “segurança” como um dos seus pilares de trabalho e estudo como um todo. 

Quer saber mais sobre como enfreitar as ameaças? Assista a live com os nossos especialistas

Este artigo foi escrito por Editorial Prensa.li e publicado originalmente em Prensa.li.

Poucos meses depois, fotos de 13 mil documentos (RGs, CPFs e CNHs), além de dados de 227 milhões de brasileiros, foram postos à venda em outro fórum. Um dos cibercriminosos vazou o nome das mães de 2 milhões e meio de brasileiros como amostra grátis. 

Ainda falando de cenário brasileiro, entre janeiro e junho de 2021, a plataforma consumidor.gov.br registrou 47 mil reclamações de vazamentos de dados, o dobro do mesmo período em 2020. Isso levou o Ministério da Justiça a lançar a campanha “Proteja seus Dados. Não compartilhe”. 

E apesar dos problemas relacionados a vazamentos de dados, a maioria das pessoas ainda não sabe muito bem quantas organizações têm seus dados, como eles são coletados ou usados. 

Infelizmente, os riscos são mais altos para quem não estiver disposto a tomar as medidas adequadas para defender seus dados pessoais contra roubo de identidade, perda financeira e muito mais. 

Enquanto a nuvem apresenta uma grande variedade de oportunidades para aumentar a produtividade, conectividade e conveniência, ela também requer um novo conjunto de considerações para garantir seu uso seguro.  

A seguir as 10 principais recomendações de privacidade na nuvem: 

1. Não reutilize senhas. 

A reutilização de senha é um problema comum, especialmente no que se refere ao consumo de serviços na nuvem. Se você reutilizar senhas, basta que um desses serviços seja violado para que cibercriminosos roubem suas credenciais. 

Dessa forma, eles podem ter acesso a todas as suas contas que compartilham das mesmas credenciais, incluindo plataformas bancárias, e-mail e outros locais onde dados confidenciais são armazenados. 

Ao utilizar um serviço na nuvem pela primeira vez, é fácil pensar que se os dados utilizados naquele serviço específico não forem confidenciais, então não importa se você usar sua senha favorita. Mas uma outra forma de pensar nisso é: Com muitas senhas, uma só violação pode ser possível. Com uma única senha, potencialmente teremos muitas violações. E se você estiver preocupado em como vai se lembrar delas, uma sugestão é usar um gerenciador de senhas. 

2. Não compartilhe pastas, compartilhe arquivos. 

Vários serviços na nuvem permitem a colaboração ou o compartilhamento de arquivos. Se você deseja compartilhar apenas alguns documentos, faça isso mais pontualmente, ou seja, não compartilhe uma pasta completa. 

É muito fácil compartilhar sem perceber o que mais está em determinada pasta — ou esquecer com quem, ou o que você compartilhou. 

3. Tenha cuidado com a sincronização automática (pode trazer malware). 

Se você compartilhar uma pasta com outra pessoa, lembre-se que muitos serviços na nuvem oferecem sincronização automática. Isso significa que, se outros usuários adicionarem novos arquivos, estes serão sincronizados com todos os participantes.  

O perigo aqui é que, se alguém com quem você está compartilhando arquivos for infectado por malware, este pode ser enviado para a nuvem e baixado em seus dispositivos automaticamente. 

4. Tenha cuidado com os serviços que solicitam seus dados. 

Ao fazer login em um novo serviço, alguns dados pessoais podem ser solicitados; por exemplo, sua data de nascimento. É importante questionar por que ele precisa dessa informação e o que fará com ela. 

Se ele conseguir vincular sua data de nascimento ao seu endereço de e-mail, e outros serviços obtiverem seu código postal e número de celular, você verá que qualquer pessoa, compilando tais informações, poderá roubar sua identidade. Caso não haja razão para que um serviço deva ter esses dados, use um serviço diferente (ou dê a informação incorreta). 

5. Leia o EULA e as políticas de privacidade — quem é o proprietário dos dados?  

Eu sei que parece difícil, mas vale a pena: O provedor na nuvem afirma que é o dono dos dados que você carrega? Isso pode dar ao provedor o direito, ou pelo menos direitos suficientes na concepção dele, de vender seus dados para corretores de dados. Isso é mais comum do que você pensa — você nunca deve usar um serviço que alega ser o proprietário de seus dados. 

6. Pense duas vezes sobre os aplicativos para celular e sua coleta de dados. 

Vários serviços na nuvem têm um aplicativo móvel. Antes de usar um app desses, observe quais dados serão coletados. Frequentemente, esse serviço coleta mais dados quando acessado por um aplicativo do que por um navegador. 

7. Se não tiver certeza, pergunte ao seu departamento de TI se eles revisaram o serviço. 

Os departamentos de TI de algumas organizações já terão revisado um serviço na nuvem, se este for aceitável para uso corporativo. É do interesse deles manter os usuários seguros, especialmente porque muitos dispositivos agora contêm dados pessoais e comerciais. Vale perguntar se eles avaliaram um serviço antes de você acessá-lo. 

8. Não use pontos públicos de acesso Wi-Fi sem uma VPN para criptografia. 

O Wi-Fi público pode ser um local para interceptação de dados. Sempre use uma VPN ou tecnologia de criptografia para garantir que seus dados sejam criptografados entre o dispositivo e serviço na nuvem, quando estiver usando uma rede Wi-Fi pública. 

9. Ative a autenticação multifator. 

Serviços de nuvem bem projetados oferecerão serviços de segurança adicionais, como autenticação multifator. Use esses e quaisquer outros recursos de segurança que você puder. 

10. Não compartilhe contas com amigos e familiares. 

Muitas vezes, compartilhar uma conta de serviço online com amigos e familiares é algo que fazemos sem parar para pensar. Mas estas pessoas estão tão preocupadas com a privacidade quanto você? Não compartilhe contas, caso contrário, se eles baixarem a guarda, seus dados podem ser comprometidos. 

Texto adaptado de “Top 10 Cloud Privacy Recommendations for Consumers”

Este artigo foi escrito por Luana Brigo e publicado originalmente em Prensa.li.

No Brasil, temos a LGPD, Lei Geral de Proteção de Dados, sancionada em agosto de 2018, que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento. 

À medida que as empresas continuam a se transpor para a Nuvem, não há melhor momento para revisar todos os aspectos da coleta de dados, seu uso, armazenamento, transferência e processamento. 

1. Investigar shadow IT, provedores de nuvem não autorizados e sua segurança 

Dados de organizações podem facilmente vazar por serviços de shadow cloud; por exemplo, usuários convertendo um PDF da lista de telefones de um cliente, traduzindo um plano de projeto, ou usando uma ferramenta de apresentação ou serviços de colaboração não gerenciados baseados na nuvem. 

A corporação é responsável pela perda de dados causada por funcionários, não importa o que aconteça. Portanto, a Tecnologia da Informação precisa ser capaz de visualizar todos os serviços em nuvem, inclusive daqueles configurados por usuários individuais ou pequenos grupos. 

Depois de ter uma visão abrangente do uso não autorizado da nuvem, essa informação deve ser compartilhada com a equipe de compras para ajudá-los decidir qual serviço deve ser aprovado. 

2. Integrar com SSO global 

Os sistemas globais de logon único podem garantir que o acesso de usuários seja removido de todos os serviços quando eles deixam a organização, assim como reduzir o risco de perda de dados a partir de reuso de senha. 

Em um serviço que não seja SSO (single Sign-on), usuários frequentemente ligam para a equipe de helpdesk quando esquecem a senha. Então, SSO tem o benefício adicional de reduzir essa quantidade de ligações.  

3. Trabalhar com GRC e fazer workshop sobre como os usuários usam a nuvem 

GRC (governança, risco e conformidade) deve ser trazido para ajudar definir as políticas da Nuvem. Frequentemente, eles não têm certeza de como as nuvens estão sendo usadas e quais dados estão sendo carregados e, portanto, as políticas são gerais. 

Você precisa criar um time incluindo usuários, GRC e segurança TI para definir políticas para o mundo real. Para isso, revise as possíveis ações que podem acontecer em cada serviço de Nuvem, e garanta que as políticas estejam definidas para todas as eventualidades. 

4. Revise a IaaS – Não presuma que DevOps fez tudo certo 

A área da Nuvem que mais cresce é IaaS – Plataformas Cloud AWS, Azure e Google. Nesse caso, é muito fácil para que desenvolvedores configurem incorretamente as definições e deixem os dados abertos para ataques. 

A tecnologia é necessária para verificar todos os serviços de IaaS (sempre encontramos mais do que as pessoas acreditam ter), e as definições – idealmente, esse seria um sistema que pudesse mudar as definições automaticamente para assegurar opções. 

5. Mantenha-se atualizado com a tecnologia – “sem servidor”, contêineres, serviços de e-mail em Nuvem etc. 

A Nuvem inclui muitas tecnologias que estão em constante evolução; por isso, a segurança precisa mudar também. Desenvolvedores geralmente estão na vanguarda dos avanços tecnológicos - trazendo o código do GitHub, executando sistemas de contêineres que duram apenas alguns minutos (mesmo que não seja um tempo muito curto para exigir proteção) e outros. 

A segurança de TI precisa estar em parceria com as equipes de desenvolvimento e implantar tecnologias para se defender contra as ameaças mais recentes. 

6. Integre-se ao gateway da web e DLP - não perca a segurança ao mudar para a nuvem 

Após investir tempo e dinheiro em segurança durante a última década, você não quer perder todo esse investimento ao mudar para a Nuvem. À medida que sistemas e dados sobem, você deve implementar tecnologias que possam integrar com seus serviços e tecnologia existentes. 

Por exemplo, você não deveria ter dois modelos diferentes de DLP, dependendo dos serviços de computação usados pelos seus funcionários. Implemente sistemas que possam se integrar uns com os outros, de preferência com um sistema de gerenciamento que unifique os dados de várias fontes diferentes, e apresente-os de num só lugar. 

7. Não presuma que CSPs irão manter seus históricos para sempre 

Se o pior acontecer, você precisará investigar o histórico de um incidente de perda de dados. CSPs raramente irão salvar históricos para sempre - consulte o seu contrato para saber por quanto tempo eles mantêm registros, e considere ter os seus próprios históricos para que investigações forenses possam ser executadas mesmo que o incidente original de perda de dados tenha ocorrido há bastante tempo. 

8. Considere diferentes políticas baseadas em localização, dispositivo etc. 

Uma vez que os dados estejam na Nuvem, a ideia é facilitar o trabalho global. Isso é sempre apropriado? Por exemplo, e se um funcionário quiser baixar um documento corporativo confidencial por meio de um serviço em Nuvem para um dispositivo não gerenciado? 

Considere as situações que seus funcionários encontrarão e formule uma política que forneça o máximo de segurança necessária e, ao mesmo tempo, cause o mínimo de interrupções possível. 

9. Promova as nuvens de que você GOSTA para seus usuários 

Recompensas funcionam melhor do que punições para treinar usuários. Não apenas bloqueie os serviços que você não gosta. Promova largamente os serviços em nuvem que você aprova, aqueles que estão em conformidade com suas necessidades de segurança, seus indicadores de desempenho e capacidades. 

Promova-os por meio da intranet, blogs e marketing interno, e redirecione as solicitações para serviços sem suporte para aqueles que você gosta. 

10. Privacidade e segurança é uma responsabilidade de todos: traga outros departamentos e usuários 

Talvez a última recomendação deveria ser a primeira: use todos os métodos disponíveis para treinar usuários, mas antes que você faça isso, trabalhe com esses usuários e seus representantes para definir políticas apropriadas. 

A meta é encorajar usuários para que usem serviços em nuvem que não sejam apenas seguros, mas que lhes permitam ser o mais produtivos possível. Os próprios usuários normalmente têm ótimas ideias sobre os serviços que gostariam de usar, o porquê e como, então traga-os para ajudar a definir as políticas e trabalhar em conjunto com o GRC. 

Que você tenha uma implantação de nuvem segura e bem-sucedida e que mantenha seus usuários e dados pessoais de clientes tão seguros quanto possível em 2021 e além. 

Para obter mais informações, dê uma olhada em nosso recurso adicional sobre como proteger seus dados pessoais na nuvem. 

Este texto foi traduzido e adaptado. Clique aqui para acessar o conteúdo original.