CASO GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Resenha Crítica de Caso
José Henrique Battisti
 
 
Cascavel – PR 
2019
QUANDO HACKERS VIRAM CHANTAGISTAS
Referências: EISENMANN, Caroline, Quando Hackers Viram Chantagistas. Harvard Bussines Review.
Pensando na ideia de melhorar e aumentar a eficácia do Hospital Sunnylake, foi desenvolvido um sistema para informatizar os prontuários, porém, não foi dada a devida atenção quanto a questão da segurança e o Hospital sofreu um ataque de hackers que bloquearam todos os acessos ao sistema. Para normalizar a situação, foi pedido a quantia de cem mil dólares para liberar o sistema novamente e voltar ao normal. Todavia um dilema passa pela equipe do Hospital, ceder aos sequestradores ou aguardar a equipe de TI solucionar o problema?
Paul Layman era o Diretor Executivo do Hospital Sunnylake e a três anos atrás conseguira informatizar os processos do pequeno Hospital, se livrando dos processos manuais e ultrapassados, implantou prontuários médicos eletronicamente (EMR) no lugar dos prontuários de papel. Para lhe ajudar nesta missão Paul contratou um jovem chamado Jacob Dale para ser o Diretor de TI do Hospital e gerir toda a organização de TI.
No início da informatização dos processos, houve muita resistência entre os profissionais da saúde, visto que, esse seria um método completamente novo de trabalhar e que fugiria do comodismo da maioria em aprender uma nova função. Os médicos mais antigos foram os que apresentaram maior resistência a nova tecnologia, pois acreditavam que poderia desviar a atenção dos sintomas e sinais dos pacientes. Contudo, com o passar do tempo, mesmo os mais resistentes admitiram a eficiência do EMR, uma vez que o sistema identificava até erros de medicação. Quando ocorrem alterações no modo de trabalho dos colaboradores acaba gerando resistência no início, pois eles precisam deixar a zona de conforto e aprender algo novo. Um exemplo seria a instalação de Políticas de Segurança Fortes em uma empresa que possuía uma instalação básica, antes o que era permitido agora não será mais.
Todo o sucesso gerado com o EMR, fez com que o departamento de TI se tornasse uma parte de extrema importância para o Sunnylake, porém um e-mail recebido por Paul poderia colocar todo esse sucesso em risco. O e-mail recebido tratava de um possível hacker que pedia a quantia de cem mil para garantir que o Hospital não sofresse nenhum desastre. Paul no entanto, desconsiderou o e-mail acreditando ser uma “pegadinha”, pois, possuía muita confiança em seu setor de TI. Muitos casos são desconsiderados ameaças pequenas, mas se esse e-mail fosse levado ao departamento de TI, poderia ter sido identificado a vulnerabilidades antes do ataque. 
Durante todo o desenvolvimento do projeto Paul insistia que a privacidade dos pacientes seria um ponto extremamente essencial, mas também sabia que todo sistema e todo investimento realizado não seria garantia de um sistema perfeito e 100% seguro, porém acredita que a rede não estava em perigo. Logo outro e-mail foi recebido, com uma nova mensagem bem clara, “você foi avisado”. A partir daquele momento, o emprego de Paul e tudo que ele havia conquistado durante esses três anos estaria em perigo.
O acesso aos prontuários era restrito apenas aos médicos, enfermeiros e administradores. Todavia, ao realizar as consultas nos registros dos pacientes uma mensagem era unânime em todos os aparelhos, “Acesso Negado”. Com isso, iniciou-se um tumulto em grande parte da Hospital, todos procuravam uma resposta para o problema e principalmente uma solução. Visto que, poucos se lembravam como era antes da tecnologia, nos antigos prontuários de papel. O sistema que deveria garantir a Confidencialidade teve sua estrutura afetada quando todos os acessos foram bloqueados pelos hackers.
A equipe de TI trabalhava incansavelmente para tentar normalizar os serviços, mas não era sofisticada ou grande o suficiente para lidar com tal ameaça. A tecnologia havia avançado durante esse período, mas o Hospital não evoluiu juntamente. Até que Paul recebera um novo e-mail dos hackers, solicitando novamente os cem mil, mas agora para voltar os serviços ao normal. Os invasores decodificaram o sistema e negaram todos os acessos, impossibilitando todo e qualquer acesso com o sistema. Existiam backups de segurança dos prontuários, entretanto, no momento não seria possível disponibilizá-los aos médicos. Para evitar este tipo de situação Políticas de Segurança deveriam ser constantemente atualizadas, auditorias deveriam ser realizadas a fim de encontrar as vulnerabilidades do sistema.
A cobrança por uma solução em cima de Paul e Jacob era grande, pois o Hospital estava prestes a sofrer uma paralização. Jacob precisava de tempo para solucionar o problema e já imaginava soluções futuras para a segurança, como um sistema de detecção de ameaças baseado na rede. A equipe de TI por horas conseguia restaurar o sistema, mas ele voltava a cair e cada hora que se passava maior era o risco para o Sunnylake. 
Paul começava a ser confrontado por outros departamentos sobre qual a medida a ser tomada, aguardar a equipe de TI? Ou pagar o valor pedido pelos hackers? Lisa Mankins que era chefe de assessoria Jurídica lembrou que o Hospital possuía um orçamento para este tipo de situação, no entanto Paul era relutante sobre o pagamento. Acreditava que se cedessem aos hackers pagando o valor, incentivaria outros a praticarem o mesmo em outros Hospitais. O Hospital possuía um orçamento para esta situação, mas esse orçamento poderia ter sido utilizado em investimentos na área de Segurança, evitando assim, todo o ocorrido. Apesar dos anos de sucesso do EMR, Paul lembrava o quão complicado e trabalhoso foi implantar o sistema e fazer que todos os funcionários utilizassem e aceitassem a mudança. E agora com a segurança quebrada, via seu trabalho cair por terra.
No caso é apresentado a opinião de três especialistas sobre a situação no Hospital Sunnylake, o primeiro especialista Per Gullestrup acreditava que a melhor solução seria ceder aos hackers e pagar o resgate, pensando em preservar os pacientes. Visto que, uma medicação errada aplicada em um paciente poderia acarretar problemas sérios. Sua orientação seria a contratação de um negociador que consiga abrir um diálogo com os hackers e tentar manter a situação sobre controle, mantendo-os ocupados para evitar que causem maiores danos. Durante esse tempo a equipe de TI deveria tentar a recuperação do sistema reforçando as políticas de segurança e de emergência, enquanto a polícia forense tenta rastrear os hackers. Analisando o caso mais a fundo, o pagamento aos hackers não seria uma opção válida, pois não existe uma garantia que os criminosos irão cumprir sua parte.
Já Richard L. acreditava que todas as ameaças devem ser levadas a sério, visto que nenhum sistema está livre de vulnerabilidades, e que Paul deveria ter informado a equipe de TI no momento do primeiro e-mail. Sugeriu que todas as organizações possuam um plano para esse tipo de ameaça, caso existissem um backup viável na rede, poderiam ter o sistema ininterrupto para todo o Hospital. Richard acha imperdoável não existir um plano de emergência e um software de segurança atualizado. Nenhum sistema está livre de ameaças, qualquer investimento por mais elevado que seja, não irá garantir um ambiente 100% seguro. E a não existência de um plano de emergência realmente é algo preocupante.
Por fim, Peter R. relata que a segurança na maioria dos Hospitais é precária e que já testemunhou dentro de um Hospital um desktop com informações sigilosas de pacientes na tela. Acredita que a equipe de TI do Sunnylake deveria remover a conexão com a internet do sistema para remover um possível acesso de fora à rede do Hospital. Desligarem os servidores e realizar a reconfiguração de tudo através de backups, certificando que os sistemas de segurança estejam operando e atualizados, junto a isso realizar uma varredura em todos os terminaisdo Hospital a fim de encontrar um possível malware. Peter também enfatiza que, os hackers podem não ser alguém de fora e sim de dentro do Hospital, um funcionário vingativo ou um paciente que encontra um terminal abandonado. Este especialista apresenta que, o fator humano pode ter sido o causador da invasão, já que 80% das ameaças a segurança são causadas por usuários internos.
Com o grande ganho no desenvolvimento do sistema de prontuários um ataque colocou o negócio em risco, por desconsiderar pequenas ameaças e principalmente pela falta de políticas de segurança implantadas no Hospital o que o tornou um alvo fácil para hackers. Fato que demonstra o quão importante é a comunicação entre os setores dentro de uma organização, pois se tivessem comunicado sobre o primeiro e-mail recebido, a equipe e TI poderia ter realizado medidas para evitar o ataque.
ANEXO: COMPLEMENTO
GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS
Conceber um Sistema de Gestão de Segurança da Informação (SGSI), baseado no guia da norma ABNT NBR ISO/IEC 27003, atendendo aos requisitos de certificação da norma ABNT NBR ISO/IEC 27001 e aos controles da norma ABNT NBR ISO/IEC 27002, visando aumentar o nível de confidencialidade, integridade e disponibilidade das informações e processos críticos de informação da organização.
Um dos principais requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) é a aprovação e apoio da alta direção. Com o compromisso da alta direção é possível estabelecer um sistema complexo, permitindo a cooperação e colaboração de vários representantes com funções e papeis distintos dentro da organização.
Também deve se faz necessário adotar o modelo PDCA (Plan-Do-Check-Act) onde define os passos abaixo como necessário.
· Estabelecer o SGSI: Estabelecer os objetivos e políticas para a segurança da informação.
· Implementar o SGSI: Implementar as políticas e controle de segurança nos processos da organização.
· Monitoração e análise do SGSI: Avaliar a eficiência do SGSI analisando os resultados junto com a direção.
· Manter o SGSI: Com base nas análises e resultados obtidos, buscar implementar soluções preventivas e corretivas as ameaças e vulnerabilidades.
Para implementação do SGSI foi realizado um planejamento que segue os requisitos da norma ABNT NBR ISO/IEC 27002.
· Escopo do SGSI: O sistema de gestão de segurança da informação para gerenciamento do Hospital Sunnylake nos processos de Infraestrutura e Desenvolvimento.
· Política: Buscar a proteção contra invasões e ameaças, garantindo a segurança e continuidade do negócio, melhoria no SGSI e redução das vulnerabilidades. As políticas de segurança devem ser compreendidas pela equipe de TI, alta direção, colaboradores e terceiros. Deve garantir os pilares da segurança (CID), Confidencialidade; apenas pessoas autorizadas terão permissão de acesso, Integridade; garantir o funcionamento e proteção dos sistemas, Disponibilidade; garantir o acesso e utilização sempre que for preciso.
· Identificar os ativos: Realizar o levantamento dos ativos da organização, juntamente com reuniões e entrevistas nos setores atingidos pelo escopo.
· Identificar riscos: Realizar reuniões nos setores atingidos pelo escopo a fim de medir o nível dos riscos de acordo com cada ativo.
· Analisar os riscos: Avaliar as ameaças e vulnerabilidades associadas as ativos buscando medir o impacto real de cada risco. Deve ser analisado várias questões como consequências, probabilidade, gravidade, natureza e plano de ação.
· Classificação dos dados: Através de reuniões devera ser identificado qual o nível de confidencialidade para cada dado, para definir um nível de acesso.
A realização de auditorias internas e externas irá permitir que as vulnerabilidades sejam rastreadas de uma maneira complexa, tentando identificar as falhas nos processos da organização, focando sempre nas estratégias do negócio, buscando um elevado nível de segurança.
Trabalho da disciplina Gestão da Segurança em Redes e Dispositivos Computacionais
Tutora: Sheila de Goes Monteiro