Salte para o conteúdo principal

Recursos

INTELLIGENCE DIGEST

O caos nos cuidados de saúde: A violação de dados atinge dezenas de hospitais e clínicas

O sector da saúde foi abalado por uma violação maciça de dados que afectou milhões de vítimas

16 de agosto de 2023

Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem

A HCA Healthcare, um importante prestador de cuidados de saúde com uma presença alargada na Flórida e em 19 outros estados, foi recentemente vítima de uma grave violação de dados que pode afetar cerca de 11 milhões de pessoas. O incidente inquietante veio à tona quando informações pessoais de pacientes apareceram num fórum online.

Especificamente, o conjunto de dados violados incluía informações sensíveis de identificação pessoal (PII), incluindo:

  • Nomes, cidades, estados e códigos postais dos doentes
  • Dados de contacto, como números de telefone e endereços de correio eletrónico, juntamente com o sexo e as datas de nascimento
  • Datas de serviço específicas, locais e datas de marcação futuras

De acordo com a declaração da HCA, os agentes da ameaça roubaram 27 milhões de linhas de dados de um "local de armazenamento externo", mas não foi detectada "qualquer atividade maliciosa" nas redes ou sistemas da HCA.

Com o custo médio de uma violação de dados de cuidados de saúde a aumentar para 11 milhões de dólares, de acordo com o relatório 2023 Cost of a Data Breach Report da IBM Security, serve como um lembrete claro da importância cada vez maior de práticas robustas de cibersegurança no sector dos cuidados de saúde.

O sector da saúde regista um número mais elevado de violações de dados em comparação com todos os outros sectores, tal como é consistentemente indicado pelos relatórios do Ponemon Institute e da Verizon Data Breach Investigations Reports.

Porque é que estes incidentes ocorrem?

Neste caso, o acesso não autorizado a um "local de armazenamento externo" facilitou o grande roubo de dados. Tradicionalmente, os locais de armazenamento estariam fortemente protegidos por controlos internos em Data Loss Prevention ou por tecnologias de Monitorização da Atividade da Base de Dados enterradas nas infra-estruturas internas.

Infelizmente, no entanto, a realidade das operações comerciais e de TI dos dias de hoje envolve uma grande variedade de utilizadores, dispositivos, localizações, contextos e objectivos comerciais para interagir com esses dados armazenados. Estas variáveis apresentam desafios únicos à forma como os dados têm de ser protegidos, especialmente no caso do acesso a "locais de armazenamento externos" fora do perímetro da rede tradicional.

Dada a natureza interligada dos sistemas de saúde, o comprometimento de um único alvo pode ter implicações de grande alcance.

De acordo com o Center for Internet Security (CIS), "as informações pessoais de saúde (PHI) são mais valiosas no mercado negro do que as credenciais dos cartões de crédito ou as informações pessoais identificáveis (PII) normais. Por conseguinte, há um maior incentivo para os cibercriminosos visarem as bases de dados médicas".

Os ciberataques representam um risco significativo para as organizações, incluindo potenciais danos às operações comerciais, à propriedade intelectual, aos dados sensíveis e à reputação. No entanto, no domínio dos cuidados de saúde, os riscos são ainda maiores. A perda de dados pode ter consequências potencialmente fatais, enquanto o roubo de registos de pacientes constitui uma violação da privacidade com impactos duradouros nos indivíduos afectados.

O sector da saúde, em particular, debate-se com uma série de desafios em matéria de cibersegurança:

  • Investimento inadequado em infra-estruturas digitais seguras
  • Formação insuficiente
  • Infra-estruturas obsoletas e vulneráveis
  • Práticas de cibersegurança insuficientes
  • Complexidades decorrentes das dependências entre várias agências
  • Custos elevados associados à implementação da cibersegurança
  • Falta de cibercompetência entre os trabalhadores

A acumulação destes problemas cria inúmeras vulnerabilidades e pontos de entrada inadequadamente protegidos que são propícios à exploração por agentes de ameaças. Quando estas fraquezas são utilizadas para proteger dados altamente sensíveis e valiosos, as potenciais consequências tornam-se imensas, levando a danos extensos.

O que é que pode fazer?

Infelizmente, estas violações de dados estão fora do controlo do cidadão comum. Os prestadores de cuidados de saúde utilizam normalmente as informações que recolhem de si para o seu tratamento, pelo que não pode ocultar certos pormenores aos hospitais e prestadores de cuidados de saúde.

Na era moderna das redes interligadas - como as utilizadas por hospitais e prestadores de cuidados de saúde - as organizações dependem frequentemente de locais de armazenamento externos, como centros de dados de terceiros, soluções de armazenamento de dados subcontratadas ou fornecedores de armazenamento na nuvem, para armazenar e gerir os seus dados. Embora estas soluções de armazenamento externo ofereçam comodidade, escalabilidade e rentabilidade, também introduzem riscos de segurança significativos. É aqui que entra em ação o conceito de Zero Trust Network Access (ZTNA).

A ZTNA trata todos os pedidos (por exemplo, um pedido de acesso a uma localização de armazenamento externo) como potencialmente maliciosos e requer verificação e autorização em todas as etapas do processo. Isto é especialmente crucial quando se lida com localizações de armazenamento externo pelas seguintes razões:

  • Exposição e fuga de dados: Os locais de armazenamento externo, especialmente os serviços de armazenamento na nuvem, podem ser acedidos por várias partes, incluindo os funcionários de um fornecedor de serviços e outros utilizadores. Sem as medidas de segurança adequadas, os dados confidenciais podem ser inadvertidamente expostos, vazados ou acedidos por indivíduos não autorizados.
  • Comprometimento de credenciais: Se um atacante obtiver acesso a credenciais válidas através de phishing, engenharia social ou outros meios, poderá explorar essas credenciais para aceder à localização de armazenamento externo e aos dados nela contidos. A ZTNA minimiza o impacto das credenciais comprometidas, exigindo factores de autenticação adicionais e reavaliando continuamente o nível de confiança da parte requerente.
  • Ameaças internas: Embora as organizações confiem nos seus funcionários, as ameaças internas continuam a ser uma possibilidade. Os funcionários com acesso legítimo a locais de armazenamento externos podem utilizar indevidamente os seus privilégios ou ser vítimas de roubo de credenciais, conduzindo a potenciais violações de dados. A ZTNA mitiga este risco avaliando constantemente a postura, o contexto e o comportamento dos utilizadores.
  • Movimento lateral: Se um atacante se infiltra com sucesso na rede de uma organização, pode tentar mover-se lateralmente e obter acesso a locais de armazenamento - internamente ou ligados externamente. O ZTNA restringe as oportunidades de movimento lateral, reduzindo a superfície de ataque e limitando os danos potenciais.
  • Proteção de dados integrada: As capacidades integradas de Data Loss Prevention (DLP) impedem que utilizadores não autorizados carreguem, transfiram e até visualizem dados sensíveis a partir de qualquer localização ou dispositivo. Os controlos de acesso adaptáveis podem ser aplicados com base em avaliações contínuas da postura do dispositivo.

No que diz respeito à proteção de quaisquer dados valiosos - e muito menos de registos de saúde pessoais e sensíveis - é necessário prestar muita atenção ao modo como e onde os dados estão a ser armazenados, acedidos e utilizados e por quem ou que activos.

As organizações não podem "caçar ameaças" retrospetivamente para dados que já foram divulgados. Não existe nenhum produto ou ferramenta que possa encontrar os seus dados já divulgados, voltar atrás no tempo e voltar a colocar tudo no sítio! É por isso que a proteção de dados depende de um regime proactivo de descoberta, identificação, classificação e proteção de dados para evitar que as violações ocorram em primeiro lugar.

As classificações identificam e rastreiam conteúdos sensíveis através da aplicação de impressões digitais ou etiquetas/definições de conteúdos a ficheiros e conteúdos. Algumas organizações podem ter classificações de dados existentes definidas por soluções como Titus, Boldon James ou Azure Information Protection (AIP) da Microsoft. Algumas soluções DLP oferecem a capacidade de integrar e aproveitar as classificações existentes para acelerar o processo geral.

Existem algumas formas de integrar as classificações de dados nas suas práticas de segurança, incluindo (mas não se limitando a):

  • Impressão digital de conteúdos: Crie índices de hashes rolantes dos seus dados para evitar que informações sensíveis ou confidenciais saiam da organização, criando políticas de conformidade em torno delas.
  • Atributos de ficheiros/dados: Fornece a capacidade de classificar ficheiros com base em palavras-chave e dicionários, metadados de ficheiros ou conteúdo do próprio ficheiro/documento.
  • Reconhecimento ótico de caracteres (OCR): Alarga a proteção DLP contra documentos fiscais, passaportes, informações de cartões de crédito ou dados de identificação pessoal que possam ser carregados ou partilhados como imagens.
  • Correspondência de documentos de índice (IDM): Permite-lhe imprimir o conteúdo de dados empresariais sensíveis em documentos, tais como documentos Word, PDF, PowerPoint ou CAD, melhorando a precisão da deteção de dados sensíveis que seriam difíceis de encontrar de outra forma.
  • Correspondência exacta de dados (EDM): Realiza a impressão digital de dados sensíveis estruturados, concebidos para detetar PII e outros dados confidenciais armazenados num ficheiro de dados estruturado, como uma folha de cálculo ou CSV, com uma precisão de deteção muito elevada e baixas taxas de falsos positivos.

Particularmente no caso do EDM, o Skyhigh Security utiliza-o para estabelecer impressões digitais - até 6 mil milhões de células - que protegem registos sensíveis de bases de dados de utilizadores num formato de linhas e colunas (normalmente extraídos de uma base de dados em formato CSV), criar índices estruturados desses dados e utilizar políticas DLP para impedir que informações sensíveis saiam da organização.

Neste caso, os registos médicos dos doentes (e, de forma mais holística, os registos dos funcionários e/ou clientes, etc.) são exemplos típicos de grupos de informações grandes e sensíveis que necessitam de proteção. Embora possa proteger esses registos através da correspondência de padrões e termos de dicionário, estes métodos de correspondência de dados requerem condições complexas e lógica de regras, que são propensas a falsas correspondências.

A correspondência de campos individuais de um registo sensível, como o nome, a data de nascimento, o identificador único do doente e o número de telefone, pode não ser útil e pode facilmente resultar numa falsa correspondência. No entanto, a correspondência de dois ou mais campos do mesmo registo sensível (por exemplo, nome e número de segurança social) no mesmo texto (como um e-mail ou um documento) indica que estão presentes informações relacionadas significativas. As impressões digitais EDM (Enhanced) fazem corresponder as palavras reais nas colunas definidas dentro de uma determinada proximidade num registo (linha ou linha) com o registo original do utilizador, o que evita falsas correspondências.

Fundamentalmente, estas devem ser as capacidades mínimas incluídas numa solução e num regime DLP de nível empresarial.

Para os clientes existentes, a proteção de dados unificada da Skyhigh Securityproporciona uma representação visual de informações sensíveis que mostra onde foram distribuídas, como estão a ser utilizadas e onde foram exfiltradas em todas as aplicações na nuvem, na Web, em aplicações privadas, no correio eletrónico e nos pontos terminais, destacando os riscos de conformidade dos dados. A Skyhigh Security protege contra a perda de dados aplicando classificações às políticas de proteção de dados que desencadeiam acções, gerando incidentes quando são identificados dados sensíveis.

Nativamente, a plataforma Skyhigh Security's Cloud Access Security Broker (CASB) suporta definições integradas, validações e informações de palavras-chave para identificadores de dados de cuidados de saúde, incluindo números do Medicare australiano, números de registo DEA, códigos nacionais de medicamentos (NDC), identificações nacionais de fornecedores (NPI), números do serviço nacional de saúde do Reino Unido (NHS) e muito mais.

Estrutura de mercado da proteção unificada de dados

A realidade é que descobrir, definir, classificar e proteger continuamente os seus dados não é uma tarefa simples de "definir e esquecer", nem é um exercício super-rápido se for feito de forma completa e correcta.

A classificação dos dados é um dos principais factores de proteção e privacidade dos dados. Assim, ao estabelecer uma base sólida de práticas comuns para a descoberta, definição e classificação de dados, as organizações podem aplicar protecções de dados mais extensas e substanciais em todos os potenciais canais de fuga, onde quer que estejam.

 

Utilize Skyhigh Security?

Rodman Ramezanian

Sobre o autor

Rodman Ramezanian

Líder global de ameaças à nuvem

Com mais de 11 anos de vasta experiência no sector da cibersegurança, Rodman Ramezanian é Consultor de Segurança na Nuvem Empresarial, responsável pelo aconselhamento técnico, capacitação, conceção de soluções e arquitetura em Skyhigh Security. Nesta função, Rodman concentra-se principalmente em organizações do governo federal australiano, de defesa e empresariais.

Rodman é especialista nas áreas de Adversarial Threat Intelligence, Cibercrime, Proteção de Dados e Segurança na Nuvem. É um avaliador IRAP aprovado pela Direção de Sinais Australiana (ASD) e possui atualmente as certificações CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

Com sinceridade, Rodman tem uma forte paixão por articular assuntos complexos em termos simples, ajudando o cidadão comum e os novos profissionais de segurança a compreender o quê, porquê e como da cibersegurança.

Destaques do ataque

  • A HCA Healthcare informou que um agente não autorizado roubou dados de cerca de 11 milhões de pacientes em 20 estados, incluindo a Flórida, e publicou-os num fórum online. A lista publicada no fórum continha 27 milhões de linhas de dados.
  • De acordo com a HCA, os dados incluem nomes de pacientes, informações de endereço (incluindo cidade, estado e código postal), endereços de correio eletrónico de pacientes, números de telefone, datas de nascimento, sexo e datas de serviço dos pacientes, incluindo detalhes sobre localizações e informações relacionadas com as próximas consultas.
  • O HCA acredita que os dados foram roubados de um local de armazenamento externo utilizado para automatizar mensagens de correio eletrónico.
  • A HCA não revelou a data exacta em que teve conhecimento do roubo de dados.