“Parece que trabalhamos para automatizar a confusão e a entropia existente”

A tecnologia é muitas vezes usada, com aumento da complexidade dos sistemas, e assim da exposição às ciber-ameaças, criticou António Gameiro Marques, director-geral do Gabinete Nacional de Segurança, durante a Portugal eHealth Summit.

painel-de-seguranca“Independente do tipo de tecnologia ou de controlo que possa ser efectivamente montando em qualquer organização é hoje muito simples e fácil a penetração [nos sistemas informáticos] através de métodos como a engenharia social e outros mecanismos do género”. Foi este o mote de Rui Gomes, dos Serviços Partilhados do Ministério da Saúde (SPMS),  durante uma sessão da Portugal eHealth Summit, realizada na semana passada.

A afirmação foi corroborada por António Gameiro Marques, director-geral do Gabinete Nacional de Segurança, o qual assinalou ainda que “o modo como as organizações estão arquitectadas assenta ainda em paradigmas desactualizados de uma altura em que o mundo era mais simples. Funcionam em silos que não se compadecem com a vida actual”.

A situação foi ilustrada por Rui Gomes, com o caso dos serviços partilhados da Saúde. Segundo este responsável já foi realizado investimento para maior  cibersegurança no Sistema Nacional de Saúde, mas nem sempre os apelos neste sentido, feitos aos conselhos de administração, têm resultado positivo, segundo o responsável.

Afinal a segurança “é cara” e não é palpável e, apesar da “relevância e pertinência de garantir a disponibilidade dos serviços e continuidade do negócio”, com múltiplas camadas de segurança, nem sempre os projectos avançam.  No entanto, quando a segurança não funciona “pode desmoralizar ou prejudicar de forma reputacional”, as organizações.

Os “hackers descobriram que não é necessário [atacar pela via da tecnologia]. É “muito mais fácil penetrar através do elo mais fraco: o elo humano” (Rui Gomes, SPMS).

O investimento insuficiente e a incapacidade de tornar as infra-estruturas resilientes, em combinação com as novas técnicas de engenharia social que têm vindo a desenvolver-se têm consequências. De há um ano para cá “temos, de uma forma generalizada, diariamente, sistemas de informação parados, constantes pedidos de ajuda dos organismos à SPMS [Serviços Partilhados do Ministério da Saúde]: os “hackers descobriram que não é necessário [atacar pela via da tecnologia]. É “muito mais fácil penetrar através do elo mais fraco: o elo humano”, confirmou Rui Gomes.

Gameiro Marques assinalou mesmo que quanto mais aprende sobre o tema, mais chega “à conclusão que é uma questão de comportamentos”, que são o “elo mais fraco de todo o processo”. É que o grau “incrível de tecnologia” que vai surgindo “não corresponde ao que se faz no seio das organizações”. As empresas não conseguem acompanhar.

Introduz-se mais complexidade nos sistemas “em vez de desconstruir o que já está feito (…)”, disse Gameiro Marques (GNS)

“São criados manuais de procedimento, de controlo de gestão que só acrescentam complexidade” ao ambiente já pouco simples, alertou. Esta é combatida com mais complexidade “em vez de desconstruir o que já está feito”.

Numa hipérbole, declara: “trabalhamos, aparentemente, para automatizar a confusão e a entropia já existente” e  “usa-se a tecnologia para manter ou aumentar a complexidade, aumentando a exposição às ciber-ameaças”.

Gameiro Marques explica que a “tecnologia tem de ser acompanhada por mudanças organizacionais e por ‘security by design’[segurança intrínseca no desenho das soluções]”. É preciso “instituir nas organizações uma cultura que minimize o ciber-risco actuando junto do elo mais fraco: o factor humano”, defende.

Tudo com uma “liderança empenhada no processo transformacional, entendido como uma prioridade no contexto da digitalização crescente da nossa sociedade”.

No mesmo painel, Fernando Cardoso, CTO da Layer8 e Rui Shantilal, da Integrity, demonstraram o poder dessa engenharia social com exemplos teóricos e práticos que podem afectar o sector da saúde. Fernando Cardoso referiu que uma máquina de lavar industrial, muito utilizada em hospitais, tem uma ligação de Ethernet, na qual foi recentemente descoberta uma vulnerabilidade.

É uma porta de entrada para os sistemas da saúde e para um ataque de DDOS.

Dados clínicos mais valiosos que números de cartões de crédito

Rui Shantilal referiu outros exemplos como as máquinas de monitorização dos níveis de glicémia ou os pacemakers que podem ser também utilizados como porta de entrada, para a execução de ataques de ‘ransomware’, como aconteceu há um ano num hospital nos EUA. Para já, a motivação dos hackers tem sido executar fraude no contexto da saúde.

No “mercado negro”, actualmente, “dados clínicos podem valer 10 dólares, enquanto os números de cartões de crédito valem apenas um euro”. Através de dados clínicos é possível: “accionar receitas médicas, reclamar reembolsos às seguradoras”, explicou.

Também salientou a importância da ‘security by design’. Sai mais caro, dá mais trabalho, mas é preciso ter em conta a relação custo/benefício da abordagem, em regra positiva.

A sessão terminou com  Bruno Horta Soares, em representação do ISACA Lisbon Chapter, a explicar o quão vulneráveis são as passwords dos utilizadores. “É um problema de cidadania”. “Hoje o drama de uma organização é tudo menos a tecnologia” e “não se conseguirá evitar” os ataques. Será no entanto “necessário mitigar” os seus efeitos, ressalva.




Deixe um comentário

O seu email não será publicado