Mais um anúncio de vulnerabilidade de dados, envolvendo o SUS e segundo as informações obtidos, o Sistema Nacional de Vacinação, o Conecte SUS. As consequências podem ser severas e ainda não está claro se hoje vazamento de dados além da indisponibilidade dos sites. Na prática, os cidadãos não conseguem acessar seus comprovantes de vacinação, os dados sobre a vacinação nacional estão indisponíveis e as medidas de proteção para pessoas que viajam para o Brasil estão suspensas.
Artigo publicado no Tecnoblog em 13/12/2021 informa que “os hackers teriam conseguido credenciais de acesso de pelo menos 23 órgãos do governo. Com isso, foi possível acessar o sistema do ConecteSUS hospedado na Amazon e deletá-lo. No domingo (12), porém, o ataque teria sido diretamente à rede da pasta, mas foi bloqueado.
A sequência não para por aí. Outra tentativa de ataque foi identificada na madrugada de segunda-feira (13). Redes de telefone e internet foram desligadas, assim como o sistema interno de trabalho da pasta.”
Segundo o G1, “a queda dos sistemas do SUS teve reflexos pelo país: em Salvador, onde o comprovante começou a ser exigido na rodoviária, passageiros não conseguiram embarcar. No Piauí, houve filas para a vacinação. No Acre, quem perdeu o comprovante em papel não consegue tomar a 2ª dose ou a dose de reforço; o mesmo aconteceu no Oeste de Santa Catarina. O governo do Tocantins diz que não consegue notificar casos e mortes de Covid.
Vale lembrar que o jornal Estadão já havia publicado em sua edição de 26/11/2020, matéria sobre o Vazamento de senhas, que expôs as informações de aproximadamente 16 milhões de pacientes de COVID-19.
Artigo publicado no Ciso Advisor em 05/10/2021, informa que um grupo de fraudadores desconhecido utilizou um script Python para criptografar máquinas virtuais hospedadas em servidores VMware ESXi. Aparentemente esta prática tem se tornado comum e o objetivo é sequestrar os dados da vítima para exigir resgate.
As chaves criptográficas utilizadas para proteger máquinas virtuais, bases de dados etc. não podem estar armazenadas no código ou gravadas em arquivos de configuração. Elas não devem estar armazenadas no mesmo local dos objetos que devem proteger.
Para isso, implante um sistema de gestão de chaves criptográficas robusto, operando em um ambiente diverso daquele onde as chaves são utilizadas.
Com o uso cada vez maior de múltiplas chaves criptográficas, é indispensável que a gestã seja automatizada, com ferramentas para o agendamento e troca programada das chaves. Segundo o relatório “Cost of Data Breach Report” de 2020, publicado pela IBM, o erro humano foi o responsável por 23% das violações de dados identificadas.
Faça isso antes que um fraudador, utilizando uma credencial vulnerável o faça. Desta forma, mesmo que o ambiente virtual seja acessado indevidamente, as tentativas de uso indevido dos processos e informações será evitado.
A proteção das máquinas virtuais é um processo simples, rápido de excelente custo/benefício.
As bases de Dados podem ser protegidas com recursos de Transparent Dat Encryption. O TDE é uma opção nativa para uma grande variedade de Gerenciadores de bancos de Dados.
Utilizando o TDE, as bases de dados, estruturadas ou não, somente poderão ser acessadas com a chave criptográfica associada.
O acesso aos ambientes de nuvem, como a AWS, Google e Microsoft envolve o uso de chaves para a criptografia e proteção dos ambientes.
O recurso de BYOK permite que o cliente faça o gerenciamento do ciclo de vida de suas chaves criptográficas, realizando a troca periódica das chaves e sua exclusão, quando necessário.
Dados sensíveis, como número do cartão, CPF, Passaporte, Registro do INSS e outros podem ser protegidos com outros recursos ainda mais aprimorados: a tokenização ou HASH dos dados, utilizando APIs específicas para essa finalidade. Esta pode ser uma camada de proteção adicional aos recursos já apresentados de criptografia das máquinas virtuais e das bases de dados. A vantagem deste método de proteção é que o dado criptografado mantém sua estrutura original, o que significa que as estruturas de dados não precisam ser modificadas.
Quem trabalha com testes e qualidade de sistemas sabe da importância de contar com bases de informações diversificadas, que atendam aos casos de uso que precisam ser testados. E quem trabalha com segurança das informações sabe que os dados produtivos não podem ser copiados para os ambientes de testes. O risco de vazamento destas informações é imenso.
Usando técnicas de anonimização de dados, (criptografia, hash e mascaramento, de acordo com a necessidade), é possível gerar massas de testes diversificadas, adequadas às necessidades dos testes e seguras.
As regras de Segurança das Informações indicam diretrizes fundamentais para a gestão de identidades e acessos. Esta diretrizes se tornaram ainda mais estratégicas, considerando as mudanças significativas nos processos de produzir, acessar e utilizar informações.
Telefone +55 21 999261133
Email: marketing@sucessosi.com.br