WannaCry e Petya: o circo chegou à cidade

Você já deve ter ouvido falar sobre a disseminação desenfreada de ransomware em vários canais da mídia e artigos de blog

hack-ie temproario

Michael Xie (*)

Mas vamos parar e pensar por um minuto ou dois. Como aconteceram esses ataques? As empresas estão focadas em ameaças válidas, corrigindo os problemas certos ou desenvolvendo os processos corretos? As tecnologias transformadoras mudaram o nosso pensamento? Não sejamos táticos. Em vez disso, precisamos pensar no seguinte: “Qual é a nossa melhor estratégia?”

Desde que o circo todo do NGFW (firewall de próxima geração) chegou à cidade, parece mais interessante ficar do lado de fora nas barraquinhas e perder o evento principal lá dentro. Por exemplo, ver como um firewall pode manipular os detalhes dos hábitos de um usuário é uma atividade que parece atraente. Eu já vi vários fornecedores tentando ganhar a confiança dos clientes mostrando como um firewall corporativo pode bloquear um jogo no Facebook, enquanto permite o acesso a outros jogos. Por isso, as capacidades de firewall começaram a ser medidas e avaliadas com base no número de assinaturas de aplicativos que o firewall contém, concluindo que quanto mais assinaturas de aplicativos, melhor o firewall corporativo.

Embora esta e outras tendências similares tenham dominado a conversa sobre o firewall corporativo, os recentes ataques dos vírus WannaCry e Petya deveriam fazer com que os fornecedores de firewall corporativo e seus clientes pensassem duas vezes. A questão aqui é: eles realmente estão se concentrando no problema que precisa ser resolvido? Ou ainda estão do lado de fora nas barraquinhas brincando com ursinhos de pelúcia?

Depois de analisar este problema com atenção, eu cheguei a essa conclusão: tanto os fornecedores de NGFW quanto seus clientes estão focados no problema errado. O principal risco de negócio – e como uma equipe de pesquisa de segurança vimos e comprovamos isso a todo momento – continua sendo ransomware e malware adquiridos por links em e-mails.

Vamos analisar um típico ataque de ransomware e como uma empresa é atingida.

Começamos com nosso velho amigo e companheiro de todas as horas, o e-mail. As pessoas estão acostumadas a receber mensagens de spam. Os tipos mais idiotas ainda circulam (por ex., você ganhou um milhão de dólares na loteria, ou um descendente monarca estrangeiro quer compartilhar sua riqueza com você). As tentativas mais inteligentes se apresentam como uma mensagem do seu banco, informando sobre algum problema inexistente com a sua conta, o governo tentando receber ou devolver dinheiro de impostos, ou informações sobre uma encomenda importante esperando por você. Outros e-mails de spam são mais assustadores, como uma mensagem urgente do seu chefe exigindo uma informação ou um pagamento relacionado a um projeto supersecreto no qual ele está trabalhando.

Chamamos estas últimas tentativas direcionadas de spear phishing (este setor está sempre criando novos nomes). O e-mail de spear phishing contém todos os nomes certos e todos os detalhes corretos para torná-los convincentes. Os profissionais de TI podem facilmente detectar os erros nesses e-mails, como erros de ortografia, gramática ruim ou logotipo desatualizado, e acabam rindo dessas tentativas. Mas uma empresa não é composta exclusivamente por profissionais de TI. Na verdade, mesmo uma empresa de TI profissional precisa de ajuda para viabilizar seus negócios. Nas empresas em geral, se você contratar centenas, milhares ou dezenas de milhares de funcionários, há sempre uma pessoa, seja um terceirizado, um estagiário, um amigo sobrecarregado na mesa ao lado da sua, um executivo que você nunca esperaria cair nesse tipo de golpe, ou às vezes você mesmo, que clicará nesse link ou anexo infectado.

Assim que clicar nesse link, o efeito não poderá ser revertido. E então começa o pesadelo.

O malware lançado imediatamente começa a busca por dados valiosos e vulneráveis. Ele também vai fundo no seu sistema de arquivos procurando por computadores conectados na mesma rede que pode infectar. Logo depois, começa a criptografia de dados e unidades, e então iniciam as chantagens. Para ter seus dados de volta, o departamento de finanças da empresa terá que comprar bitcoins (depois de pesquisar o que são bitcoins e como comprá-los) para ver se os dados mantidos como refém serão liberados. Mas isso raramente para por aí. Outras situações acontecerão que amarrarão sua empresa aos criminosos por dias, semanas ou meses. Então, surge a manchete do jornal, e todos sabem o que acontece depois porque lemos sobre isso todos os dias.

Este processo, ou algo parecido com isso, acontece todos os dias há anos, apesar dos bilhões de dólares gastos com equipamentos NGFW. Por quê?

Bem, uma razão pode ser que o pessoal interno é responsável por 60% de todos os ataques. Destes, três quartos são intencionalmente maliciosos e o restante não é malicioso. Mas o ponto é que todos acontecem no lado errado do firewall. É por isso que sistemas de defesa efetivos precisam de uma abordagem baseada em fabric que contenha os seguintes elementos:
1. Um sistema eficaz de filtro de malware em spam recebido por e-mail (como o FortiMail ou FML na nuvem)
2. Treinamento de conscientização do usuário
3. Criação de uma rede interna segmentada
4. Um bom backup de dados
5. Saber o que, com quem e por que está compartilhando tais dados
6. Compreender o seu sistema host e suas vulnerabilidades
7. Criação de um SOC (centro de operações de segurança) coordenado
8. Estabelecer um bom comando e sistema de controle

A segurança exige muito mais do que um firewall com capacidade de bloquear jogos do Facebook. A proteção precisa fornecer uma abordagem holística e integrada de segurança que cubra toda a sua rede. Não me interprete mal. Um dispositivo NGFW tem um papel importante na estratégia de segurança, mas não é o suficiente. É por isso que fornecemos muito mais que equipamentos e plataformas de NGFW. E como fornecemos o serviço completo com segurança de classe corporativa, reconhecemos facilmente quando um circo chega à cidade.

(*) É fundador, presidente e CTO da Fortinet.

Aplicando parâmetros lógicos de alertas para minimizar ruídos no momento de atendimento ao paciente

Shobha Phansalkar (*)

A fadiga de alertas continua sendo um dos maiores obstáculos na adoção de soluções de apoio à decisão clinica no momento do atendimento ao paciente

Existe uma batalha contínua entre profissionais da saúde e a sobrecarga de informação, caracterizada pela emissão desordenada de alertas - muitas vezes irrelevantes para o cuidado daquele paciente – por parte dos prontuários eletrônicos dos pacientes (PEP) e outros sistemas clínicos.
Um recente estudo detectou que erros médicos são a terceira causa de morte, nos Estados Unidos, sendo responsáveis anualmente por 250 mil óbitos. Esse montante inclui os incidentes associados à medicação, como por exemplo, erros de dosagens, interações medicamentosas, duplicações de drogas ou alergias a algum medicamento.
De maneira geral, o papel que as ferramentas de apoio à decisão podem ter nos cuidados com a saúde já é percebido. Por emitirem avisos, que são recebidos pelos médicos à beira do leito, os sistemas efetivos de suporte a decisão são a esperança no sentido de ajudar a reduzir a incidência de erros. Porém, o elevado volume de alertas ou de falsos positivos, conhecido como fadiga de alertas, tende a tirar a atenção dos médicos para as informações que poderiam ser úteis, especialmente em casos que requerem uma intervenção clínica.
A boa notícia é que existem progressos por parte da indústria para combater a fadiga de alertas por meio de uma abordagem mais holística. Os modelos em desenvolvimento buscam balancear a qualidade do conteúdo que trazem com aspectos técnicos, como formato, onde são exibidos e como são incorporados ao fluxo de trabalho. Melhorar o nível de especificidade dos alertas permite estabelecer conexões mais significativas entre a base de conhecimento sobre os medicamentos e o prontuário eletrônico do paciente (PEP), o que por sua vez possibilita a criação de avisos mais relevantes e inteligentes, levando em consideração tanto o contexto do paciente como as preferências do médico.
Encontrar o ponto de equilíbrio no que diz respeito ao volume de alertas a serem exibidos tem sido um objetivo perseguido com muito afinco pelos fornecedores de PEP e de suporte à decisão clínica. Afinal, harmonizar a segurança do paciente e a importância clínica dos alertas com a capacidade do médico de consumir informação é uma tarefa subjetiva e complexa. Porém, uma saída que tem apresentado resultados promissores para lidar com a problemática da fadiga é uma opção oferecida por alguns fornecedores que permite aplicar classificações e orientações baseadas em evidências para filtragem e definição de parâmetros de exclusão.
Na organização de saúde americana, Group Health Cooperative (GHC) do South Central Wisconsin, o uso de mecanismos de filtros para melhorar a lógica do alerta provou ser uma estratégia eficaz. A instituição utiliza sua solução de referência de medicamentos para classificar as interações por gravidade, atribuindo uma pontuação – que varia entre um e cinco - de acordo com a significância de cada alerta, o que é definida com base em evidências. Neste caso, as indicações de “um” ou “dois” são apoiadas por evidências de credibilidade e apontadas como interações “suspeita” ou “provável”. Além disso, a GHC tem utilizado seu sistema de suporte à decisão de prescrição de medicamentos para configurar os filtros para ativar apenas os alertas com pontuações mais significativas (um ou dois), reduzindo assim o número de disparos de 87% para 27%. Antes, os médicos recebiam em média 143 alertas, a cada 100 prescrições. Após 14 dias de utilização do sistema, este volume, levando em consideração o mesmo número de pedidos, reduziu-se a 52. As taxas de substituição dos médicos diminuíram entre 95% a 100% em um período de 60 dias.
O MetroHealth System, localizado em Ohio, também nos Estados Unidos, embarcou em uma iniciativa similar, porém com foco exclusivo na dosagem de medicamentos. Uma análise prévia revelou que os alertas eram disparados em 13% das prescrições, volume este que, na verdade, poderia ser evitável devido à preponderância de alertas de baixo risco. O PEP foi integrado à base de conhecimento de medicamentos e foram aplicados filtros para eliminar os alertas normalmente considerados clinicamente insignificantes. Apresentando apenas os alertas de dosagem que poderiam causar danos ao paciente, o volume de disparos reduziu-se em cerca de 80%. Como o feedback dos usuários foi incorporado nesse processo, os alertas como um todo ficaram abaixo do limite de 3%.
Esses exemplos mostram que customizar as ferramentas baseadas em evidência pode funcionar melhor do que usar soluções de mercado prontas. Essas medidas adotadas podem ser espelhadas em outras instituições que também necessitam combater a sobrecarga de alertas e modificar a lógica. Porém, antes de tudo é preciso ter clara a ideia de que os ambientes clínicos diferem-se entre si, bem como as prioridades e relevância dos alertas variam de acordo com a configuração. Não existe uma abordagem única que possa ser usada em âmbito global. Mas, as considerações de alto nível para implementar uma estratégia mais holística de fadiga de alerta incluem:
• Contar com o apoio de um sistema de prontuário eletrônico controlável pelos usuários;
• Empregar estratégias de design na apresentação dos alertas que valorizem a percepção humana;
• Ao personalizar os sistemas de alerta, levar em consideração análises contínuas do perfil dos pacientes e dos fluxos de trabalho clínicos;
• Identificar e implantar alertas contextuais ou em camadas com base nos dados do paciente, como, por exemplo, idade, peso, gênero, função renal, entre outros;
• Realizar manutenção e atualizar o conteúdo clínico com frequência para garantir evidências mais atuais no momento do atendimento.

Os alertas disponibilizados pelos recursos de apoio à decisão são extremamente vantajosos. Quando realmente se compreende as múltiplas facetas que envolvem a otimização dos alertas torna-se totalmente possível aprimorar a segurança do paciente e tirar o máximo de proveito do elevado potencial que apresentam no sentido de ajudar os médicos a proverem melhores cuidados aos pacientes.

(*) É RPh, PhD, é diretora de informática e inovação clínica na Wolters Kluwer Health