Muitas vulnerabilidades permanecem ocultas e acabam favorecendo atividades diárias, que podem expor informações pessoais e levar a violação de dados, incluindo a compra de gás com cartão de crédito ou até a utilização de um marca-passo. Cada registro de transação relacionada a questões de saúde está agora coletado, categorizado, classificado e minuciosamente analisado, e ao mesmo tempo, pode ser alvo de investidas de crackers. Os microcomputadores que controlam aspectos da vida cotidiana- desde ritmos cardíacos e os níveis de insulina, passando pelo funcionamento de fábricas e centros de dados, até o uso de eletricidade em residências e uso de gasolina em carros -estão cada vez mais em risco e pode ameaçar a segurança pública.
Levando em consideração esse quadro, especialistas do setor oferecem insights sobre vulnerabilidades ocultas, que podem causar vazamento de dados:
1. Dispositivos médicos sem fio. Um pacemaker wireless pode transmitir os dados do paciente 24/7, e isso poderia ser usado para roubar, explorar, ou adulterar registros de saúde do paciente, com consequências potenciais de risco de vida. Essas informações são de Rick Kam, presidente e co-fundador da ID Experts.
2. Dispositivos Skimming em postos de gasolina. Altamente sofisticados e destinados a clonagem de cartões de crédito em postos de gasolina, estão roubando dos consumidores. Um leitor de cartão de crédito falso é colocado sobre o equipamento do banco para capturar número de identificação pessoal do cliente; a partir daí, ele envia as informações de cartão de crédito para um computador que esteja por perto. Que informou foi Dave Navetta, sócio-fundador da Information Law Group.
3. Web Crawlers / Web Spiders. Os motores de busca utilizam aplicações de software para navegar de forma sistemática, e acessar o conteúdo disponível na World Wide Web. Uma configuração de firewall inadequada, pode permitir que o conteúdo de um servidor que contenha informações pessoais sensíveis seja indexado e favorece com essa informação apareça nos resultados de busca. Essas informações foram prestadas por Eric A. Bukstein, da Hogan Lovells.
4. Paper Records. Entidades com um alto nível de abrangência, estão tão focados em questões de segurança de TI, que não acham que os dados que não estão arquivados em sistemas computacionais, estão longe da “linha de tiro”, ou seja, o foco é tão voltado para o mundo cibernético, que os atacantes se prevalecem disso e passam a direcionar suas investidas para os métodos antigos e tradicionais de armazenamento de informações, que ainda são em fichas e pastas de papel.
São necessários cuidados redobrados para lidar com registros em papel, como sempre, para manter as informações de saúde protegidas e longe das mãos erradas durante o uso rotineiro, bem como rota para o armazenamento, triturador, ou eliminação de dados que pudessem causar prejuízo ou comprometimento. Quem prestou essas informações foi Terrill Clements, especialista em igualdade de oportunidades, do Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis – Região X.
5. Aplicativos móveis maliciosos. Os aplicativos para smartphones são divertidos, úteis e prevalentes. Estão cada vez mais populares e interessantes. Mas o código malicioso pode ser facilmente incorporado em aplicativos, com a única intenção de pegar e roubar dados de consumo, incluindo números de cartão de crédito e outras informações pessoalmente identificáveis. O alerta sobre isso foi feito por Robin B. Campbell, conselheiro sênior da Crowell & Moring.
6. Search history poisoning. Nesse contexto, os cibercriminosos continuarão a infiltrar algoritmos de busca e outros mecanismos de similares que controlam as informações apresentadas aos usuários na Internet, podendo dar aos crackers o acesso às informações pessoais do usuário. De acordo com Steven Anderson, vice-presidente e underwriter senior, XL Group, os pesquisadores acreditam que a manipulação de históricos de busca dos usuários pode ser o próximo passo para os atacantes utilizarem recursos legítimos para ganhos ilegítimos.
7. Bring Your Own Device (BYOD). A maioria das organizações permite agora que os funcionários acessem dados da empresa via smartphones pessoais, faltando ainda protocolos de segurança adequados para proteger os dados, aumentando assim a exposição ao risco significativo de registros de pacientes. Essas considerações foram feitas por Robin Slade, coordenador de desenvolvimento, Medical Fraud Alliance Identity.
8. Ferramentas de compartilhamento de arquivos baseadas em nuvem. Armazenar arquivos e documentos sem criptografia pode colocar os dados em risco de perda ou vulneráveis a ações de crackers. Sendo assim, “as organizações devem tomar precauções ao usar serviços de compartilhamento de arquivos na nuvem para que eles não exponham informações confidenciais”, disse Larry Ponemon, presidente e fundador do Ponemon Institute.
9. LinkedIn Lurking. Se o seu perfil do LinkedIn contém as palavras “folha de pagamento”, “RH” ou “Finanças”, você pintou uma espécie de “bull’s eye” em sua volta para favorecer o spear phishing, mesmo que esses atos sejam involuntários. E não só isso: “o LinkedIn acaba oferecendo aos crackers os nomes de seus contatos mais próximos, pessoas cujos e-mails estão mais propensos a serem abertos.” Essas foram as considerações feitas por Winston Krone, diretor da Kivu Consulting.
10. O erro humano. Uma crescente maioria de violações ocorre devido a um erro humano no interior de uma organização; isso é reconhecido com base nas reivindicações feitas. As organizações devem estar se perguntando como as informações pessoalmente identificáveis estão sendo manuseadas, armazenadas, acessadas e quem é o principal responsável por protegê-las.
Além disso, uma organização deve ter as políticas adequadas, procedimentos e treinamento no local para construir a consciência em torno da importância de proteger esses dados. Essas práticas deve ocorrer em níveis de hierarquia a partir dos altos executivos explanando os bons exemplos para os demais, disse John Gambale, chefe de responsabilidade profissional nos EUA e Canadá para a AIG.
