Cuidan de nuestra salud pero no de sus/nuestros datos

Por: Jose Quiñones (@josequinones)

Recientemente el Colegio de Médicos Cirujanos de PR (CMCPR), anunció públicamente que fue víctima de un escape de información la cual afectó a todos sus miembros.  No voy a entrar en todos los peligros que esto crea para las víctimas de este robo porque ya los medios discutieron esa parte y sabemos la amalgama de problemas que esto les creará.

Pero me preocupa que después del revuelto y de mucha especulación el CMCPR declaró que el robo de información fue cometido por un ente interno (“previa administración”).

Primero que todo hay que ser escéptico y no creer todo lo que nos dicen ya que ellos tienen que hacer “damage control” y hacer que sus miembros se sientan tranquilos. Cuando sospecharon que había problemas con sus bases de datos contrataron un bufete de abogados para crear “un informe de 220 páginas” en vez de contratar un experto forense digital  para realizar una verdadera investigación. Adicionalmente según los reportes indican que el FBI NO está investigando el caso lo que significa que una, varias o todas de estas posibilidades son ciertas:

#1 La investigación de parte del bufete de abogados contaminó tanto la evidencia que es imposible para el FBI investigarlo.

#2 Las medidas de seguridad de información tomadas previo al evento no fueron suficiente para levantar evidencia significativa y apoyar una investigación.

#3 La agencia (FBI) no ve méritos en la investigación y por tanto no la realiza.

Adicionalmente el hecho de referir la investigación de este incidente a las autoridades locales es un acto fútil ya que las agencias de ley y orden estatales NO cuentan con los recursos para realizar dicha investigación.  Eso lo vemos constantemente cuando se reportan casos a la Policía de PR, Justicia o Ética y la expresión en la cara de los investigadores a cargo te lo dice todo.

Pero esto esto prueba una vez más que la seguridad de información vas mucho más allá de instalar un antivirus  y ponerle contraseña a las computadoras.

Aquí vemos fallas en varios frentes:

Seguridad Física: Las probabilidades son que cualquier empleado y tal vez cualquier persona podía simplemente copiar la información en un disco USB, subirla a la nube (ej.Dropbox), enviar por correo electrónico o cualquier otro medio utilizado para filtrar los datos. O, como he visto en muchisimas ocaciones el servidor de los datos és la computadora de la secretaria u otro funcionario de la organización.

Clasificación de Datos: Pocas entidades toman la molestia de clasificar sus datos. La clasificación de datos facilita y permite definir quién tiene acceso a que, para así establecer medidas de seguridad efectivas para proteger lo mas importante de una organización, su información.

Seguridad en procesos: Si hubieran establecido controles y  procesos para el acceso a la información donde ésta fuera auditada constantemente, al menos hubieran podido dar con la filtración de forma mas rápida e identificar específicamente quien lo hizo.  

El CMCPR y los vendedores de software hablan de data cifrada pero la realidad es que no he visto muchos sistemas (y he visto muchos) que cifren los datos en descanso o sea en la base de datos o los archivos en el disco del equipo.  También utilizan protocol inseguros como FTP, HTTP o SMB para compartir los datos.  Lamentablemente los desarrolladores de software resuelven todos los problemas de acceso a la data dándole a los usuario privilegios de “Everyone – Full Control” y para los que no lo saben “Everyone” significa acceso anónimo sin autenticación y “Full Control” se explica solo.  Asi que imaginen “tanta seguridad”, pero al final del día los datos estan listos para ser tomados por cualquiera con dos dedos de frente y que sepa utilizar Google y Youtube para buscar como hacerlo.

Ahora vamos a lo que nos preocupa a nosotros … los mortales

Los que no somos víctima de este robo de datos también debemos preocuparnos.  Si la seguridad de información para su propia información es tan mala, como será la seguridad de la información nuestra que ellos (medicos) mantienen en sus bases de datos de facturación, archivo medico electronico o información contacto de los pacientes.  

Estoy cansado de ir a oficinas privadas de médicos y encontrar acceso inalámbrico abierto a las redes de sus oficinas, con equipos vulnerables a ataques conocidos o mal configurados.  Lo que permite que cualquiera pueda desde la comodidad de un auto, un pasillo u otro edificio penetrar sus redes y robar los datos sin forma de prevenirlo o de enterarse.

Si le preguntas al medico quien le da mantenimiento a su red usualmente lo hace:

#1. La compañía que le vende el software que contrata al tecnico mas económico que puede y su interes no es la seguridad si no que el software funcione y el cliente no los moleste con llamadas de servicio.

#2. El vecinito, sobrino, hijo u otro allegado con “conocimiento” en computadoras.  Estas personas no estan capacitados, no conocen las regulaciones o importancia de la seguridad de la información de estos sistemas.

#3 Un consultor independiente, GeekSquad u otra compañía de servicio.  Y de esto tambien muy pocos tienen el conocimiento en seguridad de informacion para hacer el trabajo de la forma correcta.

En instituciones más grandes como clínicas u hospitales vemos los puertos de red activos al descubierto constantemente y carritos medicos por los pasillos totalmente accesibles.  Cualquiera con malas intenciones puede acceder sus sistemas y robar los datos con facilidad.

Estas instituciones más grandes usualmente tiene personal mejor cualificado y mejores medidas de seguridad pero:

1# La gerencia o el supervisor NO promueven que el empleado se desarrolle estudiando temas de seguridad o se actualize en nuevas tecnologías.

#2 Cuando el empleado asume la responsabilidad de autodesarrollarse y necesita un día libre o tiempo para ir a un adiestramiento o estudiar NO se lo permiten.

#3 Contratan al empleado mas económico posible para realizar la tarea inmediata y no necesariamente al mejor preparado para apoyar el desarrollo de la organización.

#4 Nunca hay dinero para adquirir los equipos o software necesarios para apoyar al administrador de sistemas o tecnicos en su trabajo de proteger la información.

Yo espero que la clase médica aprenda de esto y tomen las medidas para proteger sus datos y los nuestros.  Que le pregunten a sus técnicos, consultores, proveedores de software  y administradores de redes/sistemas:

¿Los datos están cifrados? ¿En transito y en descanso?

¿La red inalámbrica está bien asegurada? ¿Es realmente necesario el uso de la misma? ¿Los equipos son vulnerables a ataques?

¿El acceso a los datos esta propiamente configurado? ¿Quién puede acceder que? ¿Bajo que condiciones?

¿Hay resguardo de los datos? ¿Como se hacen? ¿Donde se guardan? ¿Quien tiene acceso?

¿Tengo datos en la nube? ¿Quien puede accederlos?

Tambien hay que atender el lado tecnico del asunto y a las universidades con sus currículos y facultad obsoleta que no preparan a los estudiantes para atender temas tan importantes como lo es la seguridad de la información.

A los tecnicos, administradores, estudiantes, etc les digo:

… no permitan que las circunstancias los invaliden.

A los gerentes y supervisores le imploro:

… es mejor tener un empleado bien preparado y que se mantenga hábil en los temas de interes para la empresa que uno que sea un inepto.

Ustedes diran:  Que mal se ve esto!

Pero tengo que terminar con una nota positiva, en el último año en las reuniones de la comunidad de seguridad #init6 y en la convencion de hackers http://bsidespr.org he conocido muchas personas que si les interesa la seguridad de la información y espero que esto siga aumentando porque la realidad es que en PR NO hay suficientes profesionales preparados en el tema de seguridad de informacion y necesitamos mejorar.

 

JQ

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.