Tecnologia

Os dados roubados do cliente do Anthem não são criptografados

A seguradora de saúde Anthem diz que o banco de dados hackeado contendo as informações pessoais de 80 milhões de pessoas não foi criptografado. Mas aqui está o problema: a empresa não era obrigada a fazê-lo.

Na quarta-feira, Anthem revelou que havia sido atingido por hackers que invadiram servidores e roubou as informações pessoais de até 80 milhões de membros e funcionários atuais e antigos. O CEO da empresa, Joseph Swedish, disse que este ' ciberataque externo muito sofisticado ' obteve acesso a nomes, datas de nascimento, IDs de membros, números de seguro social, endereços, números de telefone, endereços de e-mail e informações de emprego. No entanto, nenhuma evidência surgiu de que cartão de crédito ou registros médicos foram comprometidos.

As empresas que seguem uma política de segurança sólida normalmente criptografam determinados dados de clientes armazenados em seus servidores. Criptografar os dados torna mais difícil, mas não impossível, para os hackers visualizarem ou venderem as informações que roubaram. Mas Anthem não seguiu essas diretrizes a esse respeito. Por que não?

Sob a federação Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA), as seguradoras de saúde não são obrigadas a criptografar os dados armazenados em seus servidores. A decisão da HIPAA recomenda o uso de criptografia se a seguradora de saúde acreditar que é uma medida apropriada para mitigar o risco. Mas a falta de um requisito específico essencialmente deixa a cada empresa decidir como proteger seus dados.



A porta-voz da Anthem, Kristin Binns, disse ao The Wall Street Journal que a empresa criptografa dados pessoais quando são movidos para dentro ou para fora do banco de dados, mas não quando são armazenados , uma prática que ela disse ser comum na indústria.

“Usamos outras medidas, incluindo credenciais de usuário elevadas, para limitar o acesso aos dados quando eles residem em um banco de dados”, acrescentou Binns.

Criptografar os dados os protegeria melhor, mas isso também representaria um desafio para a seguradora de saúde. Especificamente, a criptografia tornaria mais difícil para os funcionários da Anthem rastrear tendências de saúde ou compartilhar dados com prestadores de serviços de saúde e governo estadual, 'uma pessoa familiarizada com o assunto' disse ao Journal.

No entanto, a criptografia dos dados impediria que os dados fossem roubados? Não, diz um porta-voz da Anthem.

'A base de dados do Anthem foi acessada depois de contornar nossos protocolos de segurança', disse o porta-voz à CNET. 'Como as credenciais de um administrador foram comprometidas, a criptografia adicional não teria frustrado o ataque.'

Portanto, se a criptografia por si só nem sempre pode impedir o roubo de dados, as empresas enfrentam um desafio ainda maior de garantir que todas as medidas de segurança possíveis sejam implementadas. Mas enfrentamos um mundo em que os hackers costumam ser mais espertos e astutos do que os profissionais de segurança que precisam proteger os dados dos clientes.

Em um artigo publicado na Ars Technica, Steven Bellovin, professor do departamento de ciência da computação da Universidade de Columbia, disse que bancos de dados confidenciais estão sempre em uso , o que significa que eles estão sendo continuamente descriptografados. Isso também significa que a chave de criptografia está disponível na memória ou em outro lugar para hackers experientes apreenderem. O problema está mais em como o acesso ao banco de dados é controlado, argumentou Bellovin.

'Proteger grandes bancos de dados como o de Anthem é um desafio', disse Bellovin. 'Precisamos de melhor segurança de software, e precisamos de melhores ferramentas estruturais para isolar os dados realmente sensíveis de máquinas comuns e mal protegidas. Pode até haver um papel para a criptografia, mas simplesmente criptografar os números do Seguro Social não vai fazer muito. '

O ataque contra Anthem desencadeou uma investigação por vários estados dos EUA , informou a Reuters na sexta-feira. Procuradores-gerais de Connecticut, Illinois, Massachusetts, Arkansas e Carolina do Norte estão agora investigando o assunto. Procurador-Geral de Connecticut George Jepsen já solicitou que Hino fornece detalhes sobre suas medidas de segurança, os eventos que levaram à descoberta do hack e as medidas que a empresa está tomando para garantir que esse tipo de ataque não aconteça novamente.

O FBI está investigando a possibilidade de que o ataque veio do exterior, possivelmente da China , disseram fontes à CBS News. Na quarta-feira, o FBI confirmou que está investigando o hack, mas não revelou nenhum suspeito específico.

'Quanto à China estar envolvida, eu não sei', disse o porta-voz do FBI Paul Bresson à Reuters. 'Acho que ainda não sabemos. Nossa investigação está em andamento.'

No entanto, na quinta-feira, os investigadores começaram a procurar um grupo na China. O hack usou malware e ferramentas que são usadas quase exclusivamente por ciberespiões chineses, disseram os investigadores ao jornal.