As 5 principais considerações de segurança cibernética para uploads de arquivos de registros de vacinação

Views: 307

À medida que os mandatos de vacinação se tornam mais comuns, os registros de imunização são cada vez mais necessários em todo o mundo. As organizações estão recorrendo ao espaço digital para fazer upload de imagens de cartões de registro COVID-19 como prova eletrônica de vacinação.

Ter um aplicativo da web para fazer upload de registros de comprovante de vacinação é uma faca de dois gumes. Quando implementadas corretamente, as aplicações web economizam muito tempo verificando as informações de saúde de todos. Mas os cartões de vacinação enviados a um portal on-line podem expor as organizações e seus dados de usuários a riscos cibernéticos.

Uploads de arquivos não garantidos em aplicativos da web podem potencialmente resultar em uma violação de dados, malware infiltrando-se na infraestrutura da organização, ransomware ou um ataque de dia zero. Na verdade, 82% das organizações relataram uma preocupação crescente com ataques de malware a partir de uploads de arquivos desde o ano passado.

Independentemente da sua posição sobre cartões e mandatos de vacinação, vamos revisar os riscos potenciais associados a partes externas fazendo upload de imagens e documentos em ambientes de aplicativos da web para gerenciamento contínuo.

Aqui estão cinco questões que você pode querer considerar:

1. Verificação da conformidade da vacinação

Seja uma decisão política regulatória ou local, as organizações estão exigindo que seus eleitores carreguem comprovante de vacinação para fornecer ou receber serviços, particularmente em cenários em que os indivíduos podem se encontrar perto de outras pessoas ou dentro de casa.

Dependendo do requisito, as organizações podem pedir aos membros que enviem prova de vacinação completa contra a COVID-19 ou, em alguns casos, mostrar um teste PCR negativo para COVID-19 ou um resultado negativo do teste rápido de um provedor legítimo de testes dentro de 72 horas antes da entrada.

Este caso de uso para carregar a prova de vacinação é impulsionado por requisitos cada vez mais exigentes:

Instituições educacionais

• A Ordem Executiva do Presidente Biden em 9 de setembro e as orientações relacionadas a garantir protocolos adequados de segurança contra a COVID-19 para empreiteiros federais exigem que funcionários de universidades públicas, incluindo estudantes e assistentes/associados de pós-graduação, carreguem comprovante de documentação completa de vacinação até 8 de dezembro de 2021, a menos que tenham recebido uma isenção religiosa ou médica.
• Protocolos de retorno ao campus para muitas universidades estão exigindo que estudantes e funcionários sejam totalmente vacinados contra a COVID-19, exigindo prova de vacinação através de duas doses da vacina Pfizer ou Moderna, ou uma dose da vacina Johnson & Johnson (Janssen) (Nota: a OMS listou vacinas adicionais para uso emergencial internacionalmente).

Hospitais e outros estabelecimentos de saúde

• Em 4 de novembro, o governo Biden declarou a COVID-19 como um perigo ocupacional e introduziu um novo mandato de vacinação que exigiria que cerca de 17 milhões de profissionais de saúde em 76 mil hospitais, lares de idosos e outras instalações de saúde fossem totalmente imunizados até 4 de janeiro de 2022.

Transporte e viagens

• A United Airlines exigiu que seus 67.000 pilotos, comissários de bordo e agentes de portão dos EUA fossem vacinados até 25 de outubro. Este é um dos mandatos mais rigorosos do setor.

Locais recreativos e de entretenimento, incluindo restaurantes, bares e tabernas

• Em locais como Nova York, São Francisco e Los Angeles, um teste de diagnóstico negativo não é mais um substituto válido da vacinação para participar de eventos internos e restaurantes, e muitas vezes a prova de vacinação é necessária como parte da compra de ingressos e admissão.

Nesses casos, cada organização fornece alguma forma de orientação para cumprir seus requisitos de vacinação e verificação de conformidade como pré-requisito para ajudar os membros da organização a seguir os procedimentos apropriados de upload de documentos.

2. Construindo um sistema de prova de vacinação

Dado o cenário digital de hoje, a mecânica de upload de arquivos para portais é muitas vezes uma extensão dos aplicativos existentes com três componentes-chave: o front-end, o back-end e o elemento humano – os usuários administrativos revisando as evidências internas à organização.

• Front-end: Aplicativos móveis e aplicativos de navegador da web surgiram rapidamente para suportar Autoavaliações de Saúde e uploads de documentos para uma variedade de recursos humanos e sistemas de gerenciamento de saúde. Em muitos casos, é tão simples quanto baixar o aplicativo, fazer login, tirar uma foto do seu cartão de vacinação e fazer o upload para o site aplicável.
• Back-end: Uma infraestrutura completa de aplicativos da web é necessária para suportar esse processo, seja um ambiente de aplicativos personalizado ou um aplicativo SaaS que suporte um nível de personalização adaptado a preenchimentos de formulários específicos e critérios de upload de arquivos. A infraestrutura de back-end também deve suportar requisitos de armazenamento e segurança de upload de arquivos. Do ponto de vista da segurança, isso deve incluir um componente de segurança de upload de arquivos que forneça recursos de varredura para detectar malware conhecido e ameaças emergentes, bem como tecnologias de desarme e reconstrução de conteúdo (CDR) que removam elementos perigosos dos arquivos e lhes permitam prosseguir com segurança através dos fluxos de trabalho de prova de vacinação existentes.
• Elemento humano: Os usuários administrativos, associados às equipes de Avaliação de Saúde, geralmente são responsáveis por revisar manualmente a documentação de vacinação durante dois a quatro dias úteis para garantir a conformidade. Isso representa talvez um dos elos mais fracos neste processo. Sem as verificações de segurança ou integridade necessárias desses arquivos de terceiros enviados, os usuários administrativos abrem arquivos que podem inadvertidamente executar malware em potencial em sua infraestrutura de negócios.

3. Surgimento de cartões falsos de vacina contra a COVID-19

A venda de cartões fraudulentos de vacinação contra a COVID-19 está crescendo à medida que os indivíduos procuram contornar os requisitos de vacinação.

O mercado negro começou a florescer meses depois que autoridades internacionais alertaram o mundo para se preparar para crimes organizados que visam as vacinas contra a COVID-19. Em Memphis, as autoridades apreenderam mais de 120 pacotes de cartões falsificados importados da China em agosto. Em um cenário diferente, dois viajantes foram presos por supostamente usar cartões de vacinação falsificados para viajar para o Havaí.

Usar cartões de vacinação falsificados não é apenas ilegal—também expõe identidades a riscos, pois os golpistas terão as informações pessoais das vítimas-alvo. Depois que os cibercriminosos apreenderem os dados confidenciais da sua organização ou constituintes, eles poderão lucrar às suas custas: fazer transações fraudulentas, obter acesso a outras contas ou manter os dados como reféns até que um resgate seja pago.

Atores de ameaças de alta tecnologia também podem injetar malware nas imagens dos cartões de vacinação inserindo um código malicioso no script da imagem. Depois que a vítima baixar e abrir a imagem, ela também acionará e iniciará o malware, disseminando conteúdo malicioso no sistema da sua organização.

4. Informações privadas e prevenção de perda de dados

Pedir prova de vacinação também vem com a responsabilidade de proteger os dados de informações de identificação pessoal (PII) nesses cartões. Seu cartão de registro contém informações confidenciais, como seu nome e sobrenome, data de nascimento e número do seu registro médico.

Organizações com um aplicativo da web para fazer upload de cartões de vacinação podem proteger os dados de PII reforçando os recursos de prevenção de perda de dados (DLP). O DLP é eficaz em mitigar riscos de terceiros, ajudando a evitar violações de dados e minimizando o risco de violações de conformidade. Para imagens digitais como cartões de vacinação contra COVID-19, as soluções DLP que incorporam Reconhecimento Óptico de Caracteres (OCR) podem reconhecer, detectar e redigir os dados confidenciais nas imagens.

5. Integração em ambientes existentes

As empresas geralmente dependem de ferramentas de software on-line de terceiros para upload de formulários ou rastreamento do status de vacinação dos funcionários. Por exemplo, os Sistemas de Gerenciamento de Funcionários ou Recursos Humanos (HRMS), como Oracle PeopleSoft, Workday e dezenas de outros provedores SaaS, geralmente servem como o principal aplicativo para hospedar dados sobre funcionários e suas avaliações de saúde.

Esses aplicativos externos podem exigir integrações a outros aplicativos da web para facilitar os uploads de provas de vacinação para o ambiente existente, o que significa que eles precisam de uma camada de proteção para proteger contra possíveis ameaças, como malware avançado, ataques de dia zero ou violações de dados. Sempre que um software está sendo desenvolvido, particularmente voltado para o exterior, ele deve atender aos rigorosos requisitos de segurança do ciclo de vida de desenvolvimento de software (SDLC) e dos aplicativos DevSecOps antes de entrar em produção.

Construindo forte segurança para uploads de arquivos

A falta de um processo de segurança cibernética apropriado ao permitir uploads de arquivos em portais de aplicativos da web pode resultar em ataques às infraestruturas da organização, ataques ao usuário e interrupção do serviço. A boa notícia é que as organizações podem tomar medidas preventivas para mitigar ataques de upload de arquivos.

Aqui estão 10 melhores práticas que recomendamos:

• Autentique usuários antes de fazer upload de qualquer arquivo
• Permitir apenas tipos de arquivo específicos
• Verifique os tipos de arquivo além de restringir os tipos de arquivo aceitos
• Defina um comprimento máximo de nome e tamanho máximo de arquivo
• Use mensagens de erro simples para que os usuários possam mudar seus comportamentos
• Verifique se há vulnerabilidades nos arquivos
• Procure malware em todos os arquivos
• Remova possíveis ameaças incorporadas, por exemplo, scripts e macros ocultos que nem sempre são detectados por mecanismos antimalware
• Randomize os nomes dos arquivos enviados para que os invasores não possam tentar acessar o arquivo
• Armazene arquivos enviados fora da pasta raiz da web

FONTE: HELPNET SECURITY