ব্রিটিশ দ্বীপপুঞ্জে এনএইচএস ব্রীচ, এইচএসই বাগ এক্সপোজ হেলথ কেয়ার ডেটা

ব্রিটিশ দ্বীপপুঞ্জে এনএইচএস ব্রীচ, এইচএসই বাগ এক্সপোজ হেলথ কেয়ার ডেটা

সময় স্ট্যাম্প: 15 মার্চ, 2024 4:37 অপরাহ্ন
এনএইচএস ব্রীচ, এইচএসই বাগ এক্সপোজ হেলথ কেয়ার ডেটা ইন ব্রিটিশ আইলস প্লেটোব্লকচেন ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.

এই সপ্তাহে, ন্যাশনাল হেলথ সার্ভিস (এনএইচএস) স্কটল্যান্ডের একটি বিভাগ সাইবার আক্রমণের শিকার হয়েছিল, সম্ভাব্যভাবে পরিষেবাগুলি ব্যাহত করে এবং রোগী এবং কর্মচারীদের ডেটা প্রকাশ করে। ইতিমধ্যে, একজন গবেষক সেলসফোর্স কনফিগারেশন ত্রুটি প্রকাশ করেছেন যা সেই দেশের স্বাস্থ্য পরিষেবা নির্বাহী (এইচএসই) থেকে লক্ষ লক্ষ আইরিশ নাগরিকের COVID টিকা দেওয়ার ডেটা প্রকাশ করেছে।

দুটি ঘটনা, আইরিশ সাগরের উপর একটি দ্রুত হপ দ্বারা পৃথক, চলমান কথা বলতে স্বাস্থ্যসেবা সংস্থাগুলির মুখোমুখি চ্যালেঞ্জ রোগীদের সবচেয়ে সংবেদনশীল ব্যক্তিগত শনাক্তযোগ্য তথ্য (PII) এবং ব্যক্তিগত স্বাস্থ্য তথ্য (PHI) সুরক্ষায়।

আয়ারল্যান্ডের কোভিড ভ্যাকসিনেশন পোর্টালে সেলসফোর্স বাগ

2021 সালের ডিসেম্বরে COVID-এর Omicron ভেরিয়েন্টের সূত্রপাতের সময়, AppOmni-এর প্রধান SaaS নিরাপত্তা প্রকৌশলী অ্যারন কস্টেলো আয়ারল্যান্ডের HSE-এর জন্য Salesforce-ভিত্তিক অনলাইন ভ্যাকসিনেশন পোর্টালে একটি গুরুতর ভুল কনফিগারেশন আবিষ্কার করেছিলেন।

In 14 মার্চ প্রকাশিত একটি ব্লগ পোস্ট, তিনি ব্যাখ্যা করেছিলেন যে কীভাবে একটি তদারকি নিয়মিত, নিম্ন-স্তরের এইচএসই রোগীদের অ্যাকাউন্টগুলিকে ভ্যাকসিন প্রশাসনের তথ্য সংরক্ষণের জন্য দায়ী সিস্টেমের অংশে অভূতপূর্ব অ্যাক্সেসের অনুমতি দেয়।

প্রশ্নে উন্মোচিত বস্তুর মধ্যে রোগীদের সম্পূর্ণ নাম এবং তাদের জ্যাব সম্পর্কিত সমস্ত তথ্য অন্তর্ভুক্ত ছিল: ভ্যাকসিনের ব্র্যান্ড, তারিখ, অবস্থান এবং সাইট যেখানে এটি পরিচালনা করা হয়েছিল এবং যে কোন কারণে তারা এটি গ্রহণ করেছে বা প্রত্যাখ্যান করেছে।

স্টাফ সদস্যদের সাথে সম্পর্কিত নথি এবং অভ্যন্তরীণ আইটি সমস্যা এবং প্রক্রিয়া সম্পর্কিত তথ্যও উন্মুক্ত করা হয়েছিল।

"সাস প্ল্যাটফর্মে সেলসফোর্স প্রশাসক এবং নিরাপত্তা অনুশীলনকারীদের জন্য, ভুল কনফিগার করা অনুমতিগুলির প্রভাব সম্পর্কে বোঝার অভাব ছিল," কস্টেলো ডার্ক রিডিংকে বলে৷ "তারা তীব্রভাবে সচেতন ছিল না যে এই জিনিসগুলি সম্ভব - যে একটি নিম্ন-সুবিধাপ্রাপ্ত ব্যবহারকারী এই ডেটা টানতে পারে।"

সেই সময় থেকে, সেলসফোর্স এই ধরনের ত্রুটি প্রতিরোধ করার জন্য এবং এর থেকে হতে পারে এমন পরিণতিগুলি প্রশমিত করার জন্য ধীরে ধীরে বেশ কয়েকটি ইতিবাচক পরিবর্তন বাস্তবায়ন করেছে। একটি অন্তর্নির্মিত স্বাস্থ্য স্ক্যানার গ্রাহকদের পরিবেশে এই ধরনের দুর্বলতাগুলি উন্মোচন করার চেষ্টা করে এবং আরও শক্তিশালী লগিং অ্যাডমিনিস্ট্রেটরদের ব্যবহারকারীদের কার্যকলাপকে আরও ভালভাবে বিশ্লেষণ করতে দেয়, বিশেষ করে যখন তারা সম্ভাব্য সংবেদনশীল APIগুলির সাথে ইন্টারঅ্যাক্ট করে। এছাড়াও, নতুন নীতি এবং কনফিগারেশনগুলি সংবেদনশীল তথ্য গোপন করার চেষ্টা করে, এমনকি এমন ক্ষেত্রেও যেখানে সেগুলি ভুল কনফিগারেশনের দ্বারা প্রকাশিত হয়৷

“সুতরাং তারা শুধুমাত্র লগ বিশ্লেষণের লঙ্ঘন-পরবর্তী প্রক্রিয়ার উন্নতিই করেনি, তারা এমন উপায়ও চালু করেছে যাতে অ্যাডমিনিস্ট্রেটররা সহজেই স্বাস্থ্য স্ক্যানার দিয়ে এই সমস্যাগুলি সনাক্ত করতে পারে এবং ডেটার সুযোগ কমিয়ে এক্সপোজারের পরিমাণও কমিয়ে দেয়। কিছু পরিস্থিতিতে পাওয়া যায়, "কস্টেলো বলেছেন।

যাইহোক, তিনি সতর্ক করেছেন, "এখনও অনেক সংস্থা এই ধরনের অ্যাক্সেস নিয়ন্ত্রণগুলিকে ভুল কনফিগার করছে। আমি এখনও মনে করি শিল্পে জ্ঞানের ব্যবধান রয়েছে এবং সমস্যাটির একটি অংশ হল: এর জন্য কে দায়ী SaaS প্ল্যাটফর্মের নিরাপত্তা? এটা কি প্ল্যাটফর্ম প্রশাসক? যখন এই জিনিসগুলি একটি অডিট করার জন্য মোতায়েন করা হচ্ছে তখন কি আপনি আপনার নিরাপত্তা দলকে টানবেন?"

স্কটল্যান্ডের এনএইচএস লঙ্ঘন

এছাড়াও এই সপ্তাহে, এনএইচএস ডামফ্রিজ এবং গ্যালোওয়ে একটি সতর্কতা প্রকাশ করেছে প্রকাশ করে যে এটি একটি "কেন্দ্রিক এবং চলমান" সাইবার আক্রমণের সম্মুখীন হচ্ছে।

ডামফ্রিজ এবং গ্যালোওয়ে হল স্কটল্যান্ডের দক্ষিণতম কাউন্সিল এলাকা, যার জনসংখ্যা প্রায় 150,000।

লঙ্ঘনের ফলস্বরূপ, এটি সতর্ক করেছে, কিছু পরিষেবা ব্যাহত হতে পারে এবং আক্রমণকারীরা রোগী এবং কর্মীদের "উল্লেখযোগ্য পরিমাণে ডেটা" পেয়ে থাকতে পারে। লঙ্ঘনের কারণ, প্রকৃতি এবং পরিণতি সম্পর্কে আরও নির্দিষ্ট বিবরণ এখনও প্রকাশ করা হয়নি।

এটি স্কটল্যান্ডে একটি লঙ্ঘন হোক বা আয়ারল্যান্ডে একটি উপেক্ষিত সিস্টেম ভুল কনফিগারেশন, কস্টেলো বলেছেন, "আমি মনে করি এটি সব বাজেট এবং তহবিল ফিরে আসে. এবং এর ফলাফল হল, প্রথমত, এই সংস্থাগুলির মধ্যে সাইবার নিরাপত্তা পদের জন্য কম কর্মী। এটি একটি বিশাল, ব্যাপক সমস্যা।

“আমরা শুধুমাত্র এই সংস্থার কর্মীদের দিকে আঙুল তুলতে পারি না যখন তারা খুব সীমাবদ্ধ বাজেট এবং খুব সীমাবদ্ধ হেডকাউন্টের অধীনে কাজ করছে। তারা তাদের জন্য উপলব্ধ সম্পদ দিয়ে তাদের সেরা কাজ করছে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া

সর্বশেষ অধিগ্রহণ ক্ষমতা এআই-ভিত্তিক নেটওয়ার্ক সনাক্তকরণ এবং প্রতিক্রিয়া এবং ওয়াচগার্ডের জন্য এক্সডিআর ক্ষমতা খুলুন

উত্স ক্লাস্টার:
উত্স নোড: 1893347
সময় স্ট্যাম্প: সেপ্টেম্বর 22, 2023