I denne uge blev en afdeling af National Health Service (NHS) Skotland ramt af et cyberangreb, der potentielt forstyrrede tjenester og afslørede patient- og medarbejderdata. I mellemtiden afslørede en forsker en Salesforce-konfigurationsfejl, der afslørede millioner af irske borgeres COVID-vaccinationsdata fra landets Health Service Executive (HSE).
De to hændelser, adskilt af et hurtigt hop over Det Irske Hav, taler til det igangværende udfordringer sundhedsorganisationer står over for i at beskytte patienters mest følsomme personlige identificerbare oplysninger (PII) og personlige helbredsoplysninger (PHI).
Salesforce Bug i Irlands COVID-vaccinationsportal
Under begyndelsen af COVIDs Omicron-variant i december 2021 opdagede Aaron Costello, SaaS-sikkerhedsingeniør hos AppOmni, en alvorlig fejlkonfiguration i den Salesforce-baserede online-vaccinationsportal for Irlands HSE.
In et blogindlæg offentliggjort den 14. marts, forklarede han, hvordan et tilsyn tillod regelmæssige konti på lavt niveau tilhørende HSE-patienter hidtil uset adgang til den del af systemet, der var ansvarlig for lagring af oplysninger om vaccineadministration.
Det pågældende eksponerede objekt omfattede fulde navne på patienter og alle oplysninger vedrørende deres jabs: vaccinemærke, dato, placering og sted, hvor den blev administreret, og eventuelle grunde til, at de accepterede eller nægtede det.
Dokumenter tilhørende medarbejderne og information relateret til interne it-problemer og -processer blev også afsløret.
"For Salesforce-administratorer og sikkerhedsudøvere på SaaS-platforme var der en mangel på forståelse af implikationerne af forkert konfigurerede tilladelser," fortæller Costello til Dark Reading. "De var ikke helt klar over, at disse ting er mulige - at en lavprivilegeret bruger kunne trække disse data."
I tiden efter har Salesforce gradvist implementeret en række positive ændringer for at forhindre denne form for fejl og afbøde de konsekvenser, der måtte opstå deraf. En indbygget sundhedsscanner forsøger at afdække sådanne sårbarheder i kundernes miljøer, og mere robust logning giver administratorer mulighed for bedre at analysere brugernes aktivitet, især når de interagerer med potentielt følsomme API'er. Nye politikker og konfigurationer forsøger også at skjule følsomme oplysninger, selv i tilfælde, hvor de udsættes for fejlkonfigurationer.
"Så ikke kun har de forbedret processen efter brud på loganalyse, de har også introduceret måder, hvorpå administratorer nemt kan opdage disse problemer med sundhedsscanneren, og også reducere omfanget af eksponeringer ved at reducere omfanget af de data, der bliver tilgængelig i visse scenarier,” siger Costello.
Han advarer dog: "Der er mange organisationer, der stadig fejlkonfigurerer den slags adgangskontroller den dag i dag. Jeg tror stadig, der er et videnshul i branchen, og en del af spørgsmålet er: Hvem er ansvarlig for sikkerhed for SaaS-platforme? Er det platformsadministratorerne? Trækker du dit sikkerhedsteam ind, når disse ting bliver implementeret for at foretage en revision?"
Skotlands NHS Breach
Også i denne uge, NHS Dumfries og Galloway offentliggjort en advarsel afsløre, at den oplever et "fokuseret og igangværende" cyberangreb.
Dumfries og Galloway er det sydligste kommuneområde i Skotland med en befolkning på cirka 150,000.
Som et resultat af bruddet, advarede den, at nogle tjenester kan opleve forstyrrelser, og angriberne kan have opnået "en betydelig mængde data" tilhørende patienter og personale. Mere specifikke detaljer om årsagen, arten og konsekvenserne af bruddet er endnu ikke offentliggjort.
Uanset om det er et brud i Skotland eller en overset systemfejlkonfiguration i Irland, siger Costello: "Jeg tror det hele vender tilbage til budget og finansiering. Og resultatet af det er for det første underbemanding til cybersikkerhedsstillinger i disse organisationer. Det er et massivt, massivt problem.
”Vi kan ikke kun pege fingeren på de ansatte i disse organisationer, når de arbejder under et meget begrænset budget og et meget begrænset antal ansatte. De gør deres bedste med de ressourcer, de har til rådighed for dem."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :har
- :er
- :ikke
- :hvor
- 000
- 150
- 2021
- 7
- a
- Aaron
- Om
- accepteret
- adgang
- Konti
- aktivitet
- administreret
- administration
- administratorer
- Alle
- tilladt
- tillader
- også
- an
- analyse
- analysere
- ,
- enhver
- API'er
- cirka
- ER
- OMRÅDE
- At
- forsøg
- Forsøg på
- revision
- til rådighed
- opmærksom på
- tilbage
- BE
- bliver
- være
- tilhører
- BEDSTE
- Bedre
- Blog
- brand
- brud
- Britiske
- budget
- Bug
- indbygget
- by
- CAN
- kan ikke
- tilfælde
- Årsag
- vis
- Ændringer
- Borgere
- CO
- skjule
- Konfiguration
- Konsekvenser
- kontrol
- kunne
- Rådet
- land
- Covid
- Kunder
- Cyber angreb
- Cybersecurity
- mørk
- Mørk læsning
- data
- Dato
- dag
- december
- December 2021
- indsat
- detaljer
- opdage
- opdaget
- Forstyrrelse
- Afdeling
- do
- gør
- nemt
- Medarbejder
- medarbejdere
- ingeniør
- miljøer
- fejl
- især
- Endog
- udøvende
- erfaring
- oplever
- forklarede
- udsat
- udstrækning
- finger
- fokuserede
- Til
- fra
- fuld
- kløft
- gradvist
- Have
- he
- antal ansatte
- Helse
- sundhedsinformation
- sundhedspleje
- Hvordan
- HTTPS
- i
- identificerbare
- implementeret
- implikationer
- forbedret
- in
- medtaget
- industrien
- oplysninger
- interaktion
- interne
- introduceret
- irland
- Irish
- spørgsmål
- spørgsmål
- IT
- jpg
- Venlig
- slags
- viden
- Mangel
- placering
- log
- logning
- Lot
- Marts
- massive
- Kan..
- I mellemtiden
- Medlemmer
- måske
- millioner
- formildende
- mere
- mest
- navne
- national
- Natur
- Ny
- NHS
- nummer
- objekt
- opnået
- forekomme
- of
- on
- igangværende
- online
- kun
- debut
- or
- organisationer
- i løbet af
- Tilsyn
- del
- patient
- patienter
- Tilladelser
- personale
- perron
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- politikker
- befolkning
- Portal
- positioner
- positiv
- mulig
- Indlæg
- potentielt
- forebyggelse
- Main
- Problem
- behandle
- Processer
- beskyttelse
- offentliggjort
- trækker
- mængde
- spørgsmål
- Hurtig
- RE
- Læsning
- årsager
- reducere
- reducere
- nægtede
- fast
- relaterede
- forsker
- Ressourcer
- ansvarlige
- begrænset
- resultere
- afslørende
- robust
- s
- SaaS
- salgsstyrke
- siger
- scenarier
- rækkevidde
- HAV
- sikkerhed
- følsom
- tjeneste
- Tjenester
- svær
- signifikant
- siden
- websted
- So
- Alene
- nogle
- tale
- specifikke
- Personale
- Stadig
- lagring
- sådan
- systemet
- hold
- fortæller
- at
- deres
- Them
- Der.
- Disse
- de
- ting
- tror
- denne
- denne uge
- tid
- til
- to
- afdække
- under
- forståelse
- uden fortilfælde
- Bruger
- brugere
- Vacciner
- Variant
- Ve
- meget
- Sårbarheder
- advarede
- advarer
- var
- måder
- we
- uge
- var
- varen
- hvornår
- som
- WHO
- med
- inden for
- arbejder
- endnu
- Du
- Din
- zephyrnet
