این هفته، یکی از بخشهای سرویس بهداشت ملی (NHS) اسکاتلند مورد حمله سایبری قرار گرفت که به طور بالقوه خدمات را مختل کرده و دادههای بیماران و کارمندان را افشا میکند. در همین حال، یک محقق یک خطای پیکربندی Salesforce را فاش کرد که دادههای واکسیناسیون میلیونها شهروند ایرلندی را از اداره خدمات بهداشتی آن کشور (HSE) در معرض دید قرار داد.
این دو حادثه، که با یک پرش سریع بر فراز دریای ایرلند از هم جدا شدهاند، در جریان است چالش هایی که سازمان های بهداشت و درمان با آن روبرو هستند در حفاظت از حساس ترین اطلاعات شناسایی شخصی (PII) و اطلاعات سلامت شخصی (PHI) بیماران.
اشکال Salesforce در پورتال واکسیناسیون کووید ایرلند
در طول شروع نوع Omicron COVID در دسامبر 2021، Aaron Costello، مهندس اصلی امنیت SaaS در AppOmni، پیکربندی نادرست شدیدی را در پورتال واکسیناسیون آنلاین مبتنی بر Salesforce برای HSE ایرلند کشف کرد.
In یک پست وبلاگ منتشر شده در 14 مارساو توضیح داد که چگونه یک نظارت به حسابهای معمولی و سطح پایین متعلق به بیماران HSE اجازه دسترسی بیسابقهای به بخشی از سیستم که مسئول ذخیرهسازی اطلاعات مربوط به تجویز واکسن است، میدهد.
شیء مورد بحث شامل نام کامل بیماران و تمام اطلاعات مربوط به جراحات آنها بود: نام تجاری واکسن، تاریخ، مکان، و محل تزریق و دلایلی که آنها آن را قبول یا رد کردند.
اسناد متعلق به کارکنان و اطلاعات مربوط به مسائل و فرآیندهای داخلی فناوری اطلاعات نیز افشا شد.
کاستلو به Dark Reading میگوید: «برای مدیران Salesforce و متخصصان امنیتی در پلتفرمهای SaaS، درک درستی از پیامدهای مجوزهای پیکربندی نادرست وجود داشت. "آنها کاملاً آگاه نبودند که این چیزها ممکن است - اینکه یک کاربر با امتیاز پایین می تواند این داده ها را بکشد."
پس از آن، Salesforce به تدریج تغییرات مثبتی را برای جلوگیری از این نوع خطا و کاهش عواقب ناشی از آن اعمال کرده است. یک اسکنر سلامت داخلی تلاش میکند تا چنین آسیبپذیریهایی را در محیطهای مشتریان کشف کند، و گزارشگیری قویتر به مدیران اجازه میدهد تا فعالیتهای کاربران را بهتر تجزیه و تحلیل کنند، بهویژه زمانی که آنها در حال تعامل با APIهای بالقوه حساس هستند. همچنین، سیاستها و پیکربندیهای جدید سعی میکنند اطلاعات حساس را پنهان کنند، حتی در مواردی که توسط پیکربندیهای نادرست افشا میشوند.
بنابراین، نه تنها فرآیند تجزیه و تحلیل گزارش پس از نقض را بهبود بخشیده اند، بلکه روش هایی را نیز معرفی کرده اند که در آن مدیران می توانند به راحتی این مسائل را با اسکنر سلامت تشخیص دهند، و همچنین با کاهش دامنه داده ها، میزان مواجهه را کاهش دهند. کاستلو می گوید: در سناریوهای خاصی در دسترس قرار می گیرد.
با این حال، او هشدار می دهد، «بسیاری از سازمان ها هنوز هم این نوع کنترل های دسترسی را تا به امروز به اشتباه پیکربندی می کنند. من هنوز فکر می کنم شکاف دانشی در صنعت وجود دارد، و بخشی از مسئله این است: چه کسی مسئول این صنعت است امنیت پلتفرم های SaaS? آیا این مدیران پلتفرم هستند؟ آیا وقتی این چیزها برای انجام ممیزی به کار گرفته می شوند، تیم امنیتی خود را جذب می کنید؟»
نقض NHS اسکاتلند
همچنین در این هفته، NHS Dumfries و Galloway هشداری منتشر کرد نشان می دهد که در حال تجربه یک حمله سایبری "متمرکز و مداوم" است.
دامفریز و گالووی جنوبی ترین ناحیه شورای اسکاتلند با جمعیتی حدود 150,000 نفر است.
هشدار داد که در نتیجه این نقض، برخی از خدمات ممکن است دچار اختلال شوند و مهاجمان ممکن است "مقدار قابل توجهی از داده ها" متعلق به بیماران و کارکنان را به دست آورده باشند. جزئیات بیشتر درباره علت، ماهیت و پیامدهای نقض هنوز منتشر نشده است.
کاستلو میگوید، خواه این یک نقض در اسکاتلند باشد یا یک پیکربندی نادرست سیستم در ایرلند، «من فکر میکنم همه چیز به بودجه و بودجه برمی گردد. و نتیجه آن، اولاً، کمبود نیرو برای پستهای امنیت سایبری در این سازمانها است. این یک مشکل بزرگ و عظیم است.
ما نمیتوانیم انگشت اتهام را صرفاً به سمت کارمندان این سازمانها بگیریم، زمانی که آنها با بودجه بسیار محدود و تعداد کارکنان بسیار محدود کار میکنند. آنها با منابعی که در اختیار دارند، بهترین کار را انجام می دهند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- : دارد
- :است
- :نه
- :جایی که
- 000
- 150
- 2021
- 7
- a
- آرون
- درباره ما
- پذیرفته
- دسترسی
- حساب ها
- فعالیت
- اداره
- حکومت
- مدیران
- معرفی
- مجاز
- اجازه می دهد تا
- همچنین
- an
- تحلیل
- تحلیل
- و
- هر
- رابط های برنامه کاربردی
- تقریبا
- هستند
- محدوده
- At
- کوشش
- تلاشها
- حسابرسی
- در دسترس
- مطلع
- به عقب
- BE
- شود
- بودن
- متعلق به
- بهترین
- بهتر
- بلاگ
- نام تجاری
- شکاف
- انگلیسی
- بودجه
- اشکال
- ساخته شده در
- by
- CAN
- نمی توان
- موارد
- علت
- معین
- تبادل
- شهروندان
- CO
- پنهان کردن، پوشاندن
- پیکر بندی
- عواقب
- گروه شاهد
- میتوانست
- شورا
- کشور
- کاوید
- مشتریان
- حمله سایبری
- امنیت سایبری
- تاریک
- تاریک خواندن
- داده ها
- تاریخ
- روز
- دسامبر
- دسامبر 2021
- مستقر
- جزئیات
- تشخیص
- کشف
- قطع
- بخش
- do
- عمل
- به آسانی
- کارمند
- کارکنان
- مهندس
- محیط
- خطا
- به خصوص
- حتی
- اجرایی
- تجربه
- تجربه
- توضیح داده شده
- قرار گرفتن در معرض
- حد
- انگشت
- متمرکز شده است
- برای
- از جانب
- کامل
- شکاف
- بتدریج
- آیا
- he
- سرشماری
- سلامتی
- اطلاعات سلامتی
- بهداشت و درمان
- چگونه
- HTTPS
- i
- قابل شناسایی
- اجرا
- پیامدهای
- بهبود یافته
- in
- مشمول
- صنعت
- اطلاعات
- تعامل
- داخلی
- معرفی
- ایرلند
- ایرلندی
- موضوع
- مسائل
- IT
- JPG
- نوع
- انواع
- دانش
- عدم
- محل
- ورود به سیستم
- ورود به سیستم
- خیلی
- مارس
- عظیم
- ممکن است..
- در ضمن
- اعضا
- قدرت
- میلیون ها نفر
- تسکین دهنده
- بیش
- اکثر
- نام
- ملی
- طبیعت
- جدید
- NHS
- عدد
- هدف
- به دست آمده
- رخ می دهد
- of
- on
- مداوم
- آنلاین
- فقط
- شروع
- or
- سازمان های
- روی
- نظارت
- بخش
- بیمار
- pacientes
- مجوز
- شخصی
- سکو
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاست
- جمعیت
- پورتال
- موقعیت
- مثبت
- ممکن
- پست
- بالقوه
- جلوگیری
- اصلی
- مشکل
- روند
- فرآیندهای
- حفاظت
- منتشر شده
- کشیدن
- مقدار
- سوال
- سریع
- RE
- مطالعه
- دلایل
- كاهش دادن
- کاهش
- رد
- منظم
- مربوط
- پژوهشگر
- منابع
- مسئوليت
- منحصر
- نتیجه
- آشکار
- تنومند
- s
- SAAS
- salesforce
- می گوید:
- سناریوها
- حوزه
- SEA
- تیم امنیت لاتاری
- حساس
- سرویس
- خدمات
- شدید
- قابل توجه
- پس از
- سایت
- So
- فقط
- برخی از
- سخن گفتن
- خاص
- کارکنان
- هنوز
- ذخیره سازی
- چنین
- سیستم
- تیم
- می گوید
- که
- La
- شان
- آنها
- آنجا.
- اینها
- آنها
- اشیاء
- فکر می کنم
- این
- این هفته
- زمان
- به
- دو
- برملا کردن
- زیر
- درک
- بی سابقه
- کاربر
- کاربران
- واکسن
- نوع دیگر
- Ve
- بسیار
- آسیب پذیری ها
- هشدار داد
- هشدارها
- بود
- راه
- we
- هفته
- بود
- بودند
- چه زمانی
- که
- WHO
- با
- در داخل
- کارگر
- هنوز
- شما
- شما
- زفیرنت