Tällä viikolla Skotlannin kansallisen terveyspalvelun (NHS) jaosto joutui kyberhyökkäykseen, joka saattaa häiritä palveluita ja paljastaa potilaiden ja työntekijöiden tiedot. Sillä välin tutkija paljasti Salesforcen määritysvirheen, joka paljasti miljoonien Irlannin kansalaisten COVID-rokotustiedot kyseisen maan terveyspalvelujohtajalta (HSE).
Nämä kaksi tapausta, joita erottaa nopea hyppy Irlanninmeren yli, puhuvat meneillään olevasta terveydenhuoltoorganisaatioiden kohtaamat haasteet suojella potilaiden arkaluontoisia henkilökohtaisia tunnistetietoja (PII) ja henkilökohtaisia terveystietoja (PHI).
Salesforce Bug Irlannin COVID-rokotusportaalissa
COVIDin Omicron-variantin ilmestyessä joulukuussa 2021 AppOmnin SaaS-tietoturvainsinööri Aaron Costello havaitsi vakavan virheen Irlannin HSE:n Salesforce-pohjaisessa online-rokotusportaalissa.
In maaliskuun 14. päivänä julkaistu blogikirjoitus, hän selitti, kuinka valvonta mahdollisti HSE-potilaille kuuluvien tavallisten, matalan tason tilien ennennäkemättömän pääsyn järjestelmän osaan, joka vastaa rokotteen antamista koskevien tietojen tallentamisesta.
Kyseinen alttiina esine sisälsi potilaiden täydelliset nimet ja kaikki tiedot, jotka liittyvät heidän töihinsä: rokotteen merkki, päivämäärä, sijainti ja paikka, jossa se annettiin, sekä syyt, miksi he hyväksyivät tai kieltäytyivät.
Myös henkilökunnalle kuuluvia asiakirjoja sekä sisäisiin IT-asioihin ja prosesseihin liittyviä tietoja paljastettiin.
"SaaS-alustojen Salesforce-järjestelmänvalvojien ja tietoturva-alan ammattilaisten ymmärrys väärin määritettyjen käyttöoikeuksien vaikutuksista puuttui", Costello kertoo Dark Readingille. "He eivät olleet tarkkaan tietoisia siitä, että nämä asiat ovat mahdollisia - että heikommassa asemassa oleva käyttäjä voisi saada nämä tiedot."
Sen jälkeen Salesforce on vähitellen toteuttanut useita myönteisiä muutoksia estääkseen tämäntyyppisiä virheitä ja lieventääkseen niistä mahdollisesti aiheutuvia seurauksia. Sisäänrakennettu terveystarkistus yrittää paljastaa tällaisia haavoittuvuuksia asiakkaiden ympäristöissä, ja tehokkaamman kirjauksen ansiosta järjestelmänvalvojat voivat paremmin analysoida käyttäjien toimintaa, varsinkin kun he ovat vuorovaikutuksessa mahdollisesti arkaluonteisten sovellusliittymien kanssa. Uudet käytännöt ja määritykset yrittävät myös piilottaa arkaluontoisia tietoja, vaikka ne paljastuvat virheellisten määritysten vuoksi.
"Joten he eivät ole vain parantaneet loukkauksen jälkeistä lokianalyysin prosessia, he ovat myös ottaneet käyttöön tapoja, joilla järjestelmänvalvojat voivat helposti havaita nämä ongelmat terveysskannerin avulla ja myös vähentää altistumisen laajuutta vähentämällä niiden tietojen laajuutta, jotka tulee saataville tietyissä skenaarioissa”, Costello sanoo.
Hän kuitenkin varoittaa: "Monet organisaatiot määrittävät väärin tällaisia kulunvalvontaa tähän päivään asti. Olen edelleen sitä mieltä, että alalla on tietovaje, ja osa ongelmaa on: Kuka on vastuussa SaaS-alustojen turvallisuus? Onko se alustan ylläpitäjät? Hyödynnätkö turvatiimisi, kun näitä asioita käytetään suorittamaan auditointia?
Skotlannin NHS-rikkomus
Myös tällä viikolla NHS Dumfries ja Galloway julkaisi ilmoituksen paljastaa, että se on kokemassa "kohdistettua ja jatkuvaa" kyberhyökkäystä.
Dumfries ja Galloway on Skotlannin eteläisin valtuustoalue, jonka väkiluku on noin 150,000 XNUMX.
Rikkomisen seurauksena se varoitti, että joissakin palveluissa saattaa esiintyä häiriöitä ja hyökkääjät ovat saaneet hankkia "merkittävän määrän tietoja", jotka kuuluvat potilaille ja henkilökunnalle. Tarkempia tietoja rikkomisen syystä, luonteesta ja seurauksista ei ole vielä julkistettu.
Olipa kyseessä rikkomus Skotlannissa tai huomiotta jätetty järjestelmävirhe Irlannissa, Costello sanoo: "Minusta kaikki palaa budjettiin ja rahoitukseen. Ja sen seurauksena on ensinnäkin kyseisten organisaatioiden kyberturvallisuustehtävien vajaahenkilöstö. Se on valtava, massiivinen ongelma.
”Emme voi osoittaa sormella vain näiden organisaatioiden työntekijöitä, kun he työskentelevät hyvin rajallisella budjetilla ja hyvin rajoitetulla henkilöstömäärällä. He tekevät parhaansa käytettävissään olevilla resursseilla."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :on
- :On
- :ei
- :missä
- 000
- 150
- 2021
- 7
- a
- Aaron
- Meistä
- hyväksytty
- pääsy
- Tilit
- toiminta
- annettuna
- hallinto
- ylläpitäjät
- Kaikki
- sallittu
- mahdollistaa
- Myös
- an
- analyysi
- analysoida
- ja
- Kaikki
- API
- suunnilleen
- OVAT
- ALUE
- At
- yritys
- yrityksiä
- tilintarkastus
- saatavissa
- tietoinen
- takaisin
- BE
- tulee
- ovat
- kuuluvat
- PARAS
- Paremmin
- Blogi
- merkki
- rikkominen
- Brittiläinen
- talousarvio
- Vika
- sisäänrakennettu
- by
- CAN
- ei voi
- tapauksissa
- Aiheuttaa
- tietty
- Muutokset
- Kansalaiset
- CO
- salata
- Konfigurointi
- Seuraukset
- valvonta
- voisi
- neuvosto
- maa
- Covidien
- Asiakkaat
- Kyberhyökkäys
- tietoverkkojen
- tumma
- Pimeää luettavaa
- tiedot
- Päivämäärä
- päivä
- joulukuu
- joulukuu 2021
- käyttöön
- yksityiskohdat
- havaita
- löysi
- Häiriö
- Divisioona
- do
- tekee
- helposti
- Työntekijä
- työntekijää
- insinööri
- ympäristöissä
- virhe
- erityisesti
- Jopa
- johtaja
- experience
- kokevat
- selitti
- avoin
- laajuus
- sormi
- keskityttiin
- varten
- alkaen
- koko
- kuilu
- vähitellen
- Olla
- he
- pääluku
- terveys
- terveystiedot
- terveydenhuollon
- Miten
- HTTPS
- i
- tunnistettavissa
- täytäntöön
- vaikutukset
- parani
- in
- mukana
- teollisuus
- tiedot
- vuorovaikutuksessa
- sisäinen
- käyttöön
- Irlanti
- irlantilainen
- kysymys
- kysymykset
- IT
- jpg
- laji
- erilaisia
- tuntemus
- Lack
- sijainti
- log
- hakkuu
- Erä
- maaliskuu
- massiivinen
- Saattaa..
- Sillä välin
- Jäsenet
- ehkä
- miljoonia
- lieventävä
- lisää
- eniten
- nimet
- kansallinen
- luonto
- Uusi
- NHS
- numero
- objekti
- saatu
- tapahtua
- of
- on
- jatkuva
- verkossa
- vain
- puhkeaminen
- or
- organisaatioiden
- yli
- erehdys
- osa
- potilas
- potilaat
- Oikeudet
- henkilöstö
- foorumi
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- politiikkaa
- väestö
- Portal
- kantoja
- positiivinen
- mahdollinen
- Kirje
- mahdollisesti
- estää
- Pääasiallinen
- Ongelma
- prosessi
- Prosessit
- suojella
- julkaistu
- vetämällä
- määrä
- kysymys
- nopea
- RE
- Lukeminen
- syistä
- vähentää
- vähentämällä
- kieltäytyi
- säännöllinen
- liittyvä
- tutkija
- Esittelymateriaalit
- vastuullinen
- rajoitettu
- johtua
- paljastava
- luja
- s
- SaaS
- Salesforce
- sanoo
- skenaariot
- laajuus
- SEA
- turvallisuus
- sensible
- palvelu
- Palvelut
- vaikea
- merkittävä
- koska
- paikka
- So
- Yksin
- jonkin verran
- puhua
- erityinen
- Henkilöstö
- Yhä
- tallentamiseksi
- niin
- järjestelmä
- joukkue-
- kertoo
- että
- -
- heidän
- Niitä
- Siellä.
- Nämä
- ne
- asiat
- ajatella
- tätä
- tällä viikolla
- aika
- että
- kaksi
- paljastaa
- varten
- ymmärtäminen
- ennennäkemätön
- käyttäjä
- Käyttäjät
- Rokote
- variantti
- Ve
- hyvin
- haavoittuvuuksia
- varoitti
- varoittaa
- oli
- tavalla
- we
- viikko
- olivat
- eivät olleet
- kun
- joka
- KUKA
- with
- sisällä
- työskentely
- vielä
- Voit
- Sinun
- zephyrnet
