Une violation du NHS et un bug HSE exposent les données de santé dans les îles britanniques

Cette semaine, une division du National Health Service (NHS) Scotland a été frappée par une cyberattaque, susceptible de perturber les services et d'exposer les données des patients et des employés. Pendant ce temps, un chercheur a révélé une erreur de configuration de Salesforce qui a exposé les données de vaccination contre le COVID de millions de citoyens irlandais provenant du Health Service Executive (HSE) de ce pays.

Les deux incidents, séparés par un saut rapide au-dessus de la mer d'Irlande, témoignent de la situation actuelle défis auxquels sont confrontés les organismes de santé dans la protection des informations personnelles identifiables (PII) et des informations personnelles de santé (PHI) les plus sensibles des patients.

Bug Salesforce dans le portail irlandais de vaccination contre le COVID

Lors de l'apparition de la variante Omicron de COVID en décembre 2021, Aaron Costello, ingénieur principal en sécurité SaaS chez AppOmni, a découvert une grave mauvaise configuration dans le portail de vaccination en ligne basé sur Salesforce pour le HSE irlandais.

In un article de blog publié le 14 mars, il a expliqué comment une surveillance a permis aux comptes réguliers de bas niveau appartenant aux patients HSE d'accéder sans précédent à la partie du système responsable du stockage des informations sur l'administration des vaccins.

L’objet exposé en question comprenait les noms complets des patients et toutes les informations relatives à leurs vaccins : la marque du vaccin, la date, le lieu et le site où il a été administré, ainsi que les raisons pour lesquelles ils l’ont accepté ou refusé.

Des documents appartenant à des membres du personnel et des informations relatives aux problèmes et processus informatiques internes ont également été exposés.

« Pour les administrateurs Salesforce et les praticiens de la sécurité sur les plates-formes SaaS, il y avait un manque de compréhension des implications d'autorisations mal configurées », explique Costello à Dark Reading. "Ils n'étaient pas vraiment conscients que ces choses étaient possibles, qu'un utilisateur peu privilégié pouvait extraire ces données."

Depuis, Salesforce a progressivement mis en œuvre un certain nombre de changements positifs pour éviter ce type d’erreur et atténuer les conséquences qui pourraient en découler. Un scanner de santé intégré tente de découvrir de telles vulnérabilités dans les environnements des clients, et une journalisation plus robuste permet aux administrateurs de mieux analyser l'activité des utilisateurs, en particulier lorsqu'ils interagissent avec des API potentiellement sensibles. En outre, les nouvelles politiques et configurations tentent de dissimuler les informations sensibles, même dans les cas où elles sont exposées à cause de mauvaises configurations.

« Ainsi, non seulement ils ont amélioré le processus d'analyse des journaux après une violation, mais ils ont également introduit des moyens permettant aux administrateurs de détecter facilement ces problèmes avec le scanner d'intégrité, et également de réduire l'étendue des expositions en réduisant la portée des données qui devient disponible dans certains scénarios », explique Costello.

Cependant, prévient-il : « De nombreuses organisations continuent encore aujourd’hui à mal configurer ce type de contrôle d’accès. Je continue de penser qu'il existe un manque de connaissances dans l'industrie, et une partie du problème est la suivante : qui est responsable du sécurité des plateformes SaaS? Est-ce les administrateurs de la plateforme ? Faites-vous appel à votre équipe de sécurité lorsque ces éléments sont déployés pour effectuer un audit ? »

Violation du NHS en Écosse

Cette semaine également, NHS Dumfries et Galloway a publié une alerte révélant qu’il subit une cyberattaque « ciblée et continue ».

Dumfries et Galloway sont la commune la plus méridionale de l'Écosse, avec une population d'environ 150,000 XNUMX habitants.

En raison de cette violation, prévient-il, certains services pourraient subir des perturbations et les attaquants pourraient avoir obtenu « une quantité importante de données » appartenant aux patients et au personnel. Des détails plus précis sur la cause, la nature et les conséquences de la violation n'ont pas encore été rendus publics.

Qu'il s'agisse d'une brèche en Écosse ou d'une mauvaise configuration du système négligée en Irlande, Costello déclare : « Je pense que tout cela revient au budget et au financement. Et le résultat de cela est, premièrement, un manque de personnel pour les postes de cybersécurité au sein de ces organisations. C’est un problème énorme, énorme.

« On ne peut pas pointer du doigt uniquement les salariés de ces organisations alors qu'ils travaillent avec un budget et des effectifs très restreints. Ils font de leur mieux avec les ressources dont ils disposent. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles