Minggu ini, sebuah divisi dari Layanan Kesehatan Nasional (NHS) Skotlandia dilanda serangan siber, yang berpotensi mengganggu layanan dan mengungkap data pasien dan karyawan. Sementara itu, seorang peneliti mengungkapkan kesalahan konfigurasi Salesforce yang mengungkap data vaksinasi COVID jutaan warga Irlandia dari Health Service Executive (HSE) negara tersebut.
Kedua insiden tersebut, yang dipisahkan oleh lompatan cepat di atas Laut Irlandia, menunjukkan apa yang sedang terjadi tantangan yang dihadapi organisasi layanan kesehatan dalam melindungi informasi identitas pribadi (PII) dan informasi kesehatan pribadi (PHI) pasien yang paling sensitif.
Bug Tenaga Penjualan di Portal Vaksinasi COVID Irlandia
Selama munculnya varian Omicron COVID pada bulan Desember 2021, Aaron Costello, insinyur keamanan utama SaaS di AppOmni, menemukan kesalahan konfigurasi yang parah di portal vaksinasi online berbasis Salesforce untuk HSE Irlandia.
In sebuah posting blog yang diterbitkan pada 14 Maret, dia menjelaskan bagaimana pengawasan memungkinkan akun reguler tingkat rendah milik pasien HSE mengakses bagian sistem yang bertanggung jawab untuk menyimpan informasi tentang pemberian vaksin yang belum pernah terjadi sebelumnya.
Objek yang dipaparkan tersebut mencakup nama lengkap pasien dan semua informasi terkait suntikan mereka: merek vaksin, tanggal, lokasi, dan tempat pemberiannya, serta alasan mereka menerima atau menolaknya.
Dokumen milik anggota staf, dan informasi terkait masalah dan proses TI internal, juga terungkap.
โBagi administrator Salesforce dan praktisi keamanan di platform SaaS, terdapat kurangnya pemahaman tentang implikasi dari izin yang salah dikonfigurasi,โ kata Costello kepada Dark Reading. โMereka tidak sepenuhnya menyadari bahwa hal-hal ini mungkin terjadi โ bahwa pengguna dengan hak istimewa rendah dapat mengambil data ini.โ
Sejak saat itu, Salesforce secara bertahap menerapkan sejumlah perubahan positif untuk mencegah kesalahan semacam ini dan mengurangi konsekuensi yang mungkin timbul darinya. Pemindai kesehatan internal berupaya mengungkap kerentanan tersebut di lingkungan pelanggan, dan logging yang lebih kuat memungkinkan administrator menganalisis aktivitas pengguna dengan lebih baik, terutama saat mereka berinteraksi dengan API yang berpotensi sensitif. Selain itu, kebijakan dan konfigurasi baru berupaya menyembunyikan informasi sensitif, bahkan jika informasi tersebut terekspos karena kesalahan konfigurasi.
โJadi mereka tidak hanya meningkatkan proses analisis log pasca-pelanggaran, mereka juga memperkenalkan cara di mana administrator dapat dengan mudah mendeteksi masalah ini dengan pemindai kesehatan, dan juga mengurangi tingkat paparan dengan mengurangi cakupan data yang menjadi tersedia dalam skenario tertentu,โ kata Costello.
Namun, ia memperingatkan, โMasih banyak organisasi yang salah mengonfigurasi kontrol akses semacam ini hingga saat ini. Saya masih berpendapat bahwa masih terdapat kesenjangan pengetahuan di industri ini, dan salah satu permasalahannya adalah: Siapa yang bertanggung jawab atas hal tersebut keamanan platform SaaS? Apakah itu administrator platform? Apakah Anda menarik tim keamanan Anda ketika hal-hal ini dikerahkan untuk melakukan audit?โ
Pelanggaran NHS Skotlandia
Juga minggu ini, NHS Dumfries dan Galloway menerbitkan peringatan mengungkapkan bahwa mereka sedang mengalami serangan siber yang โterfokus dan berkelanjutanโ.
Dumfries dan Galloway adalah wilayah dewan paling selatan di Skotlandia, dengan populasi sekitar 150,000 jiwa.
Sebagai akibat dari pelanggaran tersebut, mereka memperingatkan, beberapa layanan mungkin mengalami gangguan, dan penyerang mungkin telah memperoleh โsejumlah besar dataโ milik pasien dan staf. Rincian lebih spesifik tentang penyebab, sifat, dan konsekuensi pelanggaran tersebut belum dipublikasikan.
Entah itu pelanggaran di Skotlandia atau kesalahan konfigurasi sistem yang terabaikan di Irlandia, Costello berkata, โSaya rasa semuanya kembali ke anggaran dan pendanaan. Dampaknya adalah, pertama, kurangnya staf untuk posisi keamanan siber di organisasi-organisasi tersebut. Itu adalah masalah yang sangat besar.
โKita tidak bisa hanya menuding karyawan organisasi-organisasi ini ketika mereka bekerja dengan anggaran yang sangat terbatas dan jumlah karyawan yang sangat terbatas. Mereka melakukan yang terbaik dengan sumber daya yang mereka miliki.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :memiliki
- :adalah
- :bukan
- :Di mana
- 000
- 150
- 2021
- 7
- a
- Aaron
- Tentang Kami
- diterima
- mengakses
- Akun
- kegiatan
- diberikan
- administrasi
- administrator
- Semua
- diizinkan
- memungkinkan
- juga
- an
- analisis
- menganalisa
- dan
- Apa pun
- Lebah
- sekitar
- ADALAH
- DAERAH
- At
- usaha
- Mencoba
- Audit
- tersedia
- sadar
- kembali
- BE
- menjadi
- makhluk
- termasuk
- TERBAIK
- Lebih baik
- Blog
- merek
- pelanggaran
- Inggris
- anggaran belanja
- Bug
- built-in
- by
- CAN
- tidak bisa
- kasus
- Menyebabkan
- tertentu
- Perubahan
- Warga
- CO
- menyembunyikan
- konfigurasi
- Konsekuensi
- kontrol
- bisa
- Dewan
- negara
- Jelas
- pelanggan
- Serangan cyber
- Keamanan cyber
- gelap
- Bacaan gelap
- data
- Tanggal
- hari
- Desember
- Desember 2021
- dikerahkan
- rincian
- menemukan
- ditemukan
- Gangguan
- Divisi
- do
- melakukan
- mudah
- Karyawan
- karyawan
- insinyur
- lingkungan
- kesalahan
- terutama
- Bahkan
- eksekutif
- pengalaman
- mengalami
- menjelaskan
- terkena
- tingkat
- jari
- terfokus
- Untuk
- dari
- penuh
- celah
- bertahap
- Memiliki
- he
- jumlah pegawai
- Kesehatan
- Informasi kesehatan
- kesehatan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- i
- dapat diidentifikasi
- diimplementasikan
- implikasi
- ditingkatkan
- in
- termasuk
- industri
- informasi
- berinteraksi
- intern
- diperkenalkan
- Irlandia
- Irlandia
- isu
- masalah
- IT
- jpg
- Jenis
- jenis
- pengetahuan
- Kekurangan
- tempat
- mencatat
- penebangan
- Lot
- March
- besar-besaran
- Mungkin..
- Sementara itu
- Anggota
- mungkin
- jutaan
- meringankan
- lebih
- paling
- nama
- nasional
- Alam
- New
- NHS
- jumlah
- obyek
- diperoleh
- terjadi
- of
- on
- terus-menerus
- secara online
- hanya
- serangan
- or
- organisasi
- lebih
- Kelalaian
- bagian
- pasien
- pasien
- Izin
- pribadi
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- Kebijakan
- populasi
- Portal
- posisi
- positif
- mungkin
- Pos
- berpotensi
- mencegah
- Utama
- Masalah
- proses
- proses
- melindungi
- diterbitkan
- menarik
- kuantitas
- pertanyaan
- Cepat
- RE
- Bacaan
- alasan
- menurunkan
- mengurangi
- menolak
- reguler
- terkait
- peneliti
- Sumber
- tanggung jawab
- terbatas
- mengakibatkan
- mengungkapkan
- kuat
- s
- SaaS
- tenaga penjualan
- mengatakan
- skenario
- cakupan
- SEA
- keamanan
- peka
- layanan
- Layanan
- parah
- penting
- sejak
- situs web
- So
- semata-mata
- beberapa
- berbicara
- tertentu
- Staf
- Masih
- menyimpan
- seperti itu
- sistem
- tim
- mengatakan
- bahwa
- Grafik
- mereka
- Mereka
- Sana.
- Ini
- mereka
- hal
- berpikir
- ini
- minggu ini
- waktu
- untuk
- dua
- menemukan
- bawah
- pemahaman
- belum pernah terjadi sebelumnya
- Pengguna
- Pengguna
- Vaksin
- Varian
- Ve
- sangat
- Kerentanan
- memperingatkan
- Peringatkan
- adalah
- cara
- we
- minggu
- adalah
- tidak
- ketika
- yang
- SIAPA
- dengan
- dalam
- kerja
- namun
- Kamu
- Anda
- zephyrnet.dll