השבוע, חטיבה של שירות הבריאות הלאומי (NHS) סקוטלנד נפגעה ממתקפת סייבר, שעלולה לשבש שירותים ולחשוף נתוני חולים ועובדים. בינתיים, חוקר חשף שגיאת תצורה של Salesforce שחשפה מיליוני נתוני חיסוני נגיף הקורונה של אזרחים איריים ממנהל שירותי הבריאות של אותה מדינה (HSE).
שתי התקריות, מופרדות בקפיצה מהירה מעל הים האירי, מדברות עם המתמשכים אתגרים שעומדים בפני ארגוני בריאות בהגנה על המידע האישי המזהה (PII) והמידע הבריאותי האישי (PHI) הרגיש ביותר של החולים.
באג של Salesforce בפורטל החיסונים נגד COVID של אירלנד
במהלך תחילתה של גרסת Omicron של COVID בדצמבר 2021, אהרון קוסטלו, מהנדס אבטחה ראשי של SaaS ב-AppOmni, גילה תצורה שגויה חמורה בפורטל החיסונים המקוון המבוסס על Salesforce עבור HSE של אירלנד.
In פוסט בבלוג שפורסם ב-14 במרץ, הוא הסביר כיצד פיקוח אפשר לחשבונות רגילים ברמה נמוכה השייכים לחולי HSE גישה חסרת תקדים לחלק של המערכת האחראי על אחסון מידע על מתן חיסונים.
החפץ החשוף המדובר כלל שמות מלאים של מטופלים וכל מידע הקשור לתקיעה שלהם: מותג החיסון, תאריך, מיקום והאתר בו הוא ניתן, וכל הסיבות שקיבלו או סירבו לכך.
כמו כן, נחשפו מסמכים השייכים לאנשי הצוות ומידע הקשור לנושאי IT פנימיים ותהליכים.
"עבור מנהלי Salesforce ועוסקי אבטחה בפלטפורמות SaaS, היה חוסר הבנה של ההשלכות של הרשאות שגוויות", אומר קוסטלו ל-Dark Reading. "הם לא היו מודעים היטב לכך שהדברים האלה אפשריים - שמשתמש בעל זכויות נמוכה יכול למשוך את הנתונים האלה."
בזמן שחלפו מאז, Salesforce הטמיעה בהדרגה מספר שינויים חיוביים למניעת שגיאות מסוג זה והפחתת ההשלכות שעלולות להתרחש ממנה. סורק בריאות מובנה מנסה לחשוף נקודות תורפה כאלה בסביבות הלקוחות, ורישום חזק יותר מאפשר למנהלי מערכת לנתח טוב יותר את פעילות המשתמשים, במיוחד כאשר הם מקיימים אינטראקציה עם ממשקי API שעלולים להיות רגישים. כמו כן, מדיניות ותצורות חדשות מנסות להסתיר מידע רגיש, אפילו במקרים שבהם הם נחשפים בתצורות שגויות.
"אז הם לא רק שיפרו את התהליך שלאחר הפריצה של ניתוח יומנים, הם גם הציגו דרכים שבהן מנהלי מערכת יכולים לזהות בקלות את הבעיות הללו עם סורק הבריאות, וגם להפחית את היקף החשיפות על ידי צמצום היקף הנתונים הופך זמין בתרחישים מסוימים", אומר קוסטלו.
עם זאת, הוא מזהיר, "יש הרבה ארגונים שעדיין מבצעים תצורה שגויה של בקרות גישה כאלה עד עצם היום הזה. אני עדיין חושב שיש פער ידע בתעשייה, וחלק מהנושא הוא: מי אחראי על אבטחת פלטפורמות SaaS? האם זה מנהלי הפלטפורמה? האם אתה מושך את צוות האבטחה שלך כשהדברים האלה נפרסים כדי לבצע ביקורת?"
הפרת NHS של סקוטלנד
גם השבוע, NHS Dumfries and Galloway פרסם התראה חושף כי הוא חווה מתקפת סייבר "ממוקדת ומתמשכת".
דאמפריס וגאלווי הוא אזור המועצה הדרומי ביותר של סקוטלנד, עם אוכלוסייה של כ-150,000.
כתוצאה מההפרה, הוא הזהיר, חלק מהשירותים עלולים לחוות הפרעה, וייתכן שהתוקפים השיגו "כמות משמעותית של נתונים" השייכים למטופלים ולצוות. פרטים ספציפיים יותר על הסיבה, הטבע וההשלכות של ההפרה עדיין לא פורסמו.
בין אם מדובר בפרצה בסקוטלנד או בתצורה שגויה של המערכת באירלנד, קוסטלו אומר, "אני חושב שהכל חוזר לתקציב ולמימון. והתוצאה של זה היא, ראשית, תת איוש לתפקידי אבטחת סייבר בתוך הארגונים הללו. זו בעיה מסיבית ומסיבית.
"אנחנו לא יכולים להפנות את האצבע אך ורק לעובדים של הארגונים האלה כשהם עובדים תחת תקציב מוגבל מאוד ומספר עובדים מוגבל מאוד. הם עושים כמיטב יכולתם עם המשאבים העומדים לרשותם".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :יש ל
- :הוא
- :לֹא
- :איפה
- 000
- 150
- 2021
- 7
- a
- אהרון
- אודות
- מקובל
- גישה
- חשבונות
- פעילות
- מנוהל
- מנהל
- מנהלים
- תעשיות
- מותר
- מאפשר
- גם
- an
- אנליזה
- לנתח
- ו
- כל
- ממשקי API
- בערך
- ARE
- AREA
- At
- ניסיון
- ניסיונות
- בדיקה
- זמין
- מודע
- בחזרה
- BE
- הופך להיות
- להיות
- שייכות
- הטוב ביותר
- מוטב
- בלוג
- מותג
- הפרה
- בריטי
- תקציב
- חרק
- מובנה
- by
- CAN
- לא יכול
- מקרים
- לגרום
- מסוים
- שינויים
- אזרחים
- CO
- לְהַסתִיר
- תְצוּרָה
- השלכות
- בקרות
- יכול
- המועצה
- מדינה
- קוביד
- לקוחות
- התקפת סייבר
- אבטחת סייבר
- כהה
- קריאה אפלה
- נתונים
- תַאֲרִיך
- יְוֹם
- דֵצֶמבֶּר
- דצמבר 2021
- פרס
- פרטים
- לאתר
- גילה
- התפוררות
- חטיבה
- do
- עושה
- בקלות
- עובד
- עובדים
- מהנדס
- סביבות
- שגיאה
- במיוחד
- אֲפִילוּ
- מנהלים
- ניסיון
- התנסות
- מוסבר
- חשוף
- מידה
- אצבע
- מרוכז
- בעד
- החל מ-
- מלא
- פער
- בהדרגה
- יש
- he
- ספירת ראשים
- בְּרִיאוּת
- מידע בריא
- בריאות
- איך
- HTTPS
- i
- ניתן לזיהוי
- יושם
- השלכות
- משופר
- in
- כלול
- תעשייה
- מידע
- אינטראקציה
- פנימי
- הציג
- אירלנד
- אירי
- סוגיה
- בעיות
- IT
- jpg
- סוג
- סוגים
- ידע
- חוסר
- מיקום
- היכנס
- רישום
- מגרש
- צעדה
- מסיבי
- מאי..
- בינתיים
- להרשם/להתחבר
- יכול
- מיליונים
- מקלה
- יותר
- רוב
- שמות
- לאומי
- טבע
- חדש
- שירותי הבריאות
- מספר
- אובייקט
- מושג
- להתרחש
- of
- on
- מתמשך
- באינטרנט
- רק
- התחלתה
- or
- ארגונים
- יותר
- מֶחדָל
- חלק
- חולה
- חולים
- הרשאות
- אישי
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- מדיניות
- אוכלוסייה
- כניסה
- עמדות
- חיובי
- אפשרי
- הודעה
- פוטנציאל
- מניעה
- מנהל
- בעיה
- תהליך
- תהליכים
- אבטחה
- לאור
- מושך
- כמות
- שאלה
- מָהִיר
- RE
- קריאה
- סיבות
- להפחית
- הפחתה
- סירב
- רגיל
- קָשׁוּר
- חוקר
- משאבים
- אחראי
- מוגבל
- תוצאה
- חושף
- חָסוֹן
- s
- SaaS
- כוח מכירות
- אומר
- תרחישים
- היקף
- SEA
- אבטחה
- רגיש
- שרות
- שירותים
- קשה
- משמעותי
- since
- אתר
- So
- אך ורק
- כמה
- לדבר
- ספציפי
- סגל
- עוד
- אחסון
- כזה
- מערכת
- נבחרת
- אומר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דברים
- לחשוב
- זֶה
- השבוע
- זמן
- ל
- שתיים
- לגלות
- תחת
- הבנה
- חסר תקדים
- משתמש
- משתמשים
- תרכיב
- גִרְסָה אַחֶרֶת
- Ve
- מאוד
- פגיעויות
- מוזהר
- מזהיר
- היה
- דרכים
- we
- שבוע
- היו
- היו
- מתי
- אשר
- מי
- עם
- בתוך
- עובד
- עוד
- אתה
- זפירנט
