今週、スコットランド国民保健サービス (NHS) の一部門がサイバー攻撃を受け、サービスが中断され、患者と従業員のデータが流出する可能性がありました。一方、ある研究者は、アイルランド保健局(HSE)から数百万人のアイルランド国民の新型コロナウイルスワクチン接種データを漏洩させたSalesforceの設定エラーを明らかにした。
アイリッシュ海を素早く飛び越えた2つの事件は、進行中の問題を物語っている。 医療機関が直面する課題 患者の最も機密性の高い個人を特定できる情報 (PII) と個人の健康情報 (PHI) を保護します。
アイルランドの新型コロナウイルスワクチン接種ポータルにおける Salesforce のバグ
2021年XNUMX月に新型コロナウイルスのOmicron亜種が発生した際、AppOmni社のプリンシパルSaaSセキュリティエンジニアであるアーロン・コステロ氏は、アイルランドのHSE向けSalesforceベースのオンラインワクチン接種ポータルに重大な設定ミスがあることを発見した。
In 14 月 XNUMX 日に公開されたブログ投稿で、同氏は、見落としにより、HSE患者に属する通常の低レベルアカウントが、ワクチン投与に関する情報の保存を担当するシステムの部分への前例のないアクセスをどのようにして許可されたかを説明した。
問題の暴露された物体には、患者のフルネームと、ワクチンのブランド、日付、場所、投与された場所、投与を受け入れたまたは拒否した理由など、患者のジャブに関連するすべての情報が含まれていました。
スタッフメンバーが所有する文書や、内部の IT 問題やプロセスに関連する情報も流出しました。
「Salesforce 管理者や SaaS プラットフォームのセキュリティ担当者にとって、設定が間違っている権限の影響についての理解が不足していました」とコステロ氏は Dark Reading に語ります。 「彼らは、こうしたことが可能であること、つまり、権限の低いユーザーがこのデータを取得している可能性があることを強く認識していませんでした。」
それ以来、Salesforce はこの種のエラーを防止し、それによって発生する可能性のある結果を軽減するために、いくつかの前向きな変更を徐々に実装してきました。組み込みのヘルス スキャナーは、顧客の環境でそのような脆弱性を発見しようとします。また、より堅牢なログ記録により、管理者はユーザーのアクティビティ (特に機密性の高い API を操作している場合) をより適切に分析できるようになります。また、新しいポリシーと構成は、構成ミスによって機密情報が漏洩した場合でも、機密情報を隠蔽しようとします。
「そのため、彼らはログ分析の侵害後のプロセスを改善しただけでなく、管理者がヘルススキャナーを使用してこれらの問題を簡単に検出できる方法を導入し、また、データの範囲を縮小することで暴露の範囲を削減しました。特定のシナリオで利用可能になります」とコステロ氏は言います。
しかし、彼はこう警告します。「今日に至るまで、この種のアクセス制御を誤って設定している組織が数多くあります。私は依然として業界内に知識のギャップがあると考えています。問題の一部は、誰が責任を負うのかということです。 SaaS プラットフォームのセキュリティ?プラットフォーム管理者ですか?これらが監査のために導入されているときに、セキュリティ チームを招集しますか?」
スコットランドのNHS違反
今週もNHSダンフリーズとギャロウェイ アラートを発行しました 「集中的かつ継続的な」サイバー攻撃を受けていることを明らかにした。
ダンフリーズ アンド ギャロウェイはスコットランド最南端の議会地域であり、人口は約 150,000 万人です。
侵害の結果、一部のサービスが中断される可能性があり、攻撃者は患者やスタッフに属する「大量のデータ」を入手した可能性があると警告した。侵害の原因、性質、影響に関するより具体的な詳細はまだ公表されていません。
スコットランドでの侵害であれ、アイルランドでのシステム構成ミスの見逃しであれ、コステロ氏は次のように述べています。 予算と資金の話に戻る。その結果、第一に、これらの組織内のサイバーセキュリティ関連職の人員不足が生じます。それは非常に大きな問題です。
「非常に限られた予算と非常に限られた人員の下で働いているこれらの組織の従業員だけを非難することはできません。彼らは利用可能なリソースを最大限に活用して最善を尽くしています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :持っている
- :は
- :not
- :どこ
- 000
- 150
- 2021
- 7
- a
- アーロン・P・コーエン
- 私たちについて
- 一般に認められた
- アクセス
- アカウント
- アクティビティ
- 投与
- 管理
- 管理者
- すべて
- 許可されて
- ことができます
- また
- an
- 分析
- 分析します
- および
- どれか
- API
- 約
- です
- AREA
- At
- 試み
- 試み
- 監査
- 利用できます
- 知って
- バック
- BE
- になる
- さ
- 所属
- BEST
- より良いです
- ブログ
- ブランド
- 違反
- 英国の
- 予算
- バグ
- 内蔵
- by
- 缶
- 例
- 原因となる
- 一定
- 変更
- 住民
- CO
- 隠す
- 結果
- controls
- 可能性
- 協議会
- 国
- コビッド
- Customers
- サイバー攻撃
- サイバーセキュリティ
- 暗いです
- 暗い読書
- データ
- 日付
- 中
- 12月
- 12月2021
- 展開
- 細部
- 検出
- 発見
- 途絶
- ディビジョン
- do
- すること
- 簡単に
- 従業員
- 社員
- エンジニア
- 環境
- エラー
- 特に
- さらに
- エグゼクティブ
- 体験
- 体験
- 説明
- 露出した
- エクステント
- 指
- 焦点を当て
- から
- フル
- ギャップ
- 徐々に
- 持ってる
- he
- 人員
- 健康
- 健康情報
- ヘルスケア
- 認定条件
- HTTPS
- i
- 識別可能
- 実装
- 意義
- 改善されました
- in
- 含まれました
- 産業を変えます
- 情報
- 相互作用
- 内部
- 導入
- アイルランド
- アイリッシュ
- 問題
- 問題
- IT
- JPG
- 種類
- 種類
- 知識
- 欠如
- 場所
- ログ
- ロギング
- たくさん
- 3月
- 大規模な
- 五月..
- その間
- メンバー
- かもしれない
- 何百万
- 緩和する
- 他には?
- 最も
- 名
- 国民
- 自然
- 新作
- NHS
- 数
- オブジェクト
- 得
- 発生する
- of
- on
- 継続
- オンライン
- の
- 開始
- or
- 組織
- が
- 見落とし
- 部
- 患者
- 患者
- パーミッション
- 個人的な
- プラットフォーム
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポリシー
- 人口
- ポータル
- ポジション
- 正の
- 可能
- ポスト
- :
- 予防
- 校長
- 問題
- プロセス
- ラボレーション
- 保護
- 公表
- 引き
- 量
- 質問
- クイック
- RE
- リーディング
- 理由は
- 減らします
- 縮小
- 拒否した
- レギュラー
- 関連する
- 研究者
- リソース
- 責任
- 制限されました
- 結果
- 明らかにする
- 堅牢な
- s
- SaaSの
- salesforce
- 言う
- シナリオ
- スコープ
- SEA
- セキュリティ
- 敏感な
- サービス
- サービス
- 厳しい
- 重要
- から
- ウェブサイト
- So
- もっぱら
- 一部
- 話す
- 特定の
- スタッフ
- まだ
- 保存
- そのような
- チーム
- 伝える
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- 物事
- 考える
- この
- 今週
- 時間
- 〜へ
- 2
- 明らかにする
- 下
- 理解する
- 前例のない
- ユーザー
- users
- ワクチン
- バリアント
- Ve
- 非常に
- 脆弱性
- 警告
- 警告する
- ました
- 方法
- we
- 週間
- した
- ウェン
- いつ
- which
- 誰
- 以内
- ワーキング
- まだ
- You
- あなたの
- ゼファーネット