Denne uken ble en avdeling av National Health Service (NHS) Skottland rammet av et nettangrep, som potensielt forstyrret tjenester og avslørte pasient- og ansattdata. I mellomtiden avslørte en forsker en Salesforce-konfigurasjonsfeil som avslørte millioner av irske borgeres COVID-vaksinasjonsdata fra det landets helsetjenesteleder (HSE).
De to hendelsene, atskilt av et raskt hopp over Irskehavet, snakker til det pågående utfordringer helseorganisasjoner står overfor i å beskytte pasienters mest sensitive personlige identifiserbare opplysninger (PII) og personlige helseopplysninger (PHI).
Salesforce-feil i Irlands COVID-vaksinasjonsportal
Under utbruddet av COVIDs Omicron-variant i desember 2021, oppdaget Aaron Costello, rektor for SaaS-sikkerhetsingeniør hos AppOmni, en alvorlig feilkonfigurasjon i den Salesforce-baserte nettbaserte vaksinasjonsportalen for Irlands HMS.
In et blogginnlegg publisert 14. mars, forklarte han hvordan et tilsyn tillot vanlige kontoer på lavt nivå tilhørende HMS-pasienter enestående tilgang til den delen av systemet som var ansvarlig for å lagre informasjon om vaksineadministrasjon.
Den eksponerte gjenstanden inkluderte fulle navn på pasienter og all informasjon knyttet til deres jabs: merke av vaksinen, dato, sted og sted der den ble administrert, og eventuelle grunner til at de godtok eller nektet det.
Dokumenter tilhørende ansatte og informasjon knyttet til interne IT-spørsmål og prosesser ble også avdekket.
"For Salesforce-administratorer og sikkerhetsutøvere på SaaS-plattformer var det en mangel på forståelse av implikasjonene av feilkonfigurerte tillatelser," forteller Costello til Dark Reading. "De var ikke helt klar over at disse tingene er mulige - at en lavprivilegert bruker kunne hente disse dataene."
I tiden etterpå har Salesforce gradvis implementert en rekke positive endringer for å forhindre denne typen feil og redusere konsekvensene som kan oppstå av den. En innebygd helseskanner forsøker å avdekke slike sårbarheter i kundenes miljøer, og mer robust logging lar administratorer analysere aktiviteten til brukere bedre, spesielt når de samhandler med potensielt sensitive APIer. Nye retningslinjer og konfigurasjoner forsøker også å skjule sensitiv informasjon, selv i tilfeller der de er utsatt for feilkonfigurasjoner.
"Så ikke bare har de forbedret prosessen etter brudd på logganalyse, de har også introdusert måter som administratorer enkelt kan oppdage disse problemene med helseskanneren på, og også redusere omfanget av eksponeringer ved å redusere omfanget av dataene som blir tilgjengelig i visse scenarier, sier Costello.
Han advarer imidlertid: "Det er mange organisasjoner som fortsatt feilkonfigurerer denne typen tilgangskontroller den dag i dag. Jeg tror fortsatt det er et kunnskapshull i bransjen, og en del av saken er: Hvem har ansvaret for sikkerheten til SaaS-plattformer? Er det plattformadministratorene? Trekker du inn sikkerhetsteamet ditt når disse tingene blir distribuert for å gjøre en revisjon?»
Skottlands NHS-brudd
Også denne uken, NHS Dumfries og Galloway publiserte et varsel avsløre at den opplever et "fokusert og pågående" nettangrep.
Dumfries og Galloway er det sørligste kommunestyreområdet i Skottland, med en befolkning på omtrent 150,000 XNUMX.
Som et resultat av bruddet, advarte det, noen tjenester kan oppleve forstyrrelser, og angriperne kan ha skaffet seg "en betydelig mengde data" som tilhører pasienter og ansatte. Mer spesifikke detaljer om årsaken, arten og konsekvensene av bruddet er ennå ikke offentliggjort.
Enten det er et brudd i Skottland eller en oversett systemfeilkonfigurasjon i Irland, sier Costello: «Jeg tror alt kommer tilbake til budsjett og finansiering. Og resultatet av det er for det første underbemanning for cybersikkerhetsstillinger i disse organisasjonene. Det er et massivt, massivt problem.
«Vi kan ikke bare peke på de ansatte i disse organisasjonene når de jobber under et svært begrenset budsjett og et svært begrenset antall ansatte. De gjør sitt beste med ressursene de har tilgjengelig for dem.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- : har
- :er
- :ikke
- :hvor
- 000
- 150
- 2021
- 7
- a
- Aaron
- Om oss
- akseptert
- adgang
- kontoer
- aktivitet
- administrert
- administrasjon
- administratorer
- Alle
- tillatt
- tillater
- også
- an
- analyse
- analysere
- og
- noen
- APIer
- ca
- ER
- AREA
- At
- forsøk
- forsøk
- revisjon
- tilgjengelig
- klar
- tilbake
- BE
- blir
- være
- tilhørighet
- BEST
- Bedre
- Blogg
- merke
- brudd
- British
- budsjett
- Bug
- innebygd
- by
- CAN
- kan ikke
- saker
- Årsak
- viss
- Endringer
- Borgere
- CO
- skjule
- Konfigurasjon
- Konsekvenser
- kontroller
- kunne
- Råd
- land
- Covid
- Kunder
- Cyber angrep
- Cybersecurity
- mørk
- Mørk lesning
- dato
- Dato
- dag
- Desember
- desember 2021
- utplassert
- detaljer
- oppdage
- oppdaget
- Avbrudd
- Divisjon
- do
- gjør
- lett
- Ansatt
- ansatte
- ingeniør
- miljøer
- feil
- spesielt
- Selv
- utøvende
- erfaring
- opplever
- forklarte
- utsatt
- grad
- finger
- fokuserte
- Til
- fra
- fullt
- mellomrom
- gradvis
- Ha
- he
- hodetelling
- Helse
- helseinformasjon
- helsetjenester
- Hvordan
- HTTPS
- i
- identifiserbar
- implementert
- implikasjoner
- forbedret
- in
- inkludert
- industri
- informasjon
- samhandler
- intern
- introdusert
- Irland
- Irish
- utstedelse
- saker
- IT
- jpg
- Type
- slag
- kunnskap
- maling
- plassering
- logg
- logging
- Lot
- Mars
- massive
- Kan..
- Mellomtiden
- medlemmer
- kunne
- millioner
- formildende
- mer
- mest
- navn
- nasjonal
- Natur
- Ny
- NHS
- Antall
- objekt
- innhentet
- forekomme
- of
- on
- pågående
- på nett
- bare
- utbruddet
- or
- organisasjoner
- enn
- oppsyn
- del
- pasient
- pasienter
- tillatelser
- personlig
- plattform
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Point
- Politikk
- befolkningen
- Portal
- stillinger
- positiv
- mulig
- Post
- potensielt
- hindre
- Principal
- Problem
- prosess
- Prosesser
- beskytte
- publisert
- trekke
- kvantitet
- spørsmål
- Rask
- RE
- Lesning
- grunner
- redusere
- redusere
- nektet
- regelmessig
- i slekt
- forsker
- Ressurser
- ansvarlig
- begrenset
- resultere
- avslørende
- robust
- s
- SaaS
- Salesforce
- sier
- scenarier
- omfang
- SEA
- sikkerhet
- sensitive
- tjeneste
- Tjenester
- alvorlig
- signifikant
- siden
- nettstedet
- So
- utelukkende
- noen
- snakke
- spesifikk
- Staff
- Still
- lagring
- slik
- system
- lag
- forteller
- Det
- De
- deres
- Dem
- Der.
- Disse
- de
- ting
- tror
- denne
- denne uka
- tid
- til
- to
- avdekke
- etter
- forståelse
- enestående
- Bruker
- Brukere
- Vaksine
- variant
- Ve
- veldig
- Sikkerhetsproblemer
- advarte
- advarer
- var
- måter
- we
- uke
- var
- var
- når
- hvilken
- HVEM
- med
- innenfor
- arbeid
- ennå
- Du
- Din
- zephyrnet
