W tym tygodniu oddział krajowej służby zdrowia (NHS) w Szkocji został dotknięty cyberatakiem, który mógł spowodować zakłócenia w świadczeniu usług i ujawnienie danych pacjentów i pracowników. Tymczasem badacz ujawnił błąd konfiguracji Salesforce, który ujawnił dane milionów irlandzkich obywateli na temat szczepień przeciwko Covid-19 pochodzące z Urzędu ds. Służby Zdrowia (HSE) tego kraju.
Obydwa zdarzenia, oddzielone szybkim przeskokiem nad Morzem Irlandzkim, mówią o toczącym się wydarzeniu wyzwania stojące przed organizacjami opieki zdrowotnej w ochronie najbardziej wrażliwych danych osobowych pacjentów (PII) i informacji o stanie zdrowia pacjentów (PHI).
Błąd Salesforce w irlandzkim portalu szczepień przeciwko COVID
Podczas pojawienia się wariantu Omicron wirusa Covid-2021 w grudniu XNUMX r. Aaron Costello, główny inżynier bezpieczeństwa SaaS w AppOmni, odkrył poważną błędną konfigurację w internetowym portalu szczepień dla irlandzkiego HSE opartym na Salesforce.
In wpis na blogu opublikowany 14 marcawyjaśnił, w jaki sposób niedopatrzenie umożliwiło regularnym kontom niskiego poziomu należącym do pacjentów HSE niespotykany wcześniej dostęp do części systemu odpowiedzialnej za przechowywanie informacji o podaniu szczepionki.
Na eksponowanym przedmiocie, o którym mowa, znajdowały się imiona i nazwiska pacjentów oraz wszystkie informacje dotyczące ich wkłuć: marka szczepionki, data, miejsce i miejsce jej podania, a także wszelkie powody, dla których ją zaakceptowali lub odmówili.
Ujawniono także dokumenty należące do pracowników oraz informacje związane z wewnętrznymi kwestiami i procesami IT.
„W przypadku administratorów Salesforce i specjalistów ds. bezpieczeństwa na platformach SaaS brakowało zrozumienia konsekwencji źle skonfigurowanych uprawnień” – Costello mówi Dark Reading. „Nie byli do końca świadomi, że takie rzeczy są możliwe – że użytkownik o niskich uprawnieniach może pobierać te dane”.
Od tego czasu Salesforce stopniowo wdrażało szereg pozytywnych zmian mających na celu zapobieganie tego rodzaju błędom i łagodzenie konsekwencji, jakie mogą z nich wynikać. Wbudowany skaner kondycji próbuje wykryć takie luki w środowiskach klientów, a bardziej niezawodne rejestrowanie pozwala administratorom lepiej analizować aktywność użytkowników, zwłaszcza gdy wchodzą oni w interakcję z potencjalnie wrażliwymi interfejsami API. Ponadto nowe zasady i konfiguracje mają na celu ukrycie poufnych informacji, nawet jeśli zostaną ujawnione w wyniku błędnej konfiguracji.
„Więc nie tylko usprawnili proces analizy logów po naruszeniu, ale także wprowadzili sposoby, dzięki którym administratorzy mogą łatwo wykryć te problemy za pomocą skanera stanu, a także zmniejszyć zakres narażenia, zmniejszając zakres danych, które staje się dostępny w określonych scenariuszach” – mówi Costello.
Ostrzega jednak: „Wiele organizacji do dziś nadal błędnie konfiguruje tego rodzaju kontrolę dostępu. Nadal uważam, że w branży istnieje luka w wiedzy, a część problemu brzmi: kto jest za to odpowiedzialny bezpieczeństwo platform SaaS? Czy to administratorzy platformy? Czy podczas wdrażania tych rozwiązań angażujecie swój zespół ds. bezpieczeństwa w celu przeprowadzenia audytu?”
Naruszenie NHS w Szkocji
Również w tym tygodniu NHS Dumfries i Galloway opublikował alert ujawniając, że doświadcza „skoncentrowanego i ciągłego” cyberataku.
Dumfries i Galloway to najbardziej wysunięty na południe obszar samorządowy Szkocji, liczący około 150,000 XNUMX mieszkańców.
Ostrzegł, że w wyniku naruszenia niektóre usługi mogą doświadczyć zakłóceń, a osoby atakujące mogły uzyskać „znaczną ilość danych” należących do pacjentów i personelu. Bardziej szczegółowe informacje na temat przyczyny, charakteru i konsekwencji naruszenia nie zostały jeszcze opublikowane.
Niezależnie od tego, czy jest to naruszenie w Szkocji, czy przeoczona błędna konfiguracja systemu w Irlandii, Costello mówi: „Myślę, że wszystko wracamy do budżetu i finansowania. Efektem tego jest, po pierwsze, braki kadrowe na stanowiskach zajmujących się cyberbezpieczeństwem w tych organizacjach. To ogromny, ogromny problem.
„Nie możemy wskazywać palcem wyłącznie na pracowników tych organizacji, którzy pracują przy bardzo ograniczonym budżecie i bardzo ograniczonym zatrudnieniu. Robią wszystko, co w ich mocy, korzystając z dostępnych im zasobów”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :ma
- :Jest
- :nie
- :Gdzie
- 000
- 150
- 2021
- 7
- a
- Aaron
- O nas
- zaakceptowany
- dostęp
- Konta
- działalność
- podawany
- administracja
- Administratorzy
- Wszystkie kategorie
- dozwolony
- pozwala
- również
- an
- analiza
- w czasie rzeczywistym sprawiają,
- i
- każdy
- Pszczoła
- w przybliżeniu
- SĄ
- POWIERZCHNIA
- At
- próba
- Próby
- Audyt
- dostępny
- świadomy
- z powrotem
- BE
- staje się
- jest
- należący
- BEST
- Ulepsz Swój
- Blog
- marka
- naruszenie
- Brytyjski
- budżet
- Bug
- wbudowany
- by
- CAN
- nie może
- Etui
- Spowodować
- pewien
- Zmiany
- Obywatele
- CO
- ukryć
- systemu
- Konsekwencje
- kontroli
- mógłby
- Rada
- kraj
- Covidien
- Klientów
- Cyber atak
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczne czytanie
- dane
- Data
- dzień
- grudzień
- grudnia 2021
- wdrażane
- detale
- wykryć
- odkryty
- Zakłócenie
- podział
- do
- robi
- z łatwością
- Pracownik
- pracowników
- inżynier
- środowiska
- błąd
- szczególnie
- Parzyste
- wykonawczy
- doświadczenie
- doświadczać
- wyjaśnione
- narażony
- stopień
- palec
- koncentruje
- W razie zamówieenia projektu
- od
- pełny
- szczelina
- stopniowo
- Have
- he
- liczba pracowników
- Zdrowie
- informacje o zdrowiu
- opieki zdrowotnej
- W jaki sposób
- HTTPS
- i
- możliwe do zidentyfikowania
- realizowane
- implikacje
- ulepszony
- in
- włączony
- przemysł
- Informacja
- interakcji
- wewnętrzny
- wprowadzono
- Irlandia
- irlandzki
- problem
- problemy
- IT
- jpg
- Uprzejmy
- rodzaje
- wiedza
- Brak
- lokalizacja
- log
- zalogowaniu
- Partia
- March
- masywny
- Może..
- W międzyczasie
- Użytkownicy
- może
- miliony
- łagodzenie
- jeszcze
- większość
- Nazwy
- narodowy
- Natura
- Nowości
- NHS
- numer
- przedmiot
- uzyskane
- występować
- of
- on
- trwający
- Online
- tylko
- początek
- or
- organizacji
- koniec
- Przeoczenie
- część
- pacjent
- pacjenci
- uprawnienia
- osobisty
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- polityka
- populacja
- Portal
- Pozycje
- pozytywny
- możliwy
- Post
- potencjalnie
- zapobieganie
- Główny
- Problem
- wygląda tak
- procesów
- ochrony
- opublikowany
- ciągnięcie
- ilość
- pytanie
- Szybki
- RE
- Czytający
- Przyczyny
- zmniejszyć
- redukcja
- odrzucony
- regularny
- związane z
- badacz
- Zasoby
- odpowiedzialny
- ograniczony
- dalsze
- odkrywczy
- krzepki
- s
- SaaS
- sprzedawca
- mówią
- scenariusze
- zakres
- SEA
- bezpieczeństwo
- wrażliwy
- usługa
- Usługi
- ciężki
- znaczący
- ponieważ
- witryna internetowa
- So
- Wyłącznie
- kilka
- mówić
- specyficzny
- Personel
- Nadal
- przechowywania
- taki
- system
- zespół
- mówi
- że
- Połączenia
- ich
- Im
- Tam.
- Te
- one
- rzeczy
- myśleć
- to
- w tym tygodniu
- czas
- do
- drugiej
- odkryć
- dla
- zrozumienie
- bez precedensu
- Użytkownik
- Użytkownicy
- Szczepionka
- Wariant
- Ve
- początku.
- Luki w zabezpieczeniach
- ostrzeżony
- Ostrzega
- była
- sposoby
- we
- tydzień
- były
- były
- jeśli chodzi o komunikację i motywację
- który
- KIM
- w
- w ciągu
- pracujący
- jeszcze
- You
- Twój
- zefirnet