Săptămâna aceasta, o divizie a Serviciului Național de Sănătate (NHS) Scoția a fost lovită de un atac cibernetic, care ar putea perturba serviciile și expune datele pacienților și angajaților. Între timp, un cercetător a dezvăluit o eroare de configurare Salesforce care a expus milioane de cetățeni irlandezi datele de vaccinare împotriva COVID de la Health Service Executive (HSE) din acea țară.
Cele două incidente, separate printr-un hop rapid peste Marea Irlandei, vorbesc despre desfășurare provocările cu care se confruntă organizațiile din domeniul sănătății în protejarea celor mai sensibile informații personale de identificare (PII) și a informațiilor personale de sănătate (PHI) ale pacienților.
Bug Salesforce în portalul de vaccinare COVID din Irlanda
În timpul debutului variantei Omicron pentru COVID în decembrie 2021, Aaron Costello, inginer principal de securitate SaaS la AppOmni, a descoperit o configurație greșită gravă în portalul de vaccinare online bazat pe Salesforce pentru HSE din Irlanda.
In o postare pe blog publicată pe 14 martie, el a explicat cum o supraveghere a permis conturilor regulate, de nivel scăzut, aparținând pacienților HSE, acces fără precedent la partea din sistem responsabilă cu stocarea informațiilor despre administrarea vaccinului.
Obiectul expus în cauză includea numele complete ale pacienților și toate informațiile referitoare la injecțiile lor: marca vaccinului, data, locația și locul în care a fost administrat și orice motiv pentru care l-au acceptat sau refuzat.
Au fost expuse, de asemenea, documente aparținând membrilor personalului, precum și informații legate de probleme și procese IT interne.
„Pentru administratorii Salesforce și practicienii în securitate de pe platformele SaaS, a existat o lipsă de înțelegere a implicațiilor permisiunilor configurate greșit”, spune Costello pentru Dark Reading. „Nu erau foarte conștienți că aceste lucruri sunt posibile – că un utilizator cu privilegii reduse ar putea extrage aceste date.”
De atunci, Salesforce a implementat treptat o serie de modificări pozitive pentru prevenirea acestui tip de eroare și atenuarea consecințelor care ar putea apărea din aceasta. Un scaner de sănătate încorporat încearcă să descopere astfel de vulnerabilități în mediile clienților, iar o înregistrare mai robustă permite administratorilor să analizeze mai bine activitatea utilizatorilor, mai ales atunci când aceștia interacționează cu API-uri potențial sensibile. De asemenea, noile politici și configurații încearcă să ascundă informațiile sensibile, chiar și în cazurile în care acestea sunt expuse de configurări greșite.
„Așadar, nu numai că au îmbunătățit procesul post-încălcare de analiză a jurnalelor, ci au introdus și modalități prin care administratorii pot detecta cu ușurință aceste probleme cu scanerul de sănătate și, de asemenea, pot reduce amploarea expunerilor prin reducerea sferei de aplicare a datelor care devine disponibil în anumite scenarii”, spune Costello.
Cu toate acestea, el avertizează: „Există o mulțime de organizații care încă configurează greșit aceste tipuri de controale de acces chiar în ziua de azi. Încă cred că există un decalaj de cunoștințe în industrie și o parte a problemei este: cine este responsabil pentru securitatea platformelor SaaS? Sunt administratorii platformei? Atrageți echipa de securitate când aceste lucruri sunt implementate pentru a face un audit?”
Încălcarea NHS din Scoția
Tot în această săptămână, NHS Dumfries și Galloway a publicat o alertă dezvăluind că se confruntă cu un atac cibernetic „concentrat și în curs”.
Dumfries și Galloway este cea mai sudica zonă a consiliului Scoției, cu o populație de aproximativ 150,000 de locuitori.
Ca urmare a încălcării, a avertizat, unele servicii pot suferi întreruperi, iar atacatorii ar putea să fi obținut „o cantitate semnificativă de date” aparținând pacienților și personalului. Mai multe detalii specifice despre cauza, natura și consecințele încălcării încă nu au fost făcute publice.
Indiferent dacă este o breșă în Scoția sau o configurație greșită a sistemului trecută cu vederea în Irlanda, Costello spune: „Cred că totul revine la buget și finanțare. Și rezultatul este, în primul rând, lipsa de personal pentru posturile de securitate cibernetică din cadrul acestor organizații. Aceasta este o problemă masivă, masivă.
„Nu putem arăta cu degetul doar către angajații acestor organizații când lucrează cu un buget foarte restrâns și cu un număr foarte restrâns de angajați. Ei fac tot posibilul cu resursele pe care le au la dispoziție.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :are
- :este
- :nu
- :Unde
- 000
- 150
- 2021
- 7
- a
- Aaron
- Despre Noi
- admis
- acces
- Conturi
- activitate
- administrată
- administrare
- administratori
- TOATE
- permis
- permite
- de asemenea
- an
- analiză
- analiza
- și
- Orice
- API-uri
- aproximativ
- SUNT
- ZONĂ
- At
- încercare
- Încercările
- de audit
- disponibil
- conştient
- înapoi
- BE
- devine
- fiind
- apartenenta
- CEL MAI BUN
- Mai bine
- Blog
- marca
- încălcarea
- Britanic
- buget
- Bug
- construit-in
- by
- CAN
- nu poti
- cazuri
- Provoca
- sigur
- Modificări
- cetăţenii
- CO
- ascunde
- Configuraţie
- Consecințele
- controale
- ar putea
- Consiliu
- ţară
- Covidien
- clienţii care
- Atac cibernetic
- Securitate cibernetică
- Întuneric
- Lectură întunecată
- de date
- Data
- zi
- decembrie
- decembrie 2021
- dislocate
- detalii
- detecta
- a descoperit
- Ruptură
- diviziune
- do
- face
- cu ușurință
- Angajat
- de angajați
- inginer
- medii
- eroare
- mai ales
- Chiar
- executiv
- experienţă
- confruntă
- a explicat
- expus
- măsură
- deget
- concentrat
- Pentru
- din
- Complet
- decalaj
- treptat
- Avea
- he
- efectiv
- Sănătate
- informație despre sănătate
- de asistență medicală
- Cum
- HTTPS
- i
- identificabil
- implementat
- implicații
- îmbunătățit
- in
- inclus
- industrie
- informații
- interacționând
- intern
- introdus
- Irlanda
- irlandez
- problema
- probleme de
- IT
- jpg
- Copil
- tipurile
- cunoştinţe
- lipsă
- locaţie
- log
- logare
- Lot
- Martie
- masiv
- Mai..
- Între timp
- Membri actuali
- ar putea
- milioane
- atenuant
- mai mult
- cele mai multe
- nume
- național
- Natură
- Nou
- NHS
- număr
- obiect
- obținut
- avea loc
- of
- on
- în curs de desfășurare
- on-line
- afară
- atac
- or
- organizații
- peste
- Supraveghere
- parte
- pacient
- pacientes
- permisiuni
- personal
- platformă
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- Politicile
- populație
- Portal
- poziţii
- pozitiv
- posibil
- Post
- potenţial
- prevenirea
- Principal
- Problemă
- proces
- procese
- protectoare
- publicat
- trăgând
- cantitate
- întrebare
- Rapid
- RE
- Citind
- motive
- reduce
- reducerea
- refuzat
- regulat
- legate de
- cercetător
- Resurse
- responsabil
- limitat
- rezultat
- revelator
- robust
- s
- SaaS
- Salesforce
- spune
- scenarii
- domeniu
- SEA
- securitate
- sensibil
- serviciu
- Servicii
- sever
- semnificativ
- întrucât
- teren
- So
- Numai
- unele
- vorbi
- specific
- Personal
- Încă
- stocarea
- astfel de
- sistem
- echipă
- spune
- acea
- lor
- Lor
- Acolo.
- Acestea
- ei
- lucruri
- crede
- acest
- în această săptămână
- timp
- la
- Două
- descoperi
- în
- înţelegere
- fără precedent
- Utilizator
- utilizatorii
- Vaccin
- Variantă
- Ve
- foarte
- Vulnerabilitățile
- a avertizat
- avertizează
- a fost
- modalități de
- we
- săptămână
- au fost
- au fost
- cand
- care
- OMS
- cu
- în
- de lucru
- încă
- Tu
- Ta
- zephyrnet
