Kršitev NHS, HSE Bug Expose Healthcare Data na Britanskem otočju

Ta teden je oddelek Nacionalne zdravstvene službe (NHS) Škotske prizadel kibernetski napad, ki bi lahko povzročil motnje v storitvah in razkril podatke o bolnikih in zaposlenih. Medtem je raziskovalec razkril konfiguracijsko napako Salesforce, ki je razkrila podatke o cepljenju milijonov irskih državljanov proti COVID-u iz Izvršnega organa za zdravstvene storitve te države (HSE).

Dva incidenta, ločena s hitrim skokom čez Irsko morje, govorita o dogajanju izzivi, s katerimi se srečujejo zdravstvene organizacije pri varovanju najbolj občutljivih osebnih podatkov (PII) in osebnih zdravstvenih podatkov (PHI) pacientov.

Napaka Salesforce na irskem portalu za cepljenje proti covidu

Med nastopom različice COVID Omicron decembra 2021 je Aaron Costello, glavni varnostni inženir SaaS pri AppOmni, odkril hudo napačno konfiguracijo spletnega portala za cepljenje, ki temelji na Salesforce, za irski HSE.

In objava v spletnem dnevniku, objavljena 14. marca, je pojasnil, kako je nadzor omogočil rednim računom na nizki ravni, ki pripadajo pacientom HSE, dostop brez primere do dela sistema, odgovornega za shranjevanje informacij o dajanju cepiva.

Zadevni izpostavljeni predmet je vključeval polna imena pacientov in vse informacije v zvezi z njihovimi vbodi: znamko cepiva, datum, lokacijo in mesto, kjer je bilo dano, ter vse razloge, zakaj so ga sprejeli ali zavrnili.

Razkriti so bili tudi dokumenti, ki pripadajo uslužbencem, ter informacije, povezane z internimi IT zadevami in procesi.

»Za skrbnike Salesforce in strokovnjake za varnost na platformah SaaS je prišlo do pomanjkanja razumevanja posledic napačno konfiguriranih dovoljenj,« je povedal Costello za Dark Reading. "Niso se dobro zavedali, da so te stvari možne - da lahko uporabnik z nizkimi pravicami vleče te podatke."

V času od takrat je Salesforce postopoma uvedel številne pozitivne spremembe za preprečevanje tovrstnih napak in blažitev posledic, ki bi lahko nastale zaradi njih. Vgrajen pregledovalnik zdravja poskuša odkriti takšne ranljivosti v okoljih strank, robustnejše beleženje pa omogoča skrbnikom, da bolje analizirajo dejavnost uporabnikov, zlasti ko ti komunicirajo s potencialno občutljivimi API-ji. Poleg tega nove politike in konfiguracije poskušajo prikriti občutljive podatke, tudi v primerih, ko so razkriti zaradi napačnih konfiguracij.

»Torej niso le izboljšali postopka analize dnevnika po vdoru, temveč so uvedli tudi načine, na katere lahko skrbniki zlahka odkrijejo te težave s skenerjem zdravja, in tudi zmanjšajo obseg izpostavljenosti z zmanjšanjem obsega podatkov, ki postane na voljo v določenih scenarijih,« pravi Costello.

Vendar pa opozarja: »Veliko organizacij še danes napačno konfigurira te vrste kontrol dostopa. Še vedno mislim, da v industriji obstaja vrzel v znanju in da je del vprašanja: kdo je odgovoren za varnost platform SaaS? So to skrbniki platforme? Ali vključite svojo varnostno ekipo, ko se te stvari uporabljajo za izvedbo revizije?«

Škotska kršitev NHS

Tudi ta teden, NHS Dumfries in Galloway objavil opozorilo razkriva, da doživlja "osredotočen in trajajoč" kibernetski napad.

Dumfries in Galloway je najjužnejše občinsko območje Škotske s približno 150,000 prebivalci.

Zaradi kršitve, so opozorili, lahko pride do motenj pri nekaterih storitvah, napadalci pa so morda pridobili "veliko količino podatkov", ki pripadajo bolnikom in osebju. Podrobnejše podrobnosti o vzroku, naravi in ​​posledicah kršitve še niso objavljene.

Ne glede na to, ali gre za vdor na Škotskem ali za spregledano napačno konfiguracijo sistema na Irskem, Costello pravi: »Mislim, da vse vrne v proračun in financiranje. In rezultat tega je, prvič, premalo osebja za položaje kibernetske varnosti v teh organizacijah. To je ogromen, ogromen problem.

»Ne moremo s prstom kazati samo na zaposlene v teh organizacijah, ko delajo z zelo omejenim proračunom in zelo omejenim številom zaposlenih. Z sredstvi, ki so jim na voljo, se trudijo po svojih najboljših močeh.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles