สัปดาห์นี้ หน่วยงานหนึ่งของ National Health Service (NHS) Scotland ถูกโจมตีทางไซเบอร์ ซึ่งอาจส่งผลกระทบต่อบริการต่างๆ และเปิดเผยข้อมูลผู้ป่วยและพนักงาน ในขณะเดียวกัน นักวิจัยได้เปิดเผยข้อผิดพลาดในการกำหนดค่าของ Salesforce ซึ่งเปิดเผยข้อมูลการฉีดวัคซีน COVID ของพลเมืองไอริชหลายล้านคนจาก Health Service Executive (HSE) ของประเทศนั้น
เหตุการณ์ทั้งสองซึ่งแยกจากกันด้วยการกระโดดข้ามทะเลไอริชอย่างรวดเร็ว ความท้าทายที่องค์กรด้านการแพทย์ต้องเผชิญ ในการปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ (PII) และข้อมูลสุขภาพส่วนบุคคล (PHI) ที่ละเอียดอ่อนที่สุดของผู้ป่วย
Salesforce Bug ในพอร์ทัลการฉีดวัคซีน COVID ของไอร์แลนด์
ในช่วงที่ไวรัส Omicron เริ่มระบาดในเดือนธันวาคม 2021 Aaron Costello วิศวกรความปลอดภัย SaaS หลักของ AppOmni ค้นพบการกำหนดค่าที่ไม่ถูกต้องอย่างร้ายแรงในพอร์ทัลการฉีดวัคซีนออนไลน์ที่ใช้ Salesforce สำหรับ HSE ของไอร์แลนด์
In โพสต์บล็อกเผยแพร่เมื่อวันที่ 14 มีนาคมเขาอธิบายว่าการกำกับดูแลอนุญาตให้บัญชีปกติระดับต่ำที่เป็นของผู้ป่วย HSE เข้าถึงส่วนของระบบที่รับผิดชอบในการจัดเก็บข้อมูลเกี่ยวกับการบริหารวัคซีนได้อย่างไร
วัตถุที่ถูกเปิดเผยดังกล่าวประกอบด้วยชื่อนามสกุลของผู้ป่วยและข้อมูลทั้งหมดที่เกี่ยวข้องกับการฉีดวัคซีน ยี่ห้อของวัคซีน วันที่ สถานที่ และสถานที่ฉีดวัคซีน และเหตุผลใดๆ ที่พวกเขายอมรับหรือปฏิเสธ
เอกสารที่เป็นของพนักงานและข้อมูลที่เกี่ยวข้องกับปัญหาและกระบวนการด้านไอทีภายในก็ถูกเปิดเผยเช่นกัน
“สำหรับผู้ดูแลระบบ Salesforce และผู้ปฏิบัติงานด้านความปลอดภัยบนแพลตฟอร์ม SaaS นั้น ยังขาดความเข้าใจเกี่ยวกับผลกระทบของการอนุญาตที่กำหนดค่าไม่ถูกต้อง” คอสเตลโลบอกกับ Dark Reading “พวกเขาไม่ทราบแน่ชัดว่าสิ่งเหล่านี้เป็นไปได้ — ว่าผู้ใช้ที่มีสิทธิพิเศษต่ำสามารถดึงข้อมูลนี้ได้”
ในช่วงเวลาดังกล่าว Salesforce ได้ค่อยๆ ดำเนินการเปลี่ยนแปลงเชิงบวกหลายประการเพื่อป้องกันข้อผิดพลาดประเภทนี้และบรรเทาผลที่ตามมาที่อาจเกิดขึ้นจากข้อผิดพลาดดังกล่าว เครื่องสแกนสถานะในตัวพยายามเปิดเผยช่องโหว่ดังกล่าวในสภาพแวดล้อมของลูกค้า และการบันทึกที่มีประสิทธิภาพยิ่งขึ้นช่วยให้ผู้ดูแลระบบวิเคราะห์กิจกรรมของผู้ใช้ได้ดีขึ้น โดยเฉพาะอย่างยิ่งเมื่อพวกเขาโต้ตอบกับ API ที่อาจมีความละเอียดอ่อน นอกจากนี้ นโยบายและการกำหนดค่าใหม่ยังพยายามปกปิดข้อมูลที่ละเอียดอ่อน แม้ว่าจะถูกเปิดเผยโดยการกำหนดค่าที่ไม่ถูกต้องก็ตาม
“ดังนั้น ไม่เพียงแต่พวกเขาปรับปรุงกระบวนการหลังการละเมิดของการวิเคราะห์บันทึกเท่านั้น พวกเขายังได้แนะนำวิธีที่ผู้ดูแลระบบสามารถตรวจพบปัญหาเหล่านี้ได้อย่างง่ายดายด้วยเครื่องสแกนสถานภาพ และยังลดขอบเขตของความเสี่ยงด้วยการลดขอบเขตของข้อมูลที่ จะพร้อมใช้งานในบางสถานการณ์” คอสเตลโลกล่าว
อย่างไรก็ตาม เขาเตือนว่า "มีองค์กรจำนวนมากที่ยังคงกำหนดค่าการควบคุมการเข้าถึงประเภทนี้ไม่ถูกต้องจนถึงทุกวันนี้ ฉันยังคงคิดว่ายังมีช่องว่างทางความรู้ในอุตสาหกรรมนี้ และส่วนหนึ่งของปัญหาคือ ใครเป็นผู้รับผิดชอบ ความปลอดภัยของแพลตฟอร์ม SaaS? เป็นผู้ดูแลแพลตฟอร์มหรือไม่? คุณดึงทีมรักษาความปลอดภัยของคุณเข้ามาเมื่อสิ่งเหล่านี้ถูกปรับใช้เพื่อทำการตรวจสอบหรือไม่”
การละเมิด NHS ของสกอตแลนด์
นอกจากนี้ในสัปดาห์นี้ NHS Dumfries และ Galloway เผยแพร่การแจ้งเตือน เผยให้เห็นว่ากำลังเผชิญกับการโจมตีทางไซเบอร์ที่ "มุ่งเน้นและต่อเนื่อง"
ดัมฟรีส์และกัลโลเวย์เป็นพื้นที่สภาทางใต้สุดของสกอตแลนด์ มีประชากรประมาณ 150,000 คน
จากการละเมิดดังกล่าว ได้มีการเตือนว่าบริการบางอย่างอาจประสบปัญหาการหยุดชะงัก และผู้โจมตีอาจได้รับ “ข้อมูลจำนวนมาก” ที่เป็นของผู้ป่วยและเจ้าหน้าที่ รายละเอียดที่เฉพาะเจาะจงเพิ่มเติมเกี่ยวกับสาเหตุ ลักษณะ และผลที่ตามมาของการละเมิดยังไม่ได้รับการเผยแพร่
ไม่ว่าจะเป็นการละเมิดในสกอตแลนด์หรือการกำหนดค่าระบบที่ถูกมองข้ามในไอร์แลนด์ คอสเตลโลกล่าวว่า “ฉันคิดว่าทั้งหมด กลับมาที่เรื่องงบประมาณและเงินทุน. และผลลัพธ์ก็คือ ประการแรก การมีบุคลากรเพียงพอสำหรับตำแหน่งด้านความปลอดภัยทางไซเบอร์ภายในองค์กรเหล่านี้ นั่นเป็นปัญหาใหญ่และใหญ่หลวง
“เราไม่สามารถชี้นิ้วไปที่พนักงานขององค์กรเหล่านี้เพียงอย่างเดียวได้ เมื่อพวกเขาทำงานภายใต้งบประมาณที่จำกัดมากและจำนวนพนักงานที่จำกัดมาก พวกเขาพยายามอย่างเต็มที่กับทรัพยากรที่มีอยู่”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 000
- 150
- 2021
- 7
- a
- แอรอน
- เกี่ยวกับเรา
- ได้รับการยอมรับ
- เข้า
- บัญชี
- อยากทำกิจกรรม
- การบริหารงาน
- การบริหาร
- ผู้ดูแลระบบ
- ทั้งหมด
- อนุญาตให้
- ช่วยให้
- ด้วย
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- ใด
- APIs
- ประมาณ
- เป็น
- AREA
- At
- ความพยายาม
- ความพยายามในการ
- การตรวจสอบบัญชี
- ใช้ได้
- ทราบ
- กลับ
- BE
- จะกลายเป็น
- กำลัง
- ซึ่งเป็นของ
- ที่ดีที่สุด
- ดีกว่า
- บล็อก
- ยี่ห้อ
- ช่องโหว่
- British
- งบ
- Bug
- built-in
- by
- CAN
- ไม่ได้
- กรณี
- ก่อให้เกิด
- บาง
- การเปลี่ยนแปลง
- ประชา
- CO
- ปกปิด
- องค์ประกอบ
- ผลที่ตามมา
- การควบคุม
- ได้
- สภา
- ประเทศ
- Covidien
- ลูกค้า
- cyberattack
- cybersecurity
- มืด
- การอ่านที่มืด
- ข้อมูล
- วันที่
- วัน
- ธันวาคม
- ธันวาคม 2021
- นำไปใช้
- รายละเอียด
- ตรวจจับ
- ค้นพบ
- การหยุดชะงัก
- การแบ่ง
- do
- การทำ
- อย่างง่ายดาย
- ลูกจ้าง
- พนักงาน
- วิศวกร
- สภาพแวดล้อม
- ความผิดพลาด
- โดยเฉพาะอย่างยิ่ง
- แม้
- ผู้บริหารงาน
- ประสบการณ์
- ประสบ
- อธิบาย
- ที่เปิดเผย
- ขอบเขต
- นิ้ว
- มุ่งเน้น
- สำหรับ
- ราคาเริ่มต้นที่
- เต็ม
- ช่องว่าง
- ค่อยๆ
- มี
- he
- จำนวนพนง
- สุขภาพ
- ข้อมูลสุขภาพ
- การดูแลสุขภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- i
- ระบุตัวตนได้
- การดำเนินการ
- ผลกระทบ
- การปรับปรุง
- in
- รวม
- อุตสาหกรรม
- ข้อมูล
- การมีปฏิสัมพันธ์
- ภายใน
- แนะนำ
- ไอร์แลนด์
- ไอริช
- ปัญหา
- ปัญหา
- IT
- jpg
- ชนิด
- ชนิด
- ความรู้
- ไม่มี
- ที่ตั้ง
- เข้าสู่ระบบ
- การเข้าสู่ระบบ
- Lot
- มีนาคม
- มาก
- อาจ..
- ในขณะเดียวกัน
- สมาชิก
- อาจ
- ล้าน
- ซึ่งบรรเทา
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ชื่อ
- แห่งชาติ
- ธรรมชาติ
- ใหม่
- พลุกพล่าน
- จำนวน
- วัตถุ
- ที่ได้รับ
- เกิดขึ้น
- of
- on
- ต่อเนื่อง
- ออนไลน์
- เพียง
- การโจมตี
- or
- องค์กร
- เกิน
- การควบคุม
- ส่วนหนึ่ง
- ผู้ป่วย
- ผู้ป่วย
- สิทธิ์
- ส่วนบุคคล
- เวที
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นโยบาย
- ประชากร
- พอร์ทัล
- ตำแหน่ง
- บวก
- เป็นไปได้
- โพสต์
- ที่อาจเกิดขึ้น
- การป้องกัน
- หลัก
- ปัญหา
- กระบวนการ
- กระบวนการ
- ปกป้อง
- การตีพิมพ์
- การดึง
- ปริมาณ
- คำถาม
- รวดเร็ว
- RE
- การอ่าน
- เหตุผล
- ลด
- ลด
- ปฏิเสธ
- ปกติ
- ที่เกี่ยวข้อง
- นักวิจัย
- แหล่งข้อมูล
- รับผิดชอบ
- หวงห้าม
- ผล
- เผยให้เห็น
- แข็งแรง
- s
- SaaS
- Salesforce
- พูดว่า
- สถานการณ์
- ขอบเขต
- เอเชียตะวันออกเฉียงใต้
- ความปลอดภัย
- มีความละเอียดอ่อน
- บริการ
- บริการ
- รุนแรง
- สำคัญ
- ตั้งแต่
- เว็บไซต์
- So
- เพียงผู้เดียว
- บาง
- พูด
- โดยเฉพาะ
- ทักษะ
- ยังคง
- การเก็บรักษา
- อย่างเช่น
- ระบบ
- ทีม
- บอก
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- คิด
- นี้
- ในสัปดาห์นี้
- เวลา
- ไปยัง
- สอง
- เปิดเผย
- ภายใต้
- ความเข้าใจ
- เป็นประวัติการณ์
- ผู้ใช้งาน
- ผู้ใช้
- วัคซีน
- ตัวแปร
- Ve
- มาก
- ช่องโหว่
- เตือน
- เตือน
- คือ
- วิธี
- we
- สัปดาห์
- คือ
- ถูก
- เมื่อ
- ที่
- WHO
- กับ
- ภายใน
- การทำงาน
- ยัง
- คุณ
- ของคุณ
- ลมทะเล