การละเมิด NHS, HSE Bug เปิดเผยข้อมูลการดูแลสุขภาพในเกาะอังกฤษ

การละเมิด NHS, HSE Bug เปิดเผยข้อมูลการดูแลสุขภาพในเกาะอังกฤษ

ประทับเวลา: 15 มีนาคม 2024 4:37 น
การละเมิด NHS, HSE Bug เปิดเผยข้อมูลการดูแลสุขภาพในหน่วยข่าวกรองข้อมูล PlatoBlockchain ของเกาะอังกฤษ ค้นหาแนวตั้ง AI.

สัปดาห์นี้ หน่วยงานหนึ่งของ National Health Service (NHS) Scotland ถูกโจมตีทางไซเบอร์ ซึ่งอาจส่งผลกระทบต่อบริการต่างๆ และเปิดเผยข้อมูลผู้ป่วยและพนักงาน ในขณะเดียวกัน นักวิจัยได้เปิดเผยข้อผิดพลาดในการกำหนดค่าของ Salesforce ซึ่งเปิดเผยข้อมูลการฉีดวัคซีน COVID ของพลเมืองไอริชหลายล้านคนจาก Health Service Executive (HSE) ของประเทศนั้น

เหตุการณ์ทั้งสองซึ่งแยกจากกันด้วยการกระโดดข้ามทะเลไอริชอย่างรวดเร็ว ความท้าทายที่องค์กรด้านการแพทย์ต้องเผชิญ ในการปกป้องข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ (PII) และข้อมูลสุขภาพส่วนบุคคล (PHI) ที่ละเอียดอ่อนที่สุดของผู้ป่วย

Salesforce Bug ในพอร์ทัลการฉีดวัคซีน COVID ของไอร์แลนด์

ในช่วงที่ไวรัส Omicron เริ่มระบาดในเดือนธันวาคม 2021 Aaron Costello วิศวกรความปลอดภัย SaaS หลักของ AppOmni ค้นพบการกำหนดค่าที่ไม่ถูกต้องอย่างร้ายแรงในพอร์ทัลการฉีดวัคซีนออนไลน์ที่ใช้ Salesforce สำหรับ HSE ของไอร์แลนด์

In โพสต์บล็อกเผยแพร่เมื่อวันที่ 14 มีนาคมเขาอธิบายว่าการกำกับดูแลอนุญาตให้บัญชีปกติระดับต่ำที่เป็นของผู้ป่วย HSE เข้าถึงส่วนของระบบที่รับผิดชอบในการจัดเก็บข้อมูลเกี่ยวกับการบริหารวัคซีนได้อย่างไร

วัตถุที่ถูกเปิดเผยดังกล่าวประกอบด้วยชื่อนามสกุลของผู้ป่วยและข้อมูลทั้งหมดที่เกี่ยวข้องกับการฉีดวัคซีน ยี่ห้อของวัคซีน วันที่ สถานที่ และสถานที่ฉีดวัคซีน และเหตุผลใดๆ ที่พวกเขายอมรับหรือปฏิเสธ

เอกสารที่เป็นของพนักงานและข้อมูลที่เกี่ยวข้องกับปัญหาและกระบวนการด้านไอทีภายในก็ถูกเปิดเผยเช่นกัน

“สำหรับผู้ดูแลระบบ Salesforce และผู้ปฏิบัติงานด้านความปลอดภัยบนแพลตฟอร์ม SaaS นั้น ยังขาดความเข้าใจเกี่ยวกับผลกระทบของการอนุญาตที่กำหนดค่าไม่ถูกต้อง” คอสเตลโลบอกกับ Dark Reading “พวกเขาไม่ทราบแน่ชัดว่าสิ่งเหล่านี้เป็นไปได้ — ว่าผู้ใช้ที่มีสิทธิพิเศษต่ำสามารถดึงข้อมูลนี้ได้”

ในช่วงเวลาดังกล่าว Salesforce ได้ค่อยๆ ดำเนินการเปลี่ยนแปลงเชิงบวกหลายประการเพื่อป้องกันข้อผิดพลาดประเภทนี้และบรรเทาผลที่ตามมาที่อาจเกิดขึ้นจากข้อผิดพลาดดังกล่าว เครื่องสแกนสถานะในตัวพยายามเปิดเผยช่องโหว่ดังกล่าวในสภาพแวดล้อมของลูกค้า และการบันทึกที่มีประสิทธิภาพยิ่งขึ้นช่วยให้ผู้ดูแลระบบวิเคราะห์กิจกรรมของผู้ใช้ได้ดีขึ้น โดยเฉพาะอย่างยิ่งเมื่อพวกเขาโต้ตอบกับ API ที่อาจมีความละเอียดอ่อน นอกจากนี้ นโยบายและการกำหนดค่าใหม่ยังพยายามปกปิดข้อมูลที่ละเอียดอ่อน แม้ว่าจะถูกเปิดเผยโดยการกำหนดค่าที่ไม่ถูกต้องก็ตาม

“ดังนั้น ไม่เพียงแต่พวกเขาปรับปรุงกระบวนการหลังการละเมิดของการวิเคราะห์บันทึกเท่านั้น พวกเขายังได้แนะนำวิธีที่ผู้ดูแลระบบสามารถตรวจพบปัญหาเหล่านี้ได้อย่างง่ายดายด้วยเครื่องสแกนสถานภาพ และยังลดขอบเขตของความเสี่ยงด้วยการลดขอบเขตของข้อมูลที่ จะพร้อมใช้งานในบางสถานการณ์” คอสเตลโลกล่าว

อย่างไรก็ตาม เขาเตือนว่า "มีองค์กรจำนวนมากที่ยังคงกำหนดค่าการควบคุมการเข้าถึงประเภทนี้ไม่ถูกต้องจนถึงทุกวันนี้ ฉันยังคงคิดว่ายังมีช่องว่างทางความรู้ในอุตสาหกรรมนี้ และส่วนหนึ่งของปัญหาคือ ใครเป็นผู้รับผิดชอบ ความปลอดภัยของแพลตฟอร์ม SaaS? เป็นผู้ดูแลแพลตฟอร์มหรือไม่? คุณดึงทีมรักษาความปลอดภัยของคุณเข้ามาเมื่อสิ่งเหล่านี้ถูกปรับใช้เพื่อทำการตรวจสอบหรือไม่”

การละเมิด NHS ของสกอตแลนด์

นอกจากนี้ในสัปดาห์นี้ NHS Dumfries และ Galloway เผยแพร่การแจ้งเตือน เผยให้เห็นว่ากำลังเผชิญกับการโจมตีทางไซเบอร์ที่ "มุ่งเน้นและต่อเนื่อง"

ดัมฟรีส์และกัลโลเวย์เป็นพื้นที่สภาทางใต้สุดของสกอตแลนด์ มีประชากรประมาณ 150,000 คน

จากการละเมิดดังกล่าว ได้มีการเตือนว่าบริการบางอย่างอาจประสบปัญหาการหยุดชะงัก และผู้โจมตีอาจได้รับ “ข้อมูลจำนวนมาก” ที่เป็นของผู้ป่วยและเจ้าหน้าที่ รายละเอียดที่เฉพาะเจาะจงเพิ่มเติมเกี่ยวกับสาเหตุ ลักษณะ และผลที่ตามมาของการละเมิดยังไม่ได้รับการเผยแพร่

ไม่ว่าจะเป็นการละเมิดในสกอตแลนด์หรือการกำหนดค่าระบบที่ถูกมองข้ามในไอร์แลนด์ คอสเตลโลกล่าวว่า “ฉันคิดว่าทั้งหมด กลับมาที่เรื่องงบประมาณและเงินทุน. และผลลัพธ์ก็คือ ประการแรก การมีบุคลากรเพียงพอสำหรับตำแหน่งด้านความปลอดภัยทางไซเบอร์ภายในองค์กรเหล่านี้ นั่นเป็นปัญหาใหญ่และใหญ่หลวง

“เราไม่สามารถชี้นิ้วไปที่พนักงานขององค์กรเหล่านี้เพียงอย่างเดียวได้ เมื่อพวกเขาทำงานภายใต้งบประมาณที่จำกัดมากและจำนวนพนักงานที่จำกัดมาก พวกเขาพยายามอย่างเต็มที่กับทรัพยากรที่มีอยู่”

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด