Цього тижня відділ Національної служби охорони здоров’я (NHS) Шотландії зазнав кібератаки, яка потенційно призвела до перебоїв у роботі служби та розкриття даних пацієнтів і співробітників. Тим часом дослідник виявив помилку конфігурації Salesforce, яка розкрила дані про вакцинацію проти COVID мільйонів громадян Ірландії від Управління охорони здоров’я цієї країни (HSE).
Два інциденти, розділені швидким стрибком над Ірландським морем, говорять про те, що триває проблеми, з якими стикаються організації охорони здоров'я у захисті найбільш конфіденційної особистої інформації пацієнтів (PII) та особистої інформації про здоров’я (PHI).
Помилка Salesforce на порталі вакцинації проти COVID в Ірландії
Під час появи варіанту COVID Omicron у грудні 2021 року Аарон Костелло, головний інженер безпеки SaaS в AppOmni, виявив серйозну неправильну конфігурацію в онлайн-порталі вакцинації Salesforce для HSE Ірландії.
In допис у блозі, опублікований 14 березня, він пояснив, як недогляд дозволив звичайним обліковим записам низького рівня, що належать пацієнтам HSE, отримати безпрецедентний доступ до частини системи, відповідальної за зберігання інформації про введення вакцини.
Відкритий об’єкт включав повні імена пацієнтів та всю інформацію, що стосується їхніх уколів: марку вакцини, дату, місце та місце, де її вводили, а також будь-які причини, з яких вони прийняли або відмовилися від неї.
Також було виявлено документи, що належать співробітникам, а також інформацію, пов’язану з внутрішніми питаннями та процесами ІТ.
«Адміністратори Salesforce і спеціалісти з безпеки на платформах SaaS не розуміли наслідків неправильно налаштованих дозволів», — розповідає Костелло Dark Reading. «Вони точно не усвідомлювали, що такі речі можливі — що користувач з низьким рівнем привілеїв може отримати ці дані».
З того часу Salesforce поступово впровадив низку позитивних змін для запобігання такого роду помилок і пом’якшення наслідків, які можуть виникнути через них. Вбудований сканер працездатності намагається виявити такі вразливості в середовищах клієнтів, а більш надійне ведення журналів дозволяє адміністраторам краще аналізувати діяльність користувачів, особливо коли вони взаємодіють із потенційно чутливими API. Крім того, нові політики та конфігурації намагаються приховати конфіденційну інформацію, навіть у випадках, коли вони виявляються через неправильні налаштування.
«Вони не лише покращили процес аналізу журналів після злому, але й запровадили способи, за допомогою яких адміністратори можуть легко виявляти ці проблеми за допомогою сканера працездатності, а також зменшити ступінь загрози за рахунок зменшення обсягу даних, які стає доступним за певних сценаріїв», — каже Костелло.
Однак він попереджає: «Є багато організацій, які все ще неправильно налаштовують ці види контролю доступу до цього дня. Я все ще вважаю, що в галузі існує прогалина в знаннях, і частина проблеми полягає в тому, хто несе відповідальність за безпека платформ SaaS? Це адміністратори платформи? Чи залучаєте ви свою команду безпеки, коли ці речі розгортаються, щоб провести аудит?»
Порушення NHS Шотландії
Також цього тижня NHS Dumfries і Galloway опублікував сповіщення виявивши, що він зазнає «цілеспрямованої та постійної» кібератаки.
Дамфріс і Гелловей — найпівденніша місцева рада Шотландії з населенням приблизно 150,000 XNUMX осіб.
У результаті зламу, як попереджається, деякі служби можуть зіткнутися з перебоями, а зловмисники могли отримати «значну кількість даних», що належать пацієнтам і персоналу. Більш конкретні відомості про причину, характер і наслідки порушення поки не оприлюднюються.
Костелло каже: «Я думаю, що все це повертається до бюджету та фінансування. І результатом цього є, по-перше, нестача кадрів на посади з кібербезпеки в цих організаціях. Це величезна, величезна проблема.
«Ми не можемо вказувати пальцем виключно на працівників цих організацій, коли вони працюють в умовах дуже обмеженого бюджету та дуже обмеженої чисельності. Вони роблять усе можливе, використовуючи наявні в них ресурси».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
- : має
- :є
- : ні
- :де
- 000
- 150
- 2021
- 7
- a
- Аарон
- МЕНЮ
- прийнятий
- доступ
- Рахунки
- діяльність
- вводити
- адміністрація
- Адміністратори
- ВСІ
- дозволено
- дозволяє
- Також
- an
- аналіз
- аналізувати
- та
- будь-який
- Інтерфейси
- приблизно
- ЕСТЬ
- ПЛОЩА
- At
- спроба
- Спроби
- аудит
- доступний
- знати
- назад
- BE
- стає
- буття
- належність
- КРАЩЕ
- Краще
- Блог
- марка
- порушення
- Британський
- бюджет
- Помилка
- вбудований
- by
- CAN
- не може
- випадків
- Викликати
- певний
- Зміни
- громадяни
- CO
- приховувати
- конфігурація
- Наслідки
- управління
- може
- Рада
- країна
- Covid
- Клієнти
- Кібератака
- Кібербезпека
- темно
- Темне читання
- дані
- Дата
- день
- Грудень
- Грудень 2021
- розгорнути
- деталі
- виявляти
- відкритий
- Зрив
- Роздільна
- do
- справи
- легко
- Співробітник
- співробітників
- інженер
- середовищах
- помилка
- особливо
- Навіть
- виконавчий
- досвід
- зазнають
- пояснені
- піддаватися
- ступінь
- палець
- увагу
- для
- від
- Повний
- розрив
- поступово
- Мати
- he
- чисельність персоналу
- здоров'я
- інформація про стан здоров'я
- охорона здоров'я
- Як
- HTTPS
- i
- ідентифікується
- реалізовані
- наслідки
- поліпшений
- in
- включені
- промисловість
- інформація
- взаємодіючих
- внутрішній
- введені
- Ірландія
- ірландський
- питання
- питання
- IT
- JPG
- Дитина
- види
- знання
- відсутність
- розташування
- журнал
- каротаж
- серія
- березня
- масивний
- Може..
- Між тим
- члени
- може бути
- мільйони
- пом’якшення
- більше
- найбільш
- Імена
- National
- природа
- Нові
- Державна служба охорони здоров'я
- номер
- об'єкт
- отриманий
- відбуваються
- of
- on
- постійний
- онлайн
- тільки
- наступ
- or
- організації
- над
- Нагляд
- частина
- пацієнт
- pacientes
- Дозволи
- персонал
- платформа
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- точка
- Політика
- населення
- Портал
- позиції
- позитивний
- це можливо
- пошта
- потенційно
- попередження
- Головний
- Проблема
- процес
- процеси
- захищає
- опублікований
- тягне
- кількість
- питання
- Швидко
- RE
- читання
- Причини
- зменшити
- зниження
- відмовив
- регулярний
- пов'язаний
- дослідник
- ресурси
- відповідальний
- обмежений
- результат
- виявлення
- міцний
- s
- SaaS
- Salesforce
- говорить
- сценарії
- сфера
- SEA
- безпеку
- чутливий
- обслуговування
- Послуги
- важкий
- значний
- з
- сайт
- So
- виключно
- деякі
- говорити
- конкретний
- Персонал
- Як і раніше
- зберігання
- такі
- система
- команда
- розповідає
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- речі
- думати
- це
- На цьому тижні
- час
- до
- два
- розкрити
- при
- розуміння
- безпрецедентний
- користувач
- користувачі
- Вакцина
- варіант
- Ve
- дуже
- Уразливості
- попередили
- Попереджає
- було
- способи
- we
- week
- були
- були
- коли
- який
- ВООЗ
- з
- в
- робочий
- ще
- Ти
- вашу
- зефірнет