NHS Breach, HSE Bag Expose Healthcare Data in the British Islands

Цього тижня відділ Національної служби охорони здоров’я (NHS) Шотландії зазнав кібератаки, яка потенційно призвела до перебоїв у роботі служби та розкриття даних пацієнтів і співробітників. Тим часом дослідник виявив помилку конфігурації Salesforce, яка розкрила дані про вакцинацію проти COVID мільйонів громадян Ірландії від Управління охорони здоров’я цієї країни (HSE).

Два інциденти, розділені швидким стрибком над Ірландським морем, говорять про те, що триває проблеми, з якими стикаються організації охорони здоров'я у захисті найбільш конфіденційної особистої інформації пацієнтів (PII) та особистої інформації про здоров’я (PHI).

Помилка Salesforce на порталі вакцинації проти COVID в Ірландії

Під час появи варіанту COVID Omicron у грудні 2021 року Аарон Костелло, головний інженер безпеки SaaS в AppOmni, виявив серйозну неправильну конфігурацію в онлайн-порталі вакцинації Salesforce для HSE Ірландії.

In допис у блозі, опублікований 14 березня, він пояснив, як недогляд дозволив звичайним обліковим записам низького рівня, що належать пацієнтам HSE, отримати безпрецедентний доступ до частини системи, відповідальної за зберігання інформації про введення вакцини.

Відкритий об’єкт включав повні імена пацієнтів та всю інформацію, що стосується їхніх уколів: марку вакцини, дату, місце та місце, де її вводили, а також будь-які причини, з яких вони прийняли або відмовилися від неї.

Також було виявлено документи, що належать співробітникам, а також інформацію, пов’язану з внутрішніми питаннями та процесами ІТ.

«Адміністратори Salesforce і спеціалісти з безпеки на платформах SaaS не розуміли наслідків неправильно налаштованих дозволів», — розповідає Костелло Dark Reading. «Вони точно не усвідомлювали, що такі речі можливі — що користувач з низьким рівнем привілеїв може отримати ці дані».

З того часу Salesforce поступово впровадив низку позитивних змін для запобігання такого роду помилок і пом’якшення наслідків, які можуть виникнути через них. Вбудований сканер працездатності намагається виявити такі вразливості в середовищах клієнтів, а більш надійне ведення журналів дозволяє адміністраторам краще аналізувати діяльність користувачів, особливо коли вони взаємодіють із потенційно чутливими API. Крім того, нові політики та конфігурації намагаються приховати конфіденційну інформацію, навіть у випадках, коли вони виявляються через неправильні налаштування.

«Вони не лише покращили процес аналізу журналів після злому, але й запровадили способи, за допомогою яких адміністратори можуть легко виявляти ці проблеми за допомогою сканера працездатності, а також зменшити ступінь загрози за рахунок зменшення обсягу даних, які стає доступним за певних сценаріїв», — каже Костелло.

Однак він попереджає: «Є багато організацій, які все ще неправильно налаштовують ці види контролю доступу до цього дня. Я все ще вважаю, що в галузі існує прогалина в знаннях, і частина проблеми полягає в тому, хто несе відповідальність за безпека платформ SaaS? Це адміністратори платформи? Чи залучаєте ви свою команду безпеки, коли ці речі розгортаються, щоб провести аудит?»

Порушення NHS Шотландії

Також цього тижня NHS Dumfries і Galloway опублікував сповіщення виявивши, що він зазнає «цілеспрямованої та постійної» кібератаки.

Дамфріс і Гелловей — найпівденніша місцева рада Шотландії з населенням приблизно 150,000 XNUMX осіб.

У результаті зламу, як попереджається, деякі служби можуть зіткнутися з перебоями, а зловмисники могли отримати «значну кількість даних», що належать пацієнтам і персоналу. Більш конкретні відомості про причину, характер і наслідки порушення поки не оприлюднюються.

Костелло каже: «Я думаю, що все це повертається до бюджету та фінансування. І результатом цього є, по-перше, нестача кадрів на посади з кібербезпеки в цих організаціях. Це величезна, величезна проблема.

«Ми не можемо вказувати пальцем виключно на працівників цих організацій, коли вони працюють в умовах дуже обмеженого бюджету та дуже обмеженої чисельності. Вони роблять усе можливе, використовуючи наявні в них ресурси».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles