تعرض قسم من هيئة الخدمات الصحية الوطنية (NHS) في اسكتلندا هذا الأسبوع لهجوم إلكتروني، مما قد يؤدي إلى تعطيل الخدمات وكشف بيانات المرضى والموظفين. وفي الوقت نفسه، كشف أحد الباحثين عن خطأ في تكوين Salesforce أدى إلى كشف بيانات التطعيم ضد فيروس كورونا لملايين المواطنين الأيرلنديين من المدير التنفيذي للخدمات الصحية (HSE) في ذلك البلد.
الحادثتان، اللتان تفصل بينهما قفزة سريعة فوق البحر الأيرلندي، تشيران إلى ما هو مستمر التحديات التي تواجه منظمات الرعاية الصحية في حماية معلومات التعريف الشخصية الأكثر حساسية للمرضى (PII) والمعلومات الصحية الشخصية (PHI).
خطأ Salesforce في بوابة التطعيم ضد فيروس كورونا في أيرلندا
أثناء ظهور متغير Omicron الخاص بـCOVID في ديسمبر 2021، اكتشف آرون كوستيلو، مهندس أمان SaaS الرئيسي في AppOmni، خطأً شديدًا في التكوين في بوابة التطعيم عبر الإنترنت المستندة إلى Salesforce لـ HSE في أيرلندا.
In منشور مدونة تم نشره في 14 مارسوأوضح كيف سمحت الرقابة للحسابات المنتظمة ذات المستوى المنخفض التابعة لمرضى الصحة والسلامة والبيئة بالوصول غير المسبوق إلى جزء النظام المسؤول عن تخزين المعلومات حول إدارة اللقاح.
يتضمن الجسم المكشوف المعني الأسماء الكاملة للمرضى وجميع المعلومات المتعلقة بلقاحاتهم: ماركة اللقاح والتاريخ والموقع والموقع الذي تم إعطاؤه فيه، وأي أسباب لقبوله أو رفضه.
كما تم الكشف عن المستندات الخاصة بالموظفين والمعلومات المتعلقة بقضايا وعمليات تكنولوجيا المعلومات الداخلية.
يقول كوستيلو لـ Dark Reading: "بالنسبة لمسؤولي Salesforce وممارسي الأمان على منصات SaaS، كان هناك نقص في فهم الآثار المترتبة على الأذونات التي تمت تهيئتها بشكل خاطئ". "لم يكونوا مدركين تمامًا أن هذه الأشياء ممكنة، وأن مستخدمًا ذا امتيازات منخفضة يمكن أن يسحب هذه البيانات."
ومنذ ذلك الحين، نفذت Salesforce تدريجيًا عددًا من التغييرات الإيجابية لمنع هذا النوع من الأخطاء وتخفيف العواقب التي قد تنجم عنها. يحاول الماسح الصحي المدمج الكشف عن نقاط الضعف هذه في بيئات العملاء، ويتيح التسجيل الأكثر قوة للمسؤولين تحليل نشاط المستخدمين بشكل أفضل، خاصة عندما يتفاعلون مع واجهات برمجة التطبيقات التي يحتمل أن تكون حساسة. كما تحاول السياسات والتكوينات الجديدة إخفاء المعلومات الحساسة، حتى في الحالات التي يتم فيها كشفها عن طريق التكوينات الخاطئة.
"لذلك، لم يقتصر الأمر على تحسين عملية تحليل السجل بعد الانتهاك، بل قدموا أيضًا طرقًا يمكن للمسؤولين من خلالها اكتشاف هذه المشكلات بسهولة باستخدام أداة فحص الصحة، وكذلك تقليل مدى التعرض عن طريق تقليل نطاق البيانات التي يقول كوستيلو: "يصبح متاحًا في سيناريوهات معينة".
ومع ذلك، فهو يحذر من أن "هناك الكثير من المنظمات التي لا تزال تخطئ في تكوين هذه الأنواع من عناصر التحكم في الوصول حتى يومنا هذا. ما زلت أعتقد أن هناك فجوة معرفية في الصناعة، وجزء من المشكلة هو: من المسؤول عن ذلك؟ أمن منصات SaaS؟ هل هم مسؤولي المنصة؟ هل تقوم بسحب فريقك الأمني عندما يتم نشر هذه الأشياء لإجراء التدقيق؟
خرق NHS في اسكتلندا
هذا الأسبوع أيضًا، NHS Dumfries و Galloway نشر تنبيهًا كاشفة أنها تتعرض لهجوم إلكتروني "مركز ومستمر".
دومفريز وجالواي هي منطقة مجلس أقصى جنوب اسكتلندا، ويبلغ عدد سكانها حوالي 150,000 نسمة.
وحذرت من أنه نتيجة لهذا الاختراق، قد تتعرض بعض الخدمات إلى انقطاع، وربما يكون المهاجمون قد حصلوا على "كمية كبيرة من البيانات" تخص المرضى والموظفين. ولم يتم بعد نشر المزيد من التفاصيل المحددة حول سبب الانتهاك وطبيعته وعواقبه.
سواء كان الأمر يتعلق باختراق في اسكتلندا أو خطأ في تكوين النظام تم التغاضي عنه في أيرلندا، يقول كوستيلو: "أعتقد أن الأمر برمته يعود إلى الميزانية والتمويل. ونتيجة ذلك، أولاً، نقص عدد الموظفين في مناصب الأمن السيبراني داخل هذه المنظمات. هذه مشكلة ضخمة وضخمة.
"لا يمكننا توجيه أصابع الاتهام فقط إلى موظفي هذه المنظمات عندما يعملون في ظل ميزانية محدودة للغاية وعدد محدود للغاية من الموظفين. إنهم يبذلون قصارى جهدهم باستخدام الموارد المتاحة لهم."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
