Diese Woche wurde eine Abteilung des National Health Service (NHS) Schottland von einem Cyberangriff heimgesucht, der möglicherweise Dienste unterbrach und Patienten- und Mitarbeiterdaten offenlegte. Unterdessen enthüllte ein Forscher einen Salesforce-Konfigurationsfehler, der die COVID-Impfdaten von Millionen irischer Bürger vom Health Service Executive (HSE) des Landes offenlegte.
Die beiden Vorfälle, die durch einen kurzen Sprung über die Irische See getrennt wurden, sprechen für den Fortgang Herausforderungen, mit denen Gesundheitsorganisationen konfrontiert sind beim Schutz der sensibelsten personenbezogenen Daten (PII) und persönlichen Gesundheitsdaten (PHI) von Patienten.
Salesforce-Fehler im irischen COVID-Impfportal
Während des Ausbruchs der Omicron-Variante von COVID im Dezember 2021 entdeckte Aaron Costello, leitender SaaS-Sicherheitsingenieur bei AppOmni, eine schwerwiegende Fehlkonfiguration im Salesforce-basierten Online-Impfportal für Irlands HSE.
In ein Blogbeitrag, der am 14. März veröffentlicht wurdeEr erklärte, wie ein Versehen regulären Konten von HSE-Patienten auf niedriger Ebene einen beispiellosen Zugriff auf den Teil des Systems ermöglichte, der für die Speicherung von Informationen über die Impfstoffverabreichung zuständig ist.
Das fragliche exponierte Objekt enthielt die vollständigen Namen der Patienten und alle Informationen zu ihren Impfungen: die Marke des Impfstoffs, Datum, Ort und Ort der Verabreichung sowie etwaige Gründe, warum sie die Impfung akzeptierten oder ablehnten.
Auch Dokumente von Mitarbeitern sowie Informationen im Zusammenhang mit internen IT-Problemen und -Prozessen wurden offengelegt.
„Salesforce-Administratoren und Sicherheitsexperten auf SaaS-Plattformen hatten kein Verständnis für die Auswirkungen falsch konfigurierter Berechtigungen“, sagt Costello gegenüber Dark Reading. „Sie waren sich nicht ganz bewusst, dass so etwas möglich ist – dass ein Benutzer mit geringen Privilegien diese Daten abrufen könnte.“
Seitdem hat Salesforce nach und nach eine Reihe positiver Änderungen umgesetzt, um diese Art von Fehlern zu verhindern und die daraus resultierenden Folgen abzumildern. Ein integrierter Gesundheitsscanner versucht, solche Schwachstellen in Kundenumgebungen aufzudecken, und eine robustere Protokollierung ermöglicht es Administratoren, die Aktivitäten von Benutzern besser zu analysieren, insbesondere wenn sie mit potenziell sensiblen APIs interagieren. Außerdem versuchen neue Richtlinien und Konfigurationen, vertrauliche Informationen zu verbergen, selbst wenn sie durch Fehlkonfigurationen offengelegt werden.
„Sie haben also nicht nur den Post-Break-Prozess der Protokollanalyse verbessert, sondern auch Möglichkeiten eingeführt, wie Administratoren diese Probleme mit dem Gesundheitsscanner leicht erkennen und auch das Ausmaß der Gefährdung durch Reduzierung des Datenumfangs reduzieren können.“ wird in bestimmten Szenarien verfügbar“, sagt Costello.
Er warnt jedoch: „Viele Organisationen konfigurieren diese Art von Zugangskontrollen bis heute noch falsch.“ Ich glaube immer noch, dass es in der Branche eine Wissenslücke gibt, und ein Teil der Frage ist: Wer ist dafür verantwortlich? Sicherheit von SaaS-Plattformen? Sind es die Plattformadministratoren? Ziehen Sie Ihr Sicherheitsteam hinzu, wenn diese Dinge für eine Prüfung eingesetzt werden?“
Schottlands NHS-Verstoß
Auch diese Woche NHS Dumfries und Galloway eine Warnung veröffentlicht Dies enthüllt, dass es sich um einen „gezielten und anhaltenden“ Cyberangriff handelt.
Dumfries and Galloway ist mit etwa 150,000 Einwohnern die südlichste Gemeinde Schottlands.
Infolge des Verstoßes, warnte sie, könnte es zu Störungen bei einigen Diensten kommen und die Angreifer könnten „eine erhebliche Menge an Daten“ von Patienten und Personal erhalten haben. Genauere Einzelheiten zu Ursache, Art und Folgen des Verstoßes müssen noch veröffentlicht werden.
Ob es sich um einen Verstoß in Schottland oder eine übersehene Fehlkonfiguration des Systems in Irland handelt, sagt Costello: „Ich denke an alles kommt zurück auf Budget und Finanzierung. Und das Ergebnis davon ist erstens ein Personalmangel für Cybersicherheitspositionen in diesen Organisationen. Das ist ein gewaltiges, gewaltiges Problem.
„Wir können nicht nur mit dem Finger auf die Mitarbeiter dieser Organisationen zeigen, wenn sie mit einem sehr begrenzten Budget und einer sehr begrenzten Mitarbeiterzahl arbeiten. Sie geben ihr Bestes mit den ihnen zur Verfügung stehenden Ressourcen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
