Αυτή την εβδομάδα, ένα τμήμα της Εθνικής Υπηρεσίας Υγείας (NHS) της Σκωτίας επλήγη από κυβερνοεπίθεση, η οποία ενδέχεται να διαταράξει τις υπηρεσίες και να εκθέσει δεδομένα ασθενών και εργαζομένων. Εν τω μεταξύ, ένας ερευνητής αποκάλυψε ένα σφάλμα διαμόρφωσης Salesforce που εξέθεσε τα δεδομένα εμβολιασμού εκατομμυρίων Ιρλανδών πολιτών κατά του COVID από το Στέλεχος Υπηρεσιών Υγείας (HSE) αυτής της χώρας.
Τα δύο περιστατικά, που χωρίζονται από ένα γρήγορο άλμα πάνω από τη Θάλασσα της Ιρλανδίας, μιλούν για το συνεχιζόμενο προκλήσεις που αντιμετωπίζουν οι οργανισμοί υγειονομικής περίθαλψης στην προστασία των πιο ευαίσθητων προσωπικών πληροφοριών ταυτοποίησης (PII) και των προσωπικών πληροφοριών υγείας (PHI) των ασθενών.
Salesforce Bug στην πύλη εμβολιασμού COVID της Ιρλανδίας
Κατά την έναρξη της παραλλαγής Omicron του COVID τον Δεκέμβριο του 2021, ο Aaron Costello, κύριος μηχανικός ασφαλείας SaaS στην AppOmni, ανακάλυψε μια σοβαρή εσφαλμένη διαμόρφωση στην ηλεκτρονική πύλη εμβολιασμού που βασίζεται στο Salesforce για το HSE της Ιρλανδίας.
In μια ανάρτηση ιστολογίου που δημοσιεύτηκε στις 14 Μαρτίου, εξήγησε πώς μια παράβλεψη επέτρεψε σε τακτικούς λογαριασμούς χαμηλού επιπέδου που ανήκαν σε ασθενείς με HSE άνευ προηγουμένου πρόσβαση στο τμήμα του συστήματος που είναι υπεύθυνο για την αποθήκευση πληροφοριών σχετικά με τη χορήγηση του εμβολίου.
Το εν λόγω εκτεθειμένο αντικείμενο περιελάμβανε τα πλήρη ονόματα των ασθενών και όλες τις πληροφορίες σχετικά με τα εμβόλια τους: τη μάρκα του εμβολίου, την ημερομηνία, την τοποθεσία και τον τόπο στον οποίο χορηγήθηκε και τυχόν λόγους που το αποδέχθηκαν ή το αρνήθηκαν.
Εκτέθηκαν επίσης έγγραφα που ανήκουν σε μέλη του προσωπικού και πληροφορίες σχετικά με εσωτερικά θέματα και διαδικασίες πληροφορικής.
«Για τους διαχειριστές του Salesforce και τους επαγγελματίες ασφαλείας στις πλατφόρμες SaaS, υπήρχε έλλειψη κατανόησης των επιπτώσεων των εσφαλμένων ρυθμίσεων αδειών», λέει ο Costello στο Dark Reading. «Δεν γνώριζαν καλά ότι αυτά τα πράγματα είναι πιθανά – ότι ένας χρήστης με χαμηλά προνόμια θα μπορούσε να αντλεί αυτά τα δεδομένα».
Από τότε, η Salesforce έχει εφαρμόσει σταδιακά μια σειρά θετικών αλλαγών για την πρόληψη αυτού του είδους σφαλμάτων και τον μετριασμό των συνεπειών που μπορεί να προκύψουν από αυτό. Ένας ενσωματωμένος σαρωτής υγείας επιχειρεί να αποκαλύψει τέτοιες ευπάθειες στα περιβάλλοντα των πελατών και η πιο ισχυρή καταγραφή επιτρέπει στους διαχειριστές να αναλύουν καλύτερα τη δραστηριότητα των χρηστών, ειδικά όταν αυτοί αλληλεπιδρούν με δυνητικά ευαίσθητα API. Επίσης, νέες πολιτικές και διαμορφώσεις προσπαθούν να αποκρύψουν ευαίσθητες πληροφορίες, ακόμη και σε περιπτώσεις που εκτίθενται λόγω εσφαλμένων διαμορφώσεων.
«Έτσι, όχι μόνο βελτίωσαν τη διαδικασία ανάλυσης αρχείων καταγραφής μετά την παραβίαση, αλλά εισήγαγαν επίσης τρόπους με τους οποίους οι διαχειριστές μπορούν εύκολα να εντοπίσουν αυτά τα ζητήματα με τον σαρωτή υγείας και επίσης να μειώσουν την έκταση των εκθέσεων μειώνοντας το εύρος των δεδομένων που γίνεται διαθέσιμο σε ορισμένα σενάρια», λέει ο Costello.
Ωστόσο, προειδοποιεί: «Υπάρχουν πολλοί οργανισμοί που εξακολουθούν να ρυθμίζουν εσφαλμένα αυτά τα είδη των ελέγχων πρόσβασης μέχρι σήμερα. Εξακολουθώ να πιστεύω ότι υπάρχει ένα κενό γνώσης στον κλάδο, και μέρος του ζητήματος είναι: Ποιος είναι υπεύθυνος για το ασφάλεια των πλατφορμών SaaS? Είναι οι διαχειριστές της πλατφόρμας; Τραβάτε την ομάδα ασφαλείας σας όταν αυτά τα πράγματα αναπτύσσονται για να κάνετε έλεγχο;»
Παραβίαση του NHS της Σκωτίας
Επίσης αυτή την εβδομάδα, NHS Dumfries και Galloway δημοσίευσε προειδοποίηση αποκαλύπτοντας ότι βιώνει μια «εστιασμένη και συνεχή» κυβερνοεπίθεση.
Το Dumfries and Galloway είναι η νοτιότερη δημοτική περιοχή της Σκωτίας, με πληθυσμό περίπου 150,000 κατοίκους.
Ως αποτέλεσμα της παραβίασης, προειδοποίησε, ορισμένες υπηρεσίες ενδέχεται να παρουσιάσουν διακοπή και οι εισβολείς μπορεί να έχουν λάβει «σημαντική ποσότητα δεδομένων» που ανήκουν σε ασθενείς και το προσωπικό. Περισσότερες συγκεκριμένες λεπτομέρειες σχετικά με την αιτία, τη φύση και τις συνέπειες της παραβίασης δεν έχουν ακόμη δημοσιοποιηθεί.
Είτε πρόκειται για παραβίαση στη Σκωτία είτε για παραβλέπεται εσφαλμένη διαμόρφωση του συστήματος στην Ιρλανδία, ο Costello λέει, «Νομίζω ότι όλα επανέρχεται στον προϋπολογισμό και τη χρηματοδότηση. Και το αποτέλεσμα αυτού είναι, πρώτον, η υποστελέχωση για θέσεις κυβερνοασφάλειας εντός αυτών των οργανισμών. Αυτό είναι ένα τεράστιο, τεράστιο πρόβλημα.
«Δεν μπορούμε να κουνάμε το δάχτυλο μόνο στους υπαλλήλους αυτών των οργανισμών όταν εργάζονται με πολύ περιορισμένο προϋπολογισμό και πολύ περιορισμένο αριθμό προσωπικού. Κάνουν το καλύτερο δυνατό με τους πόρους που έχουν στη διάθεσή τους».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
