Questa settimana, una divisione del Servizio sanitario nazionale (NHS) scozzese è stata colpita da un attacco informatico, che ha potenzialmente interrotto i servizi ed esposto i dati di pazienti e dipendenti. Nel frattempo, un ricercatore ha rivelato un errore di configurazione di Salesforce che ha esposto i dati sulla vaccinazione COVID di milioni di cittadini irlandesi provenienti dall'Health Service Executive (HSE) di quel paese.
I due incidenti, separati da un rapido salto sul Mare d'Irlanda, parlano della situazione in corso sfide che le organizzazioni sanitarie devono affrontare nella protezione delle informazioni di identificazione personale (PII) e delle informazioni sanitarie personali (PHI) più sensibili dei pazienti.
Bug di Salesforce nel portale di vaccinazione COVID dell'Irlanda
Durante l'insorgenza della variante Omicron di COVID nel dicembre 2021, Aaron Costello, principale ingegnere della sicurezza SaaS presso AppOmni, ha scoperto un grave errore di configurazione nel portale di vaccinazione online basato su Salesforce per l'HSE irlandese.
In un post sul blog pubblicato il 14 marzo, ha spiegato come una svista abbia consentito agli account regolari e di basso livello appartenenti ai pazienti HSE un accesso senza precedenti alla parte del sistema responsabile della memorizzazione delle informazioni sulla somministrazione del vaccino.
L’oggetto esposto in questione includeva i nomi completi dei pazienti e tutte le informazioni relative ai loro vaccini: la marca del vaccino, la data, il luogo e il sito in cui è stato somministrato, e tutti i motivi per cui lo hanno accettato o rifiutato.
Sono stati inoltre esposti documenti appartenenti ai membri del personale e informazioni relative a questioni e processi IT interni.
"Gli amministratori di Salesforce e i professionisti della sicurezza sulle piattaforme SaaS non comprendevano le implicazioni di autorizzazioni configurate in modo errato", dice Costello a Dark Reading. "Non erano del tutto consapevoli che queste cose fossero possibili, che un utente con privilegi limitati potesse estrarre questi dati."
Da allora, Salesforce ha gradualmente implementato una serie di modifiche positive per prevenire questo tipo di errore e mitigare le conseguenze che potrebbero derivarne. Uno scanner sanitario integrato tenta di scoprire tali vulnerabilità negli ambienti dei clienti e una registrazione più affidabile consente agli amministratori di analizzare meglio l'attività degli utenti, soprattutto quando interagiscono con API potenzialmente sensibili. Inoltre, nuove policy e configurazioni tentano di nascondere informazioni sensibili, anche nei casi in cui vengono esposte da configurazioni errate.
"Quindi non solo hanno migliorato il processo di analisi dei registri post-violazione, ma hanno anche introdotto modi in cui gli amministratori possono rilevare facilmente questi problemi con lo scanner sanitario e anche ridurre l'entità delle esposizioni riducendo la portata dei dati che diventa disponibile in determinati scenari", afferma Costello.
Tuttavia, avverte: “Ancora oggi ci sono molte organizzazioni che configurano erroneamente questo tipo di controlli di accesso. Penso ancora che ci sia un divario di conoscenze nel settore, e parte del problema è: chi è responsabile di sicurezza delle piattaforme SaaS? Sono gli amministratori della piattaforma? Coinvolgi il tuo team di sicurezza quando queste cose vengono implementate per eseguire un audit?
La violazione del sistema sanitario nazionale scozzese
Anche questa settimana, NHS Dumfries e Galloway ha pubblicato un avviso rivelando che sta subendo un attacco informatico “mirato e continuo”.
Dumfries e Galloway è l'area comunale più meridionale della Scozia, con una popolazione di circa 150,000 abitanti.
A seguito della violazione, ha avvertito, alcuni servizi potrebbero subire interruzioni e gli aggressori potrebbero aver ottenuto “una quantità significativa di dati” appartenenti a pazienti e personale. Dettagli più specifici sulla causa, la natura e le conseguenze della violazione devono ancora essere resi pubblici.
Che si tratti di una violazione in Scozia o di un errore di configurazione trascurato del sistema in Irlanda, Costello afferma: "Penso che tutto si torna al budget e ai finanziamenti. E il risultato di ciò è, in primo luogo, la carenza di personale per le posizioni di sicurezza informatica all’interno di queste organizzazioni. Questo è un problema enorme, enorme.
“Non possiamo puntare il dito solo contro i dipendenti di queste organizzazioni quando lavorano con un budget molto limitato e un organico molto limitato. Stanno facendo del loro meglio con le risorse che hanno a disposizione”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
