Deze week werd een afdeling van de National Health Service (NHS) Schotland getroffen door een cyberaanval, waardoor de dienstverlening mogelijk werd verstoord en patiënt- en werknemersgegevens openbaar werden gemaakt. Ondertussen onthulde een onderzoeker een Salesforce-configuratiefout waardoor de COVID-vaccinatiegegevens van miljoenen Ierse burgers van de Health Service Executive (HSE) van dat land openbaar werden gemaakt.
De twee incidenten, gescheiden door een snelle sprong over de Ierse Zee, spreken tot de voortdurende situatie uitdagingen waar zorgorganisaties mee te maken krijgen bij het beschermen van de meest gevoelige persoonlijk identificeerbare informatie (PII) en persoonlijke gezondheidsinformatie (PHI) van patiënten.
Salesforce-bug in het Ierse COVID-vaccinatieportaal
Tijdens de start van de Omicron-variant van COVID in december 2021 ontdekte Aaron Costello, hoofd SaaS-beveiligingsingenieur bij AppOmni, een ernstige misconfiguratie in het op Salesforce gebaseerde online vaccinatieportaal voor de Ierse HSE.
In een blogpost gepubliceerd op 14 maart, legde hij uit hoe een toezicht reguliere accounts op laag niveau van HSE-patiënten ongekende toegang mogelijk maakte tot het deel van het systeem dat verantwoordelijk is voor het opslaan van informatie over de toediening van vaccins.
Het blootgestelde object in kwestie bevatte de volledige namen van patiënten en alle informatie met betrekking tot hun prikken: het merk van het vaccin, de datum, de locatie en de plaats waar het werd toegediend, en alle redenen waarom ze het accepteerden of weigerden.
Documenten van personeelsleden en informatie met betrekking tot interne IT-problemen en -processen werden ook openbaar gemaakt.
“Voor Salesforce-beheerders en beveiligingsprofessionals op SaaS-platforms was er een gebrek aan inzicht in de implicaties van verkeerd geconfigureerde machtigingen”, vertelt Costello aan Dark Reading. “Ze waren zich er niet scherp van bewust dat deze dingen mogelijk zijn – dat een gebruiker met weinig rechten deze gegevens zou kunnen ophalen.”
In de tijd daarna heeft Salesforce geleidelijk een aantal positieve veranderingen doorgevoerd om dit soort fouten te voorkomen en de gevolgen die daaruit zouden kunnen voortvloeien te verzachten. Een ingebouwde gezondheidsscanner probeert dergelijke kwetsbaarheden in de omgevingen van klanten bloot te leggen, en robuustere logboekregistratie stelt beheerders in staat de activiteit van gebruikers beter te analyseren, vooral wanneer ze interactie hebben met potentieel gevoelige API's. Bovendien proberen nieuwe beleidsregels en configuraties gevoelige informatie te verbergen, zelfs in gevallen waarin deze aan het licht komen door verkeerde configuraties.
“Dus niet alleen hebben ze het proces van loganalyse na de inbreuk verbeterd, ze hebben ook manieren geïntroduceerd waarop beheerders deze problemen gemakkelijk kunnen detecteren met de gezondheidsscanner, en ook de omvang van de blootstelling kunnen verminderen door de reikwijdte van de gegevens die komt in bepaalde scenario's beschikbaar”, zegt Costello.
Hij waarschuwt echter: “Er zijn tot op de dag van vandaag nog steeds veel organisaties die dit soort toegangscontroles verkeerd configureren. Ik denk nog steeds dat er een kenniskloof bestaat in de sector, en een deel van de kwestie is: wie is verantwoordelijk voor de beveiliging van SaaS-platforms? Zijn het de platformbeheerders? Schakelt u uw beveiligingsteam in als deze dingen worden ingezet om een audit uit te voeren?”
De Schotse NHS-inbreuk
Ook deze week NHS Dumfries en Galloway een waarschuwing gepubliceerd waaruit blijkt dat het een “gerichte en voortdurende” cyberaanval ervaart.
Dumfries en Galloway is het meest zuidelijke raadsgebied van Schotland, met ongeveer 150,000 inwoners.
Als gevolg van de inbreuk, zo waarschuwde het bedrijf, kunnen sommige diensten verstoord worden en hebben de aanvallers mogelijk “een aanzienlijke hoeveelheid gegevens” van patiënten en personeel verkregen. Meer specifieke details over de oorzaak, de aard en de gevolgen van de inbreuk moeten nog worden bekendgemaakt.
Of het nu gaat om een inbreuk in Schotland of een over het hoofd geziene verkeerde configuratie van het systeem in Ierland, Costello zegt: “Ik denk dat het allemaal komt terug op de begroting en de financiering. En het resultaat daarvan is in de eerste plaats onderbezetting voor cybersecurityposities binnen deze organisaties. Dat is een enorm, enorm probleem.
“We kunnen niet alleen met de vinger wijzen naar de werknemers van deze organisaties als ze met een zeer beperkt budget en een zeer beperkt personeelsbestand werken. Ze doen hun best met de middelen die ze tot hun beschikking hebben.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
