Esta semana, uma divisão do Serviço Nacional de Saúde (NHS) da Escócia foi atingida por um ataque cibernético, potencialmente perturbando serviços e expondo dados de pacientes e funcionários. Enquanto isso, um pesquisador divulgou um erro de configuração do Salesforce que expôs dados de vacinação COVID de milhões de cidadãos irlandeses do Health Service Executive (HSE) daquele país.
Os dois incidentes, separados por um rápido salto sobre o Mar da Irlanda, falam da situação em curso desafios que as organizações de saúde enfrentam na proteção das informações pessoais identificáveis (PII) e informações pessoais de saúde (PHI) mais sensíveis dos pacientes.
Bug do Salesforce no portal de vacinação COVID da Irlanda
Durante o início da variante Omicron do COVID em dezembro de 2021, Aaron Costello, principal engenheiro de segurança SaaS da AppOmni, descobriu uma grave configuração incorreta no portal de vacinação online baseado em Salesforce para o HSE da Irlanda.
In uma postagem de blog publicada em 14 de março, ele explicou como um descuido permitiu que contas regulares e de baixo nível pertencentes a pacientes de HSE tivessem acesso sem precedentes à parte do sistema responsável por armazenar informações sobre a administração de vacinas.
O objeto exposto em questão incluía os nomes completos dos pacientes e todas as informações relativas às suas vacinas: a marca da vacina, a data, o local e o local em que foi administrada e os motivos pelos quais a aceitaram ou recusaram.
Documentos pertencentes a funcionários e informações relacionadas a questões e processos internos de TI também foram expostos.
“Para administradores do Salesforce e profissionais de segurança em plataformas SaaS, havia uma falta de compreensão das implicações das permissões configuradas incorretamente”, disse Costello à Dark Reading. “Eles não tinham plena consciência de que essas coisas eram possíveis – que um usuário com poucos privilégios poderia estar extraindo esses dados.”
Desde então, a Salesforce implementou gradualmente uma série de mudanças positivas para prevenir esse tipo de erro e mitigar as consequências que podem ocorrer a partir dele. Um scanner de integridade integrado tenta descobrir essas vulnerabilidades nos ambientes dos clientes, e um registro mais robusto permite que os administradores analisem melhor a atividade dos usuários, especialmente quando eles estão interagindo com APIs potencialmente confidenciais. Além disso, novas políticas e configurações tentam ocultar informações confidenciais, mesmo nos casos em que são expostas por configurações incorretas.
“Portanto, eles não apenas melhoraram o processo de análise de log pós-violação, mas também introduziram maneiras pelas quais os administradores podem detectar facilmente esses problemas com o scanner de saúde e também reduzir a extensão das exposições, reduzindo o escopo dos dados que torna-se disponível em determinados cenários”, diz Costello.
No entanto, ele alerta: “Até hoje, muitas organizações ainda configuram incorretamente esses tipos de controles de acesso. Ainda acho que existe uma lacuna de conhecimento na indústria, e parte da questão é: quem é o responsável pela segurança de plataformas SaaS? São os administradores da plataforma? Você chama sua equipe de segurança quando essas coisas estão sendo implantadas para fazer uma auditoria?”
Violação do NHS da Escócia
Também esta semana, NHS Dumfries e Galloway publicou um alerta revelando que está enfrentando um ataque cibernético “focado e contínuo”.
Dumfries e Galloway é a área do conselho mais ao sul da Escócia, com uma população de aproximadamente 150,000 habitantes.
Como resultado da violação, alertou, alguns serviços podem sofrer interrupções e os invasores podem ter obtido “uma quantidade significativa de dados” pertencentes a pacientes e funcionários. Detalhes mais específicos sobre a causa, natureza e consequências da violação ainda não foram divulgados.
Quer se trate de uma violação na Escócia ou de uma configuração incorreta do sistema na Irlanda, Costello diz: “Acho que tudo volta ao orçamento e financiamento. E o resultado disso é, em primeiro lugar, a falta de pessoal para cargos de segurança cibernética nestas organizações. Esse é um problema enorme, enorme.
“Não podemos apontar o dedo apenas aos funcionários destas organizações quando trabalham com um orçamento muito restrito e um número de funcionários muito restrito. Eles estão fazendo o melhor que podem com os recursos que têm à sua disposição.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
