Bu hafta, İskoçya Ulusal Sağlık Hizmeti'nin (NHS) bir bölümü, hizmetlerin aksamasına ve hasta ve çalışan verilerinin açığa çıkmasına neden olabilecek bir siber saldırıya uğradı. Bu arada bir araştırmacı, milyonlarca İrlanda vatandaşının, o ülkenin Sağlık Hizmeti Yöneticisinden (HSE) alınan COVID aşılama verilerini açığa çıkaran bir Salesforce yapılandırma hatasını açıkladı.
İrlanda Denizi üzerinde hızlı bir sıçramayla birbirinden ayrılan iki olay, devam eden olaya işaret ediyor. sağlık kuruluşlarının karşılaştığı zorluklar hastaların en hassas kişisel tanımlanabilir bilgilerinin (PII) ve kişisel sağlık bilgilerinin (PHI) korunmasında.
İrlanda'nın COVID Aşılama Portalında Salesforce Hatası
Aralık 2021'de COVID'in Omicron varyantının başlangıcı sırasında, AppOmni'nin SaaS güvenlik mühendisi Aaron Costello, İrlanda HSE'ye yönelik Salesforce tabanlı çevrimiçi aşı portalında ciddi bir yanlış yapılandırma keşfetti.
In 14 Mart'ta yayınlanan bir blog yazısı, bir gözetimin, HSE hastalarına ait düzenli, düşük düzeyli hesapların, sistemin aşı uygulamasıyla ilgili bilgilerin depolanmasından sorumlu kısmına benzeri görülmemiş bir erişime nasıl izin verdiğini açıkladı.
Söz konusu maruz kalan nesne, hastaların tam adlarını ve iğneleriyle ilgili tüm bilgileri içeriyordu: aşının markası, tarihi, yeri ve uygulandığı yer ve bunu kabul veya reddetmelerinin nedenleri.
Personele ait belgeler ve dahili BT sorunları ve süreçleriyle ilgili bilgiler de açığa çıkarıldı.
Costello, Dark Reading'e şunları söylüyor: "SaaS platformlarındaki Salesforce yöneticileri ve güvenlik uygulayıcıları için yanlış yapılandırılmış izinlerin sonuçları konusunda bir anlayış eksikliği vardı." "Bu tür şeylerin mümkün olduğunun, yani düşük ayrıcalıklı bir kullanıcının bu verileri alıyor olabileceğinin pek farkında değillerdi."
O zamandan beri Salesforce, bu tür hataları önlemek ve bundan kaynaklanabilecek sonuçları hafifletmek için bir dizi olumlu değişikliği kademeli olarak uygulamaya koydu. Yerleşik bir sağlık tarayıcısı, müşterilerin ortamlarındaki bu tür güvenlik açıklarını ortaya çıkarmaya çalışır ve daha güçlü günlük kaydı, yöneticilerin, özellikle potansiyel olarak hassas API'lerle etkileşimde olduklarında kullanıcıların etkinliklerini daha iyi analiz etmelerine olanak tanır. Ayrıca yeni politikalar ve yapılandırmalar, yanlış yapılandırmalar nedeniyle açığa çıksalar bile hassas bilgileri gizlemeye çalışır.
"Dolayısıyla, yalnızca günlük analizinin ihlal sonrası sürecini iyileştirmekle kalmadılar, aynı zamanda yöneticilerin bu sorunları sağlık tarayıcısı ile kolayca tespit edebilecekleri yolları da tanıttılar ve aynı zamanda veri kapsamını azaltarak risklerin kapsamını da azalttılar. Costello, belirli senaryolarda kullanılabilir hale geldiğini söylüyor.
Ancak şu uyarıda bulunuyor: "Bugüne kadar bu tür erişim kontrollerini yanlış yapılandıran birçok kuruluş var. Hala sektörde bir bilgi açığı olduğunu düşünüyorum ve sorunun bir kısmı da şu: SaaS platformlarının güvenliği? Platform yöneticileri mi? Bu şeyler denetim yapmak üzere görevlendirilirken güvenlik ekibinizi de çağırıyor musunuz?”
İskoçya'nın NHS İhlali
Bu hafta ayrıca NHS Dumfries ve Galloway bir uyarı yayınladı “odaklı ve devam eden” bir siber saldırı yaşadığını ortaya koyuyor.
Dumfries ve Galloway, yaklaşık 150,000 nüfusuyla İskoçya'nın en güneydeki konsey bölgesidir.
İhlal sonucunda bazı hizmetlerde kesinti yaşanabileceği ve saldırganların hastalara ve personele ait "önemli miktarda veriyi" ele geçirebileceği uyarısında bulunuldu. İhlalin nedeni, niteliği ve sonuçlarına ilişkin daha spesifik ayrıntılar henüz kamuya açıklanmadı.
İster İskoçya'da bir ihlal olsun, ister İrlanda'da gözden kaçan bir sistem yanlış yapılandırması olsun, Costello şunları söylüyor: "Bence hepsi bütçeye ve finansmana geri dönüyor. Bunun sonucu ise öncelikle bu kuruluşlarda siber güvenlik pozisyonları için personel yetersizliğidir. Bu çok büyük, çok büyük bir sorun.
“Çok kısıtlı bir bütçe ve çok sınırlı bir personel sayısı altında çalışan bu kuruluşların çalışanlarını tek başına suçlayamayız. Ellerindeki kaynaklarla ellerinden gelenin en iyisini yapıyorlar."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
