Tuần này, một bộ phận của Cơ quan Y tế Quốc gia (NHS) Scotland đã bị tấn công mạng, có khả năng làm gián đoạn các dịch vụ và làm lộ dữ liệu của bệnh nhân và nhân viên. Trong khi đó, một nhà nghiên cứu đã tiết lộ một lỗi cấu hình Salesforce làm lộ dữ liệu tiêm chủng COVID của hàng triệu công dân Ireland từ Cơ quan Điều hành Dịch vụ Y tế (HSE) của quốc gia đó.
Hai sự cố xảy ra cách nhau bằng một cú nhảy nhanh qua Biển Ailen, nói lên vấn đề đang diễn ra. những thách thức mà các tổ chức chăm sóc sức khỏe phải đối mặt trong việc bảo vệ thông tin nhận dạng cá nhân nhạy cảm nhất (PII) và thông tin sức khỏe cá nhân (PHI) của bệnh nhân.
Lỗi Salesforce trong Cổng thông tin tiêm chủng COVID của Ireland
Trong quá trình xuất hiện biến thể Omicron của COVID vào tháng 2021 năm XNUMX, Aaron Costello, kỹ sư bảo mật SaaS chính tại AppOmni, đã phát hiện ra một cấu hình sai nghiêm trọng trong cổng tiêm chủng trực tuyến có trụ sở tại Salesforce cho HSE của Ireland.
In một bài đăng trên blog được xuất bản vào ngày 14 tháng XNUMXÔng giải thích cách giám sát cho phép các tài khoản thông thường, cấp thấp của bệnh nhân HSE có quyền truy cập chưa từng có vào phần hệ thống chịu trách nhiệm lưu trữ thông tin về quản lý vắc xin.
Đối tượng được đề cập bao gồm tên đầy đủ của bệnh nhân và tất cả thông tin liên quan đến mũi tiêm của họ: nhãn hiệu vắc xin, ngày, địa điểm và địa điểm tiêm vắc xin cũng như bất kỳ lý do nào khiến họ chấp nhận hoặc từ chối vắc xin.
Các tài liệu của nhân viên và thông tin liên quan đến các vấn đề và quy trình CNTT nội bộ cũng bị lộ.
Costello nói với Dark Reading: “Đối với các quản trị viên Salesforce và những người thực hành bảo mật trên nền tảng SaaS, họ còn thiếu hiểu biết về tác động của các quyền bị định cấu hình sai”. “Họ không nhận thức sâu sắc rằng những điều này có thể xảy ra - rằng một người dùng có đặc quyền thấp có thể lấy dữ liệu này.”
Trong thời gian kể từ đó, Salesforce đã dần dần thực hiện một số thay đổi tích cực nhằm ngăn chặn loại lỗi này và giảm thiểu hậu quả có thể xảy ra từ nó. Trình quét tình trạng tích hợp cố gắng phát hiện các lỗ hổng như vậy trong môi trường của khách hàng và tính năng ghi nhật ký mạnh mẽ hơn cho phép quản trị viên phân tích tốt hơn hoạt động của người dùng, đặc biệt là khi họ tương tác với các API có khả năng nhạy cảm. Ngoài ra, các chính sách và cấu hình mới cố gắng che giấu thông tin nhạy cảm, ngay cả trong trường hợp chúng bị lộ do cấu hình sai.
“Vì vậy, họ không chỉ cải thiện quy trình phân tích nhật ký sau vi phạm mà còn giới thiệu những cách mà quản trị viên có thể dễ dàng phát hiện những vấn đề này bằng máy quét sức khỏe, đồng thời giảm mức độ phơi nhiễm bằng cách giảm phạm vi dữ liệu mà sẽ có sẵn trong một số trường hợp nhất định,” Costello nói.
Tuy nhiên, ông cảnh báo: “Cho đến ngày nay, vẫn có rất nhiều tổ chức định cấu hình sai các loại biện pháp kiểm soát truy cập này. Tôi vẫn nghĩ rằng có lỗ hổng kiến thức trong ngành và một phần của vấn đề là: Ai chịu trách nhiệm về việc này? bảo mật của nền tảng SaaS? Có phải là quản trị viên nền tảng? Bạn có mời nhóm bảo mật của mình tham gia khi những thứ này đang được triển khai để thực hiện kiểm tra không?
Vi phạm NHS của Scotland
Cũng trong tuần này, NHS Dumfries và Galloway đã công bố một cảnh báo tiết lộ rằng họ đang trải qua một cuộc tấn công mạng “tập trung và đang diễn ra”.
Dumfries và Galloway là khu vực hội đồng cực nam của Scotland, với dân số khoảng 150,000 người.
Do vi phạm, họ cảnh báo, một số dịch vụ có thể bị gián đoạn và những kẻ tấn công có thể đã lấy được “một lượng dữ liệu đáng kể” về bệnh nhân và nhân viên. Thông tin chi tiết cụ thể hơn về nguyên nhân, tính chất và hậu quả của hành vi vi phạm vẫn chưa được công bố.
Cho dù đó là vi phạm ở Scotland hay do cấu hình sai hệ thống bị bỏ qua ở Ireland, Costello nói: “Tôi nghĩ tất cả đều như vậy quay trở lại với ngân sách và nguồn tài trợ. Và kết quả của việc đó trước hết là thiếu nhân sự cho các vị trí an ninh mạng trong các tổ chức này. Đó là một vấn đề lớn, rất lớn.
“Chúng tôi không thể chỉ đổ lỗi cho nhân viên của các tổ chức này khi họ đang làm việc với ngân sách rất hạn chế và số lượng nhân viên rất hạn chế. Họ đang cố gắng hết sức với những nguồn lực sẵn có.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/nhs-breach-hse-bug-expose-healthcare-data-british-isles
