Пробив в iRhythm: Облачни приложения на трети страни разкриват данни на пациенти

Пробив в iRhythm: Облачни приложения на трети страни разкриват данни на пациенти

Пробив в данни на здравеопазването в iRhythm, компанията за сърдечно наблюдение, разкри здравна информация на пациенти, след като нападателите получиха достъп до приложения, хоствани от трети страни извън пряката инфраструктура на компанията. Инцидентът следва непосредствено след съобщения пробив, включващ Novo Nordisk, и затвърждава модел, който специалистите по сигурността многократно подчертават: данните в здравеопазването са толкова сигурни, колкото най-слабата връзка с доставчик. За пациентите и доставчиците на услуги случаят с iRhythm е остър напомнящ знак, че излагането на данни в здравеопазването чрез облачни услуги на трети страни сега е една от най-значимите повърхности за атака в медицината.

Какво се случи при пробива в iRhythm

iRhythm разкри, че хакери са получили достъп до приложения, хоствани от доставчик трета страна, а не до собствените вътрешни системи на iRhythm, и са успели да извлекат здравна информация на пациенти чрез този достъп. Компанията, която произвежда носими устройства за сърдечно наблюдение като Zio patch, обработва дълбоко чувствителни данни, включително физиологични записи и лични здравни досиета, свързани със сърдечни заболявания.

Въпреки че конкретни подробности за обема на засегнатите записи и точните използвани методи не са напълно публикувани, основният механизъм е значим: нападателите не е трябвало да пробият собствения периметър на iRhythm. Те са преминали през доставчик. Това разграничение има огромно значение за начина, по който компаниите и пациентите трябва да мислят за риска.

Защо хостингът в облак на трети страни създава слепи петна, които VPN не могат да затворят

Много организации, включително доставчици на здравни услуги, внедряват VPN, за да криптират трафика и да ограничат достъпа до вътрешни системи. VPN са легитимен и полезен инструмент за защита на данните при пренос в мрежи, които организацията контролира. Но когато данните на пациентите се намират в приложения, хоствани от външен доставчик на отделна облачна инфраструктура, VPN, защитаващ собствената мрежа на iRhythm, не прави нищо, за да защити тази среда.

Приложенията, хоствани от трети страни, функционират според позата на сигурност на доставчика, неговите контроли за достъп, графици за поправяне на уязвимости и възможности за откриване на инциденти. Здравните организации често имат ограничена договорна видимост за това как тези доставчици управляват сигурността ежедневно. Това не е нишов проблем: той отразява случилото се в атаката с рансъмуер срещу Cropwise, където целева платформа на доставчик стана входна точка за нападатели, търсещи ценни данни, съхранявани извън укрепения периметър на основната организация.

Сляпото петно е структурно. Когато данните се преместят в среда на трета страна, отговорността за сигурността се раздробява и пробив при доставчика става пробив за всяка организация, чиито данни се намират там.

Нарастващ модел на атаки срещу инфраструктурата на доставчици в здравеопазването

Пробивът в iRhythm не се случи изолирано. Здравните организации бяха удряни многократно чрез зависимости от доставчици през последните години. Инцидентът с Change Healthcare разкри записите на приблизително 100 милиона души, след като нападатели компрометираха критичен доставчик на платежна и рецептурна инфраструктура. Телездравни платформи, компании за фактуриране, доставчици на електронни здравни досиета и хранилища на данни от устройства станаха първокласни цели, защото агрегират записи от десетки или стотици здравни клиенти едновременно.

За нападателите икономиката е ясна. Пробивът на една единствена облачна платформа на трета страна, която обслужва двадесет здравни организации, носи двадесет пъти повече данни за приблизително същите усилия. Здравните данни достигат високи цени на престъпните пазари, защото съдържат медицинска история, данни за застраховки, дати на раждане и социалноосигурителни номера, всички обединени заедно, което ги прави много по-полезни за измами и кражба на самоличност, отколкото само финансовите идентификационни данни.

Времето на разкритието на iRhythm, което идва толкова близо до инцидента с Novo Nordisk, предполага или координирана кампания, насочена към здравния сектор, или, по-вероятно, че нападателите систематично проучват екосистемите от доставчици, които здравните компании споделят.

Какви контроли за поверителност трябва да изискват пациентите и потребителите на здравни услуги сега

Пациентите имат ограничен пряк контрол върху начина, по който здравните компании управляват отношенията си с доставчици, но не са напълно без средства за защита или влияние.

Питайте за местоположението на данните. Когато се записват в програми за дистанционно наблюдение, телездравни услуги или всяка платформа за цифрово здраве, пациентите могат да попитат директно: къде се съхраняват моите данни и кой друг има достъп до тях? Доставчиците трябва да могат да отговорят ясно на това. Неясните отговори са знак, който си струва да се отбележи.

Преглеждайте внимателно разрешенията за разкриване по HIPAA. Много пациенти подписват широки разрешения, без да четат кои трети страни могат да получат техните данни. Тези документи описват отношенията с доставчици и разрешенията за споделяне на данни. Прочитането им отнема време, но създава осведоменост за повърхността на излагане.

Следете за уведомления за пробиви. Според HIPAA, покритите субекти са задължени да уведомят засегнатите лица за пробиви, засягащи тяхната защитена здравна информация. Пациентите, които получат такива известия, трябва да ги приемат сериозно, да проверят какви конкретни данни са включени и да обмислят поставянето на кредитни замразявания или предупреждения за измама, ако социалноосигурителните номера или финансови данни са били част от изложените записи.

За здравните организации и екипите по обществени поръчки, изискването за действие е одити за сигурност на доставчици с истински зъби. Програмите за управление на риска от трети страни, които включват договорни изисквания за сигурност, редовно тестване на проникване на приложения, хоствани от доставчици, и документирани протоколи за реакция при инциденти, трябва да бъдат базови очаквания, а не допълнителни опции.

Какво означава това за вас

Пробивът в iRhythm подчертава, че поверителността на пациентите в цифровото здраве зависи от цялата верига от доставчици, а не само от организацията, чието име фигурира върху устройството или приложението. VPN, силни пароли или двуфакторна автентикация на вашия пациентски портал няма да защитят данните, след като те вече са копирани в облачно приложение на трета страна, което самата здравна компания не обезпечава пряко.

За ежедневните потребители на здравни услуги, най-практичната стъпка точно сега е да направите одит на собствения си цифров здравен отпечатък. Направете списък на приложенията, услугите за дистанционно наблюдение и пациентските портали, които използвате, и прегледайте техните политики за поверителност за препратки към обработващи данни трети страни. Ако дадена услуга не може ясно да обясни кой държи вашите данни и как те са защитени, това е информация, която си струва да имате преди уведомлението за пробив да пристигне във входящата ви поща.

Здравните организации, които сериозно искат да затворят тези пропуски, трябва да преминат отвъд периметровите защити и да третират сигурността на доставчиците като продължение на собствената си. Случаят с iRhythm показва ясно, че въпросът вече не е дали здравните данни в облачни среди на трети страни ще бъдат атакувани. Въпросът е колко бързо организациите и регулаторите ще затворят пропуските в отговорността, които правят тези атаки толкова надеждно успешни.