Co se stalo při úniku dat iRhythm?

Hackeři získali přístup k chráněným informacím o pacientech tím, že kompromitovali aplikace hostované u poskytovatele třetí strany, nikoli interní systémy iRhythm.

Jak útočníci obešli bezpečnostní obranu iRhythm?

Prolomili cloudové prostředí dodavatele, takže vůbec nemuseli překonávat perimetr sítě iRhythm.

Proč VPN nemůže zabránit takovým únikům?

VPN chrání pouze data přenášená v rámci vlastní sítě organizace; nezabezpečuje data uložená nebo zpracovávaná v cloudové infrastruktuře externího dodavatele.

Jaké slepé místo vytvářejí aplikace hostované třetími stranami pro zdravotnické organizace?

Odpovědnost za bezpečnost se tříští, protože dodavatel kontroluje přístup, záplatování a monitorování, zatímco zdravotnická organizace má jen omezenou smluvní transparentnost, jak je o každodenní bezpečnost postaráno.

Je incident iRhythm součástí širšího trendu?

Ano, článek upozorňuje na rostoucí vlnu útoků na infrastrukturu dodavatelů ve zdravotnictví, včetně nedávného úniku dat u Novo Nordisk a podobného vstupního bodu přes dodavatele při ransomwarovém útoku na Cropwise.

Únik dat iRhythm: Aplikace třetích stran v cloudu odhalují data pacientů

Únik zdravotních dat ve společnosti iRhythm, která se zabývá monitorováním srdce, odhalil chráněné informace o pacientech poté, co útočníci získali přístup k aplikacím hostovaným u třetí strany mimo vlastní infrastrukturu firmy. Tento incident přichází krátce po nahlášeném úniku dat ve společnosti Novo Nordisk a potvrzuje vzorec, na který bezpečnostní odborníci opakovaně upozorňují: zdravotní data jsou jen tak bezpečná, jak bezpečný je nejslabší článek dodavatelského řetězce. Pro pacienty i poskytovatele péče je případ iRhythm ostrým připomenutím, že úniky zdravotních dat z cloudových služeb třetích stran dnes představují jednu z nejrizikovějších útočných ploch v medicíně.

Co se při úniku dat iRhythm stalo

Společnost iRhythm zveřejnila, že hackeři získali přístup k aplikacím hostovaným u externího poskytovatele, nikoli k interním systémům iRhythm, a díky tomu dokázali odcizit chráněné informace o pacientech. Firma, která vyrábí nositelná zařízení pro sledování srdce, jako je náplast Zio, zpracovává vysoce citlivá data včetně fyziologických záznamů a osobně identifikovatelných zdravotních záznamů spojených se srdečními onemocněními.

Přestože podrobnosti o rozsahu zasažených záznamů a přesných metodách ještě nebyly zveřejněny, klíčový je samotný mechanismus: útočníci nemuseli prolomit vlastní perimetr iRhythm. Prošli přes dodavatele. Tento rozdíl má zásadní význam pro to, jak by firmy i pacienti měli o rizicích přemýšlet.

Proč cloudový hosting třetích stran vytváří slepá místa, která VPN neodstraní

Mnoho organizací včetně poskytovatelů zdravotní péče nasazuje VPN pro šifrování provozu a omezení přístupu k interním systémům. VPN jsou legitimním a užitečným nástrojem k ochraně dat při přenosu po sítích, které organizace spravuje. Pokud jsou ale data pacientů uložena v aplikacích hostovaných externím dodavatelem na samostatné cloudové infrastruktuře, VPN chránící vlastní síť iRhythm nijak nezabezpečuje toto prostředí.

Aplikace hostované u třetích stran fungují v rámci bezpečnostní politiky dodavatele, jeho řízení přístupů, jeho plánů záplat a jeho schopností detekce incidentů. Zdravotnické organizace mají často jen omezenou smluvní transparentnost ohledně toho, jak dodavatelé zajišťují každodenní bezpečnost. To není okrajový problém: zrcadlí se v tom ransomwarový útok na Cropwise, kde se cílená platforma dodavatele stala vstupním bodem pro útočníky hledající cenná data uložená mimo zpevněný perimetr hlavní organizace.

Slepé místo je strukturální. Jakmile se data přesunou do prostředí třetí strany, odpovědnost za bezpečnost se tříští a únik u dodavatele se stává únikem pro každou organizaci, jejíž data se tam nacházejí.

Rostoucí vzorec útoků na infrastrukturu dodavatelů ve zdravotnictví

Únik dat iRhythm nepřišel izolovaně. Zdravotnické organizace byly v posledních letech opakovaně zasaženy skrze závislosti na dodavatelích. Incident Change Healthcare odhalil záznamy přibližně 100 milionů lidí poté, co útočníci kompromitovali klíčového poskytovatele infrastruktury pro platby a recepty. Platformy pro telehealth, fakturační společnosti, dodavatelé EHR a úložiště dat ze zdravotnických přístrojů se staly prémiovými cíli, protože sdružují záznamy od desítek nebo stovek zdravotnických klientů současně.

Pro útočníky je ekonomika jasná. Prolomení jediné cloudové platformy třetí strany, která obsluhuje dvacet zdravotnických organizací, přinese dvacetinásobek dat se zhruba stejným úsilím. Zdravotnická data dosahují na černých trzích vysokých cen, neboť obsahují anamnézu, údaje o pojištění, data narození a rodná čísla pohromadě, což je činí mnohem užitečnějšími pro podvody a krádeže identity než samotné finanční přihlašovací údaje.

Načasování zveřejnění případu iRhythm, tak brzy po incidentu Novo Nordisk, naznačuje buď koordinovanou kampaň zaměřenou na sektor zdravotnictví, nebo – což je pravděpodobnější – že útočníci systematicky prozkoumávají dodavatelské ekosystémy, které zdravotnické firmy sdílejí.

Jaké záruky soukromí by měli pacienti a spotřebitelé zdravotní péče nyní požadovat

Pacienti mají jen omezenou přímou kontrolu nad tím, jak zdravotnické firmy řídí své dodavatelské vztahy, ale nejsou zcela bez možností a bez vlivu.

Ptejte se, kde jsou data uložena. Když se zapojujete do programů vzdáleného monitorování, služeb telehealth nebo jakékoli digitální zdravotní platformy, můžete se přímo zeptat: Kde jsou má data uložena a kdo další k nim má přístup? Poskytovatelé by měli být schopni na tuto otázku srozumitelně odpovědět. Vágní odpovědi jsou signálem, který stojí za pozornost.

Pečlivě čtěte souhlasy podle HIPAA. Mnozí pacienti podepisují široké souhlasy, aniž by četli, které třetí strany mohou jejich data obdržet. Tyto dokumenty přesně popisují dodavatelské vztahy a oprávnění ke sdílení dat. Jejich přečtení vyžaduje čas, ale vytváří povědomí o tom, jaká je plocha vystavení.

Sledujte oznámení o úniku dat. Podle HIPAA jsou zdravotnické subjekty povinny informovat dotčené osoby o únicích, které zasáhly jejich chráněné zdravotní informace. Pacienti, kteří takové oznámení obdrží, by je měli brát vážně, zjistit, jakých konkrétních dat se únik týká, a zvážit zavedení zmrazení úvěru nebo upozornění na podvody, pokud byla mezi odcizenými údaji rodná čísla či finanční informace.

Pro zdravotnické organizace a nákupní týmy je akceschopným požadavkem audit bezpečnosti dodavatelů s reálnými důsledky. Programy řízení rizik třetích stran, které zahrnují smluvní požadavky na bezpečnost, pravidelný penetrační testování aplikací hostovaných dodavatelem a zdokumentované postupy reakce na incidenty, by měly být základním standardem, nikoli volitelným doplňkem.

Co to znamená pro vás

Případ iRhythm zdůrazňuje, že soukromí pacientů v digitálním zdravotnictví závisí na celém dodavatelském řetězci, nejen na organizaci, jejíž jméno je uvedeno na přístroji nebo v aplikaci. VPN, silná hesla ani dvoufaktorové ověřování na vašem pacientském portálu neochrání data, jakmile byla zkopírována do cloudové aplikace třetí strany, kterou sama zdravotnická společnost přímo nezabezpečuje.

Pro běžné spotřebitele zdravotní péče je teď nejpraktičtějším krokem projít si vlastní digitální zdravotní stopu. Sepište si seznam aplikací, služeb vzdáleného sledování a pacientských portálů, které používáte, a zkontrolujte jejich zásady ochrany soukromí s ohledem na zmínky o třetích stranách zpracovávajících data. Pokud služba nedokáže jasně vysvětlit, kdo drží vaše data a jak jsou chráněna, je to informace, kterou se vyplatí mít dříve, než vám do schránky přijde oznámení o úniku.

Zdravotnické organizace, které to myslí vážně s odstraňováním těchto mezer, musí překročit hranice perimetrové obrany a přistupovat k bezpečnosti dodavatelů jako k rozšíření vlastní bezpečnosti. Případ iRhythm jasně ukazuje, že otázka už nezní, zda budou zdravotní data v cloudových prostředích třetích stran cílem útoků. Otázka je, jak rychle organizace a regulátoři odstraní mezery v odpovědnosti, díky nimž jsou tyto útoky tak spolehlivě úspěšné.