Παραβίαση της iRhythm: Εφαρμογές Cloud Τρίτων Εκθέτουν Δεδομένα Ασθενών

Παραβίαση της iRhythm: Εφαρμογές Cloud Τρίτων Εκθέτουν Δεδομένα Ασθενών

Μια παραβίαση δεδομένων υγείας στην iRhythm, την εταιρεία καρδιολογικής παρακολούθησης, εξέθεσε πληροφορίες υγείας ασθενών μετά την πρόσβαση επιτιθέμενων σε εφαρμογές που φιλοξενούνται από τρίτους, εκτός της άμεσης υποδομής της εταιρείας. Το περιστατικό έρχεται αμέσως μετά από μια αναφερόμενη παραβίαση που αφορούσε τη Novo Nordisk και ενισχύει ένα μοτίβο που οι επαγγελματίες ασφαλείας έχουν επισημάνει επανειλημμένα: τα δεδομένα υγείας είναι τόσο ασφαλή όσο ο πιο αδύναμος κρίκος του προμηθευτή τους. Τόσο για τους ασθενείς όσο και για τους παρόχους, η υπόθεση iRhythm αποτελεί μια ηχηρή υπενθύμιση ότι η έκθεση δεδομένων υγείας μέσω cloud τρίτων αποτελεί πλέον μία από τις πιο σημαντικές επιφάνειες επίθεσης στην ιατρική.

Τι Συνέβη στην Παραβίαση της iRhythm

Η iRhythm αποκάλυψε ότι χάκερ απέκτησαν πρόσβαση σε εφαρμογές που φιλοξενούνταν από έναν πάροχο τρίτου μέρους, και όχι στα εσωτερικά συστήματα της ίδιας της iRhythm, και μπόρεσαν να αποσπάσουν πληροφορίες υγείας ασθενών μέσω αυτής της πρόσβασης. Η εταιρεία, η οποία παράγει φορητές συσκευές καρδιολογικής παρακολούθησης όπως το επίθεμα Zio, χειρίζεται άκρως ευαίσθητα δεδομένα, συμπεριλαμβανομένων φυσιολογικών καταγραφών και προσωπικά αναγνωρίσιμων αρχείων υγείας που σχετίζονται με καρδιολογικές παθήσεις.

Αν και λεπτομέρειες σχετικά με τον όγκο των αρχείων που επηρεάστηκαν και τις ακριβείς μεθόδους που χρησιμοποιήθηκαν δεν έχουν δημοσιευθεί πλήρως, ο βασικός μηχανισμός είναι σημαντικός: οι επιτιθέμενοι δεν χρειάστηκε να παραβιάσουν την περίμετρο της ίδιας της iRhythm. Πέρασαν μέσω ενός προμηθευτή. Αυτή η διάκριση έχει τεράστια σημασία για το πώς οι εταιρείες και οι ασθενείς θα πρέπει να αντιλαμβάνονται τον κίνδυνο.

Γιατί η Φιλοξενία Cloud από Τρίτους Δημιουργεί Τυφλά Σημεία που τα VPN δεν Μπορούν να Καλύψουν

Πολλοί οργανισμοί, συμπεριλαμβανομένων των παρόχων υγειονομικής περίθαλψης, αναπτύσσουν VPN για να κρυπτογραφούν την κίνηση και να περιορίζουν την πρόσβαση στα εσωτερικά συστήματα. Τα VPN είναι ένα νόμιμο και χρήσιμο εργαλείο για την προστασία των δεδομένων κατά τη μεταφορά σε δίκτυα που ελέγχονται από τον οργανισμό. Αλλά όταν τα δεδομένα ασθενών βρίσκονται σε εφαρμογές που φιλοξενούνται από έναν εξωτερικό προμηθευτή σε ξεχωριστή υποδομή cloud, ένα VPN που προστατεύει το δίκτυο της iRhythm δεν κάνει τίποτα για να ασφαλίσει αυτό το περιβάλλον.

Οι εφαρμογές που φιλοξενούνται από τρίτους λειτουργούν υπό τη στάση ασφαλείας του προμηθευτή, τους ελέγχους πρόσβασής του, τα προγράμματα ενημέρωσής του και τις δυνατότητες ανίχνευσης περιστατικών του. Οι οργανισμοί υγειονομικής περίθαλψης έχουν συχνά περιορισμένη συμβατική ορατότητα στον τρόπο με τον οποίο οι προμηθευτές διαχειρίζονται την ασφάλεια σε καθημερινή βάση. Αυτό δεν είναι ένα εξειδικευμένο πρόβλημα: αντικατοπτρίζει αυτό που συνέβη στην επίθεση ransomware στην Cropwise, όπου μια στοχευμένη πλατφόρμα προμηθευτή έγινε το σημείο εισόδου για επιτιθέμενους που αναζητούσαν πολύτιμα δεδομένα αποθηκευμένα εκτός της ενισχυμένης περιμέτρου του κύριου οργανισμού.

Το τυφλό σημείο είναι δομικό. Όταν τα δεδομένα μετακινούνται σε περιβάλλον τρίτου μέρους, η υπευθυνότητα ασφαλείας κατακερματίζεται και μια παραβίαση στον προμηθευτή γίνεται παραβίαση για κάθε οργανισμό του οποίου τα δεδομένα βρίσκονται εκεί.

Ένα Αυξανόμενο Μοτίβο Επιθέσεων σε Υποδομές Προμηθευτών Υγειονομικής Περίθαλψης

Η παραβίαση της iRhythm δεν ήρθε απομονωμένα. Οι οργανισμοί υγειονομικής περίθαλψης έχουν πληγεί επανειλημμένα μέσω των εξαρτήσεών του από προμηθευτές τα τελευταία χρόνια. Το περιστατικό της Change Healthcare εξέθεσε τα αρχεία περίπου 100 εκατομμυρίων ανθρώπων αφού επιτιθέμενοι παραβίασαν έναν κρίσιμο πάροχο υποδομών πληρωμών και συνταγογράφησης. Πλατφόρμες τηλεϊατρικής, εταιρείες τιμολόγησης, προμηθευτές EHR και αποθετήρια δεδομένων συσκευών έχουν γίνει όλα κορυφαίοι στόχοι επειδή συγκεντρώνουν αρχεία από δεκάδες ή εκατοντάδες πελάτες υγειονομικής περίθαλψης ταυτόχρονα.

Για τους επιτιθέμενους, τα οικονομικά είναι απλά. Η παραβίαση μιας ενιαίας πλατφόρμας cloud τρίτου μέρους που εξυπηρετεί είκοσι οργανισμούς υγειονομικής περίθαλψης αποφέρει είκοσι φορές περισσότερα δεδομένα για περίπου την ίδια προσπάθεια. Τα δεδομένα υγειονομικής περίθαλψης έχουν υψηλές τιμές στις παράνομες αγορές επειδή περιέχουν ιατρικό ιστορικό, ασφαλιστικές λεπτομέρειες, ημερομηνίες γέννησης και Αριθμούς Κοινωνικής Ασφάλισης, όλα μαζί, καθιστώντας τα πολύ πιο χρήσιμα για απάτη και κλοπή ταυτότητας από ό,τι μόνο τα οικονομικά διαπιστευτήρια.

Η χρονική σύμπτωση της αποκάλυψης της iRhythm που έρχεται τόσο κοντά στο περιστατικό της Novo Nordisk υποδηλώνει είτε μια συντονισμένη εκστρατεία που στοχεύει τον τομέα της υγείας είτε, πιο πιθανό, ότι οι επιτιθέμενοι ανιχνεύουν συστηματικά τα οικοσυστήματα προμηθευτών που μοιράζονται οι εταιρείες υγειονομικής περίθαλψης.

Ποια Μέτρα Προστασίας της Ιδιωτικότητας Πρέπει να Απαιτούν τώρα οι Ασθενείς και οι Καταναλωτές Υγείας

Οι ασθενείς έχουν περιορισμένο άμεσο έλεγχο στο πώς οι εταιρείες υγειονομικής περίθαλψης διαχειρίζονται τις σχέσεις τους με τους προμηθευτές, αλλά δεν είναι εντελώς χωρίς προσφυγή ή μόχλευση.

Ρωτήστε για την τοποθεσία των δεδομένων. Όταν εγγράφονται σε προγράμματα απομακρυσμένης παρακολούθησης, υπηρεσίες τηλεϊατρικής ή οποιαδήποτε ψηφιακή πλατφόρμα υγείας, οι ασθενείς μπορούν να ρωτήσουν ευθέως: πού αποθηκεύονται τα δεδομένα μου και ποιος άλλος έχει πρόσβαση σε αυτά; Οι πάροχοι θα πρέπει να είναι σε θέση να απαντήσουν σε αυτό με σαφήνεια. Οι ασαφείς απαντήσεις αποτελούν ένα σημάδι που αξίζει να σημειωθεί.

Ελέγξτε προσεκτικά τις εξουσιοδοτήσεις HIPAA. Πολλοί ασθενείς υπογράφουν ευρείες εξουσιοδοτήσεις χωρίς να διαβάσουν ποια τρίτα μέρη μπορεί να λάβουν τα δεδομένα τους. Αυτά τα έγγραφα αναφέρουν τις σχέσεις με προμηθευτές και τις άδειες κοινής χρήσης δεδομένων. Η ανάγνωσή τους απαιτεί χρόνο, αλλά δημιουργεί επίγνωση της επιφάνειας έκθεσης.

Παρακολουθήστε για ειδοποιήσεις παραβίασης. Σύμφωνα με τον HIPAA, οι καλυπτόμενες οντότητες υποχρεούνται να ειδοποιούν τα επηρεαζόμενα άτομα για παραβιάσεις που αφορούν τις προστατευμένες πληροφορίες υγείας τους. Οι ασθενείς που λαμβάνουν αυτές τις ειδοποιήσεις θα πρέπει να τις λαμβάνουν σοβαρά υπόψη, να ελέγχουν ποια συγκεκριμένα δεδομένα εμπλέκονται και να εξετάζουν το ενδεχόμενο να τοποθετήσουν δεσμεύσεις πίστωσης ή ειδοποιήσεις απάτης εάν οι Αριθμοί Κοινωνικής Ασφάλισης ή οικονομικά δεδομένα ήταν μέρος των εκτεθειμένων αρχείων.

Για οργανισμούς υγειονομικής περίθαλψης και ομάδες προμηθειών, η εφαρμόσιμη απαίτηση είναι οι έλεγχοι ασφαλείας προμηθευτών με ουσιαστικές συνέπειες. Τα προγράμματα διαχείρισης κινδύνων τρίτων που περιλαμβάνουν συμβατικές απαιτήσεις ασφαλείας, τακτικές δοκιμές διείσδυσης σε εφαρμογές που φιλοξενούνται από προμηθευτές και τεκμηριωμένα πρωτόκολλα αντιμετώπισης περιστατικών θα πρέπει να αποτελούν βασικές προσδοκίες, όχι προαιρετικές προσθήκες.

Τι Σημαίνει Αυτό για Εσάς

Η παραβίαση της iRhythm υπογραμμίζει ότι η ιδιωτικότητα των ασθενών στην ψηφιακή υγεία εξαρτάται από ολόκληρη την αλυσίδα προμηθευτών, όχι μόνο από τον οργανισμό του οποίου το όνομα εμφανίζεται στη συσκευή ή την εφαρμογή. Ένα VPN, ισχυροί κωδικοί πρόσβασης ή έλεγχος ταυτότητας δύο παραγόντων στην πύλη ασθενών σας δεν θα προστατεύσουν τα δεδομένα μόλις αυτά αντιγραφούν σε μια εφαρμογή cloud τρίτου μέρους την οποία η ίδια η εταιρεία υγειονομικής περίθαλψης δεν ασφαλίζει άμεσα.

Για τους καθημερινούς καταναλωτές υγειονομικής περίθαλψης, το πιο πρακτικό βήμα αυτή τη στιγμή είναι να ελέγξετε το δικό σας ψηφιακό αποτύπωμα υγείας. Καταγράψτε τις εφαρμογές, τις υπηρεσίες απομακρυσμένης παρακολούθησης και τις πύλες ασθενών που χρησιμοποιείτε και ελέγξτε τις πολιτικές απορρήτου τους για αναφορές σε τρίτους επεξεργαστές δεδομένων. Εάν μια υπηρεσία δεν μπορεί να εξηγήσει με σαφήνεια ποιος κατέχει τα δεδομένα σας και πώς προστατεύονται, αυτή είναι μια πληροφορία που αξίζει να έχετε πριν μια ειδοποίηση παραβίασης φτάσει στα εισερχόμενά σας.

Οι οργανισμοί υγειονομικής περίθαλψης που ενδιαφέρονται σοβαρά να κλείσουν αυτά τα κενά πρέπει να προχωρήσουν πέρα από τις περιμετρικές άμυνες και να αντιμετωπίσουν την ασφάλεια των προμηθευτών ως επέκταση της δικής τους. Η υπόθεση iRhythm καθιστά σαφές ότι το ερώτημα δεν είναι πλέον αν τα δεδομένα υγειονομικής περίθαλψης σε περιβάλλοντα cloud τρίτων θα αποτελέσουν στόχο. Είναι πόσο γρήγορα οι οργανισμοί και οι ρυθμιστικές αρχές θα κλείσουν τα κενά υπευθυνότητας που καθιστούν αυτές τις επιθέσεις τόσο αξιόπιστα επιτυχείς.