iRhythm-tietomurto: Kolmannen osapuolen pilvisovellukset paljastavat potilastietoja
Sydämen seurantayritys iRhythmin terveydenhuollon tietomurto on paljastanut potilaiden terveystietoja sen jälkeen, kun hyökkääjät pääsivät käsiksi kolmannen osapuolen isännöimiin sovelluksiin yrityksen oman infrastruktuurin ulkopuolella. Tapaus seuraa välittömästi raportoitua Novo Nordiskiin liittyvää tietomurtoa ja vahvistaa kaavaa, josta tietoturva-asiantuntijat ovat toistuvasti varoittaneet: terveydenhuollon tiedot ovat vain yhtä turvassa kuin heikoin toimittajalinkki. Niin potilaille kuin palveluntarjoajille iRhythmin tapaus on terävä muistutus siitä, että terveydenhuollon tietomurtojen kolmannen osapuolen pilvialtistus on nyt yksi lääketieteen vakavimmista hyökkäyspinnoista.
Mitä iRhythmin tietomurrossa tapahtui
iRhythm paljasti, että hakkerit pääsivät käsiksi kolmannen osapuolen palveluntarjoajan isännöimiin sovelluksiin – eivät iRhythmin omiin sisäisiin järjestelmiin – ja pystyivät sitä kautta kaappaamaan potilaiden terveystietoja. Yritys, joka valmistaa puettavia sydämen seurantalaitteita kuten Zio-laastaria, käsittelee erittäin arkaluontoisia tietoja, kuten fysiologisia tallenteita ja henkilökohtaisia, terveydentilaan liittyviä tunnistetietoja, jotka liittyvät sydänsairauksiin.
Vaikka täydellisiä tietoja vaikutuksen kohteena olevien tietueiden määrästä ja käytetyistä menetelmistä ei ole vielä julkaistu, ydinmekanismi on merkittävä: hyökkääjien ei tarvinnut murtautua iRhythmin oman suojauksen läpi. He menivät toimittajan kautta. Tällä erolla on valtava merkitys sille, miten yritysten ja potilaiden tulisi ajatella riskejä.
Miksi kolmannen osapuolen pilvipalvelu luo sokeita pisteitä, joita VPN:t eivät pysty poistamaan
Monet organisaatiot, mukaan lukien terveydenhuollon palveluntarjoajat, ottavat käyttöön VPN-verkkoja salatakseen liikenteen ja rajoittaakseen pääsyn sisäisiin järjestelmiin. VPN:t ovat laillinen ja hyödyllinen työkalu tiedon suojaamiseen organisaation hallitsemissa verkoissa liikkuessaan. Mutta kun potilastiedot sijaitsevat ulkoisen toimittajan isännöimissä sovelluksissa erillisellä pilvi-infrastruktuurilla, iRhythmin omaa verkkoa suojaava VPN ei tee mitään turvatakseen kyseistä ympäristöä.
Kolmannen osapuolen isännöimät sovellukset toimivat toimittajan tietoturvakäytäntöjen, pääsynvalvonnan, päivitysaikataulujen ja poikkeamien havaitsemiskyvykkyyksien varassa. Terveydenhuollon organisaatioilla on usein vain rajallinen sopimuksellinen näkyvyys siihen, miten nämä toimittajat hallinnoivat tietoturvaa päivittäin. Tämä ei ole marginaalinen ongelma: se peilaa tapahtumia Cropwiseen kohdistuneessa kiristyshaittaohjelmahyökkäyksessä, jossa kohdennettu toimittaja-alusta muodostui sisääntulokohdaksi hyökkääjille, jotka tavoittelivat arvokasta tietoa, jota säilytettiin ensisijaisen organisaation vahvistetun suojauksen ulkopuolella.
Sokea piste on rakenteellinen. Kun tieto siirtyy kolmannen osapuolen ympäristöön, tietoturvan vastuu pirstaloituu, ja tietomurto toimittajalla muuttuu tietomurroksi jokaiselle organisaatiolle, jonka tietoja siellä on.
Terveydenhuollon toimittajainfrastruktuuriin kohdistuvien hyökkäysten kasvava kaava
iRhythmin tietomurto ei tapahtunut eristyksissä. Terveydenhuollon organisaatioihin on isketty toistuvasti toimittajariippuvuuksien kautta viime vuosina. Change Healthcare -tapaus paljasti noin 100 miljoonan ihmisen tiedot sen jälkeen, kun hyökkääjät vaaransivat kriittisen maksu- ja resepti-infrastruktuurin tarjoajan. Teleterveysalustat, laskutusyritykset, sähköisten potilaskertomusten toimittajat ja laitetietojen tietokannat ovat kaikki nousseet ensisijaisiksi kohteiksi, koska ne keräävät samanaikaisesti tietoja kymmeniltä tai sadoilta terveydenhuollon asiakkailta.
Hyökkääjille taloudellinen logiikka on yksinkertainen. Yhden ainoan, kaksikymmentä terveydenhuollon organisaatiota palvelevan kolmannen osapuolen pilvialustan murtaminen tuottaa kaksikymmenkertaisen tietomäärän suurin piirtein samalla vaivalla. Terveydenhuollon tiedoista maksetaan korkeita hintoja rikollisilla markkinoilla, koska ne sisältävät sairaushistoriat, vakuutustiedot, syntymäajat ja sosiaaliturvatunnukset kaikki niputettuna yhteen, mikä tekee niistä paljon hyödyllisempiä petoksiin ja identiteettivarkauksiin kuin pelkät taloudelliset tunnukset.
iRhythmin ilmoituksen ajoitus niin lähellä Novo Nordiskin tapausta viittaa joko koordinoituun terveydenhuoltoalaan kohdistuvaan kampanjaan tai, todennäköisemmin, siihen, että hyökkääjät tunnustelevat järjestelmällisesti terveydenhuoltoyritysten yhteisiä toimittajaekosysteemejä.
Mitä yksityisyyden suojan kontrolleja potilaiden ja terveydenhuollon kuluttajien tulisi vaatia nyt
Potilailla on rajallinen suora vaikutusmahdollisuus siihen, miten terveydenhuollon yritykset hallinnoivat toimittajasuhteitaan, mutta he eivät ole täysin ilman keinoja tai vipuvoimaa.
Kysy tietojen sijainnista. Ilmoittautuessaan etäseurantaohjelmiin, teleterveyspalveluihin tai mille tahansa digitaalisen terveyden alustalle potilaat voivat kysyä suoraan: missä tietojani säilytetään, ja kenellä muulla on niihin pääsy? Palveluntarjoajien tulisi kyetä vastaamaan tähän selkeästi. Ympäripyöreät vastaukset ovat huomionarvoinen signaali.
Tarkista HIPAA-valtuutusilmoitukset huolellisesti. Monet potilaat allekirjoittavat laajoja valtuutuksia lukematta, mitkä kolmannet osapuolet voivat saada heidän tietonsa. Nämä asiakirjat määrittelevät toimittajasuhteet ja tietojen jakamisen luvat. Niiden lukeminen vie aikaa, mutta luo tietoisuutta altistuspinnasta.
Tarkkaile tietomurtoilmoituksia. HIPAA:n mukaan suojatut yhteisöt ovat velvollisia ilmoittamaan kohteena oleville henkilöille suojattuja terveystietoja koskevista tietomurroista. Potilaiden, jotka saavat tällaisia ilmoituksia, tulisi ottaa ne vakavasti, tarkistaa mitä tietoja tapaus koski, ja harkita luottojen jäädyttämistä tai petoshälytysten asettamista, jos sosiaaliturvatunnuksia tai taloudellisia tietoja oli paljastuneiden tietojen joukossa.
Terveydenhuollon organisaatioille ja hankintatiimeille toimintakelpoinen vaatimus on toimittajien turvallisuusauditoinnit, joissa on todellista puristusvoimaa. Kolmannen osapuolen riskienhallintaohjelmat, jotka sisältävät sopimukselliset tietoturvavaatimukset, toimittajan isännöimien sovellusten säännöllisen penetraatiotestauksen ja dokumentoidut toimintamallit poikkeamatilanteisiin, tulisi olla perusodotuksia, ei valinnaisia lisäyksiä.
Mitä tämä tarkoittaa sinulle
iRhythmin tietomurto alleviivaa, että potilaan yksityisyys digitaalisessa terveydenhuollossa riippuu koko toimittajaketjusta, ei vain siitä organisaatiosta, jonka nimi näkyy laitteessa tai sovelluksessa. VPN, vahvat salasanat tai kaksivaiheinen todennus potilasportaaliisi eivät suojaa tietoja, kun ne on kerran kopioitu kolmannen osapuolen pilvisovellukseen, jota terveydenhuoltoyritys itse ei suoraan turvaa.
Jokapäiväisille terveydenhuollon kuluttajille käytännöllisin askel juuri nyt on tarkastaa oma digitaalinen terveysjalanjälkensä. Listaa käyttämäsi sovellukset, etäseurantapalvelut ja potilasportaalit ja tarkista niiden tietosuojakäytännöt viittauksista kolmannen osapuolen tietojenkäsittelijöihin. Jos palvelu ei pysty selkeästi kertomaan, kenellä on tietosi ja miten ne on suojattu, se on tieto, joka kannattaa hankkia ennen kuin tietomurtoilmoitus saapuu sähköpostiisi.
Terveydenhuollon organisaatioiden, jotka ovat tosissaan sulkeakseen nämä aukot, täytyy siirtyä perimetripuolustusta pidemmälle ja kohdella toimittajan tietoturvaa oman jatkeenaan. iRhythmin tapaus tekee selväksi, ettei kysymys ole enää siitä, joutuvatko terveydenhuollon tiedot kolmannen osapuolen pilviympäristöissä kohteeksi. Kysymys on siitä, kuinka nopeasti organisaatiot ja sääntelijät sulkevat ne vastuun aukkopiirit, jotka tekevät näistä hyökkäyksistä niin luotettavan menestyksekkäitä.
