Stewart Home & School -tietomurto: 3 677 tietuetta menetetty tunnusvarkauden kautta

Stewart Home & Schooliin kohdistunut kiristysohjelmahyökkäys on nostanut terveydenhuollon tunnusvarkauden ja kiristysohjelmien torjunnan takaisin valokeilaan, ja tämän tietyn tietomurron mekaniikkaa kannattaa tutkia tarkasti. Varastetut tunnukset antoivat hyökkääjälle pääsyn kahdelle sisäiselle asemalle. Tietoja katseltiin, kopioitiin ympäristöstä ja salattiin, mikä vaikutti jopa 3 677 henkilöön, joiden henkilö-, talous- ja suojattuja terveystietoja säilytettiin näillä asemilla. Tapahtumaketju on lähes oppikirjamainen, mutta juuri siksi se on niin opettavainen.

Kuinka varastetut tunnukset avasivat tien kiristysohjelmalle Stewart Home & Schoolissa

Stewart Home & Schooliin kohdistunut hyökkäys noudatti kaavaa, jonka tietoturvatutkijat ovat dokumentoineet sadoissa terveydenhuollon vaaratilanteissa: hyökkääjä hankkii kelvolliset kirjautumistiedot, käyttää niitä normaaliin todentamiseen, liikkuu sivusuunnassa paikantaakseen arkaluonteiset tietovarastot, siirtää kopion näistä tiedoista pois ympäristöstä ja ottaa sitten käyttöön kiristysohjelman salatakseen jäljelle jääneet tiedot. Jokainen vaihe rakentuu edellisen päälle.

Tunnistepohjaisten tunkeutumisten erityinen vahingollisuus piilee siinä, että verkon näkökulmasta hyökkääjä vaikuttaa lailliselta käyttäjältä. Reunapuolustuksia, palomuureja ja perustason virustorjuntaohjelmia ei ole suunniteltu merkitsemään todennettuja istuntoja. Kun salaus alkaa, tiedot ovat jo poissa. Kiristysohjelma on lähes toissijainen tapahtuma – painostustaktiikka, joka kerrostuu jo onnistuneen tietovuodon päälle.

Tästä syystä alkuperäinen tunnusten vaarantuminen on koko ketjun kriittisin kohta. Jos se pysäytetään siihen, mitään myöhempiä vahinkoja ei tapahdu.

Mitä tietoja paljastui ja kuka on vaarassa

Tietomurto koski henkilötietoja, taloustietoja ja suojattuja terveystietoja (PHI) – yhdistelmä, joka moninkertaistaa riskin asianomaisille henkilöille. PHI-tietoja säätelee HIPAA, mikä tarkoittaa, että tietomurron kohteeksi joutuneet organisaatiot altistuvat sääntelyyn liittyville seurauksille suorien henkilövahinkojen lisäksi. Taloustietojen läsnäolo samassa tietomurrossa lisää dramaattisesti identiteettipetoksen ja vilpillisen tilikäytön riskiä.

Kun mahdollisesti 3 677 henkilöä on vaikutuksen kohteena, mittakaava on merkittävä yksittäiselle laitokselle. Stewart Home & Schoolin, kehitysvammaisten hoitolaitoksen, asukkaat, oppilaat ja mahdollisesti henkilökunta edustavat erityisen haavoittuvaa väestöryhmää. Monilla saattaa olla rajallinen kyky seurata omaa luottoaan tai reagoida petoshälytyksiin itsenäisesti, mikä asettaa ylimääräistä vastuuta laitokselle ja perheen omaishoitajille.

Tällainen tietomurto ei pääty, kun kiristysohjelma on neutraloitu. Vietetyt tiedot säilyvät, ja henkilöt pysyvät vaarassa kuukausien tai vuosien ajan, kun varastetut tietueet kiertävät jälkimarkkinoilla.

Miksi terveydenhuollon ympäristöt ovat erityisen alttiita tunnuksiin perustuville hyökkäyksille

Terveydenhuollon ja hoitolaitosten ympäristöissä on rakenteellisia haavoittuvuuksia, jotka tekevät tunnusvarkauden kiristysohjelmien torjunnasta vaikeampaa kuin muilla aloilla. Henkilökunnan vaihtuvuus on suurta, mikä paineistaa jatkuvasti tunnusten hallintaa, mukaan lukien poistuneiden työntekijöiden käyttäjätilien oikea-aikaista poistamista. Kliinisissä ja asumispalveluympäristöissä jaetut työasemat ovat yleisiä, mikä monimutkaistaa sekä salasanahallintaa että vastuullisuutta, kun tunnusta käytetään väärin.

Etäkäyttö on lisääntynyt merkittävästi hoitoympäristöissä, eikä aina riittävillä hallintakeinoilla. Henkilökunta, joka kirjautuu henkilökohtaisilta laitteilta tai kotiverkoista, tekee sen usein ilman VPN-yhteyden tai monivaiheisen tunnistautumisen suojaa, mikä altistaa tunnukset tietojenkalastelulle, tietoja varastaville haittaohjelmille ja verkkoliikenteen kaappaukselle.

Rinnastus muihin sektoreihin on syytä huomata. Aiempi ManageMyHealth-tapaus paljasti lähes 100 000 potilastietuetta ennakkovaroituksista huolimatta, mikä osoittaa, etteivät tunnuksiin ja pääsyyn liittyvät puutteet terveydenhuollossa ole juuri koskaan yksittäisiä yllätyksiä. Ne heijastavat yleensä järjestelmätason aukkoja, jotka jäävät korjaamatta, kunnes tietomurto pakottaa asian esille. Vastaavasti hallinnon järjestelmät ovat kohdanneet vertailukelpoisia vastuullisuusaukkoja, kun tunnettuja haavoittuvuuksia on jätetty korjaamatta pitkiksi ajoiksi.

Terveydenhuollon organisaatiot käyttävät usein myös vanhoja järjestelmiä, joita ei ole suunniteltu nykyaikaisia tunnistautumisvaatimuksia ajatellen. Monivaiheisen tunnistautumisen kerrostaminen vanhempaan infrastruktuuriin on teknisesti mahdollista, mutta vaatii budjettia, suunnittelua ja henkilöstön koulutusta, joiden priorisointi on monille pienemmille laitoksille vaikeaa.

Kuinka terveydenhuollon työntekijät voivat lukita pääsyn ja katkaista tietomurtoketjun

Stewart Home & Schoolin tietomurto tarjoaa selvän lähtökohdan jokaiselle terveydenhuollon organisaatiolle, joka tarkastelee omaa altistumistaan. Toimenpide ei vaadi uusinta teknologiaa. Se vaatii kurinalaista, jo hyvin tunnettujen hallintakeinojen käyttöönottoa.

Ota käyttöön monivaiheinen tunnistautuminen kaikessa etäkäytössä. Varastettu salasana ei riitä todennukseen, jos tarvitaan toinen vaihe. Tämä yksi hallintakeino katkaisee yleisimmän tunnusvarkauden hyökkäysketjun.

Vaadi VPN-yhteyttä kaikissa etäyhteyksissä sisäisiin asemiin ja kliinisiin järjestelmiin. Työntekijöiden, jotka muodostavat yhteyden kotoa tai jaetuista verkoista, tulee kulkea salatun tunnelin kautta. Tämä pienentää tunnusten kaappauksen hyökkäyspinta-alaa ja rajoittaa sitä, mihin todennettu hyökkääjä pääsee käsiksi.

Tarkasta ja poista käyttäjätilejä säännöllisesti. Käyttämättömät tai entisten työntekijöiden tilit ovat toistuva sisäänpääsykohta. Aktiivisten tunnusten neljännesvuosittainen tarkistus, joka sovitetaan nykyisiin henkilöstöluetteloihin, vähentää merkittävästi orpojen tilien hyödyntämisen riskiä.

Segmentoi sisäiset asemat ja sovella vähimpien oikeuksien periaatetta pääsynvalvonnassa. Kaikki todennetut käyttäjät eivät tarvitse pääsyä jokaiselle asemalle. Pääsyn rajoittaminen vain kunkin roolin aidosti tarvitsemaan tietoon tarkoittaa, että yksittäinen vaarantunut tunnus ei voi avata koko tietoympäristöä.

Tarkkaile poikkeavaa todentamiskäyttäytymistä. Kirjautumiset epätavallisiin aikoihin, tuntemattomista IP-osoitteista tai useisiin järjestelmiin nopeasti peräkkäin ovat hälytysmerkkejä. Automaattiset hälytykset näistä malleista voivat paljastaa tunkeutumiset ennen kuin tietojen vienti on saatu päätökseen.

Mitä tämä tarkoittaa sinulle

Jos työskentelet terveydenhuollon hallinnossa, IT-alalla tai vaatimustenmukaisuuden parissa, Stewart Home & Schoolin tietomurto on suora kehotus tarkastaa oma etäkäyttöturvallisuutesi ennen kuin poikkeustilanne pakottaa siihen. Täällä kuvattu tunnuksista tietojen vientiin ja salaukseen etenevä ketju on toistettavissa ja hyökkääjien hyvin tuntema. Se tapahtuu uudelleen organisaatioissa, jotka eivät ole puuttuneet taustalla oleviin pääsynvalvonnan aukkoihin.

Tutustu ManageMyHealth-tietomurtotapaukseen rinnakkaisena tapaustutkimuksena: hallituksen selvityksen jälkeen tuo tapaus luokiteltiin täysin ehkäistäväksi, mikä tarkoittaa, että varoitusmerkit olivat olemassa ennen kuin tietoja menetettiin. Sama pätee lähes varmasti organisaatioihin, jotka toimivat tänä päivänä ilman monivaiheista tunnistautumista, VPN-pakkoa ja säännöllisiä tunnustarkastuksia. Hallintakeinot ovat saatavilla. Kysymys on siitä, ovatko ne käytössä ennen kuin seuraava varastettu salasana avaa oven.