Što se dogodilo u provali podataka iRhythm?

Hakeri su pristupili zdravstvenim informacijama pacijenata kompromitirajući aplikacije koje se nalaze kod treće strane, a ne na internim sustavima iRhythma.

Kako su napadači zaobišli iRhythmove vlastite sigurnosne obrane?

Provalili su u oblačno okruženje dobavljača treće strane, tako da nikada nisu morali probiti perimetar mreže iRhythma.

Zašto VPN ne može spriječiti ovakve provale?

VPN štiti samo podatke u prijenosu kroz mrežu organizacije; ne osigurava podatke pohranjene ili obrađene u oblačnoj infrastrukturi vanjskog dobavljača.

Koji slijepi kut stvaraju aplikacije trećih strana za zdravstvene organizacije?

Odgovornost za sigurnost postaje fragmentirana jer dobavljač kontrolira pristup, zakrpe i nadzor, dok zdravstvena organizacija ima ograničenu ugovornu vidljivost u svakodnevne sigurnosne prakse.

Je li incident iRhythm dio šireg obrasca?

Da, članak bilježi rastući trend napada na infrastrukturu dobavljača u zdravstvu, uključujući nedavnu provalu u Novo Nordisk i sličan ulazak preko dobavljača u ransomware napadu na Cropwise.

iRhythm provala: Aplikacije trećih strana u oblaku otkrivaju podatke pacijenata

Provala zdravstvenih podataka u tvrtki iRhythm, koja se bavi praćenjem rada srca, otkrila je zdravstvene podatke pacijenata nakon što su napadači dobili pristup aplikacijama koje se nalaze kod trećih strana, izvan izravne infrastrukture tvrtke. Incident dolazi neposredno nakon prijavljene povrede u Novo Nordisku i pojačava obrazac na koji sigurnosni stručnjaci uporno upozoravaju: zdravstveni podaci sigurni su onoliko koliko je sigurna njihova najslabija poveznica s dobavljačem. Za pacijente i pružatelje usluga, slučaj iRhythm oštar je podsjetnik da je izloženost zdravstvenih podataka putem oblaka trećih strana sada jedna od najznačajnijih napadnih površina u medicini.

Što se dogodilo u provali iRhythma

iRhythm je objavio da su hakeri pristupili aplikacijama koje se nalaze kod vanjskog pružatelja usluga, a ne na vlastitim internim sustavima iRhythma, te su tim putem uspjeli izvući zdravstvene podatke pacijenata. Tvrtka, koja proizvodi nosive uređaje za praćenje rada srca poput Zio flastera, obrađuje duboko osjetljive podatke uključujući fiziološke zapise i osobno prepoznatljive zdravstvene kartone povezane sa srčanim stanjima.

Iako konkretni detalji o opsegu zahvaćenih zapisa i točno korištenim metodama nisu u cijelosti objavljeni, ključni mehanizam je značajan: napadači nisu morali probiti perimetar samog iRhythma. Ušli su preko dobavljača. Ta razlika iznimno je važna za način na koji tvrtke i pacijenti trebaju razmišljati o riziku.

Zašto hosting u oblaku kod trećih strana stvara slijepe točke koje VPN-ovi ne mogu zatvoriti

Mnoge organizacije, uključujući zdravstvene ustanove, koriste VPN-ove za šifriranje prometa i ograničavanje pristupa internim sustavima. VPN-ovi su legitiman i koristan alat za zaštitu podataka u prijenosu kroz mreže koje organizacija kontrolira. Ali kada se podaci pacijenata nalaze u aplikacijama koje kod vanjskog dobavljača rade na zasebnoj infrastrukturi u oblaku, VPN koji štiti mrežu samog iRhythma ne čini ništa za osiguranje tog okruženja.

Aplikacije trećih strana funkcioniraju prema sigurnosnom stanju dobavljača, njihovim kontrolama pristupa, rasporedima zakrpa i mogućnostima otkrivanja incidenata. Zdravstvene organizacije često imaju ograničenu ugovornu vidljivost u to kako ti dobavljači svakodnevno upravljaju sigurnošću. To nije rubni problem: odražava ono što se dogodilo u napadu ransomwareom na Cropwise, gdje je ciljana platforma dobavljača postala ulazna točka za napadače koji traže vrijedne podatke pohranjene izvan očvrslog perimetra primarne organizacije.

Slijepa točka je strukturna. Kada se podaci presele u okruženje treće strane, odgovornost za sigurnost postaje fragmentirana, a proboj kod dobavljača postaje proboj za svaku organizaciju čiji se podaci tamo nalaze.

Rastući obrazac napada na infrastrukturu dobavljača u zdravstvu

Provala u iRhythm nije se dogodila izolirano. Zdravstvene organizacije posljednjih su godina više puta pogođene kroz ovisnosti o dobavljačima. Incident Change Healthcare otkrio je kartone približno 100 milijuna ljudi nakon što su napadači kompromitirali ključnog pružatelja infrastrukture za plaćanja i recepte. Telezdravstvene platforme, tvrtke za naplatu, dobavljači elektroničkih zdravstvenih zapisa i repozitoriji podataka s uređaja postali su vrhunske mete jer istovremeno objedinjuju zapise desetaka ili stotina zdravstvenih klijenata.

Za napadače, ekonomika je jednostavna. Provala u jednu platformu u oblaku treće strane koja opslužuje dvadeset zdravstvenih organizacija donosi dvadeset puta više podataka uz približno isti trud. Zdravstveni podaci postižu visoke cijene na kriminalnim tržištima jer sadrže medicinsku povijest, podatke o osiguranju, datume rođenja i brojeve socijalnog osiguranja sve zajedno, što ih čini daleko korisnijima za prijevaru i krađu identiteta nego same financijske vjerodajnice.

Činjenica da se objava iRhythma dogodila tako blizu incidenta s Novo Nordiskom sugerira ili koordiniranu kampanju usmjerenu na zdravstveni sektor ili, vjerojatnije, da napadači sustavno ispituju ekosustave dobavljača koje zdravstvene tvrtke dijele.

Koje kontrole privatnosti pacijenti i korisnici zdravstvenih usluga trebaju zahtijevati sada

Pacijenti imaju ograničenu izravnu kontrolu nad time kako zdravstvene tvrtke upravljaju odnosima s dobavljačima, ali nisu potpuno bez mogućnosti ili poluge.

Pitajte o lokaciji podataka. Prilikom upisa u programe daljinskog praćenja, telezdravstvene usluge ili bilo koju digitalnu zdravstvenu platformu, pacijenti mogu izravno pitati: gdje su moji podaci pohranjeni i tko još ima pristup njima? Pružatelji bi trebali moći jasno odgovoriti na to. Neodređeni odgovori znak su koji vrijedi primijetiti.

Pažljivo pregledajte HIPAA autorizacijske izjave. Mnogi pacijenti potpisuju široka odobrenja ne čitajući koje treće strane mogu primiti njihove podatke. Ti dokumenti navode odnose s dobavljačima i dozvole za dijeljenje podataka. Čitanje oduzima vrijeme, ali stvara svijest o površini izloženosti.

Pratite obavijesti o proboju. Prema HIPAA-i, obuhvaćeni subjekti dužni su obavijestiti pogođene pojedince o probojima koji utječu na njihove zaštićene zdravstvene podatke. Pacijenti koji prime takve obavijesti trebali bi ih shvatiti ozbiljno, provjeriti koji su konkretni podaci bili uključeni i razmisliti o postavljanju zamrzavanja kredita ili upozorenja na prijevaru ako su brojevi socijalnog osiguranja ili financijski podaci bili dio otkrivenih zapisa.

Za zdravstvene organizacije i timove za nabavu, djelotvoran zahtjev su sigurnosne revizije dobavljača s pravim zubima. Programi upravljanja rizikom trećih strana koji uključuju ugovorne sigurnosne zahtjeve, redovito penetracijsko testiranje aplikacija koje se nalaze kod dobavljača i dokumentirane protokole odgovora na incidente trebali bi biti osnovna očekivanja, a ne opcionalni dodaci.

Što to znači za vas

Provala u iRhythm naglašava da privatnost pacijenata u digitalnom zdravstvu ovisi o cijelom lancu dobavljača, a ne samo o organizaciji čije ime stoji na uređaju ili aplikaciji. VPN, jake lozinke ili dvofaktorska autentifikacija na vašem portalu za pacijente neće zaštititi podatke nakon što su kopirani u oblačnu aplikaciju treće strane koju sama zdravstvena tvrtka izravno ne osigurava.

Za svakodnevne korisnike zdravstvenih usluga, najpraktičniji korak upravo sada je revidirati vlastiti digitalni zdravstveni otisak. Navedite aplikacije, usluge daljinskog praćenja i portale za pacijente koje koristite te pregledajte njihove politike privatnosti za reference na obrađivače podataka trećih strana. Ako usluga ne može jasno objasniti tko drži vaše podatke i kako su zaštićeni, to je informacija koju vrijedi imati prije nego što obavijest o proboju stigne u vašu pristiglu poštu.

Zdravstvene organizacije koje ozbiljno žele zatvoriti te praznine moraju nadići perimetarsku obranu i odnose s dobavljačima tretirati kao produžetak vlastite sigurnosti. Slučaj iRhythm jasno pokazuje da pitanje više nije hoće li zdravstveni podaci u oblačnim okruženjima trećih strana biti meta. Pitanje je koliko brzo će organizacije i regulatori zatvoriti praznine u odgovornosti koje ove napade čine tako pouzdano uspješnima.