Povreda podataka u Stewart Home & School: 3.677 zapisa izgubljeno zbog krađe vjerodajnica
Ransomware incident u Stewart Home & School ponovno je skrenuo pozornost na prevenciju ransomwarea putem krađe vjerodajnica u zdravstvu, a mehanika ovog specifičnog proboja vrijedna je pomnog ispitivanja. Ukradene vjerodajnice omogućile su napadaču pristup dvama internim diskovima. Podaci su pristupljeni, kopirani izvan okruženja i potom šifrirani, što je utjecalo na do 3.677 pojedinaca čiji su osobni, financijski i zaštićeni zdravstveni podaci bili pohranjeni na tim diskovima. Slijed događaja gotovo je udžbenički, ali upravo to ga čini tako poučnim.
Kako su ukradene vjerodajnice otvorile vrata ransomwareu u Stewart Home & School
Napad na Stewart Home & School slijedio je obrazac koji su sigurnosni istraživači dokumentirali u stotinama zdravstvenih incidenata: napadač pribavi valjane vjerodajnice za prijavu, koristi ih za uobičajenu autentifikaciju, kreće se lateralno kako bi locirao spremišta osjetljivih podataka, izvlači kopiju tih podataka, a zatim aktivira ransomware kako bi šifrirao ono što ostane. Svaki korak nadovezuje se na prethodni.
Ono što provale temeljene na vjerodajnicama čini posebno štetnima jest to što, iz perspektive mreže, napadač izgleda poput legitimnog korisnika. Perimetarska obrana, vatrozidi i osnovni antivirusni alati nisu dizajnirani za označavanje autentificiranih sesija. Do trenutka kada započne enkripcija, podaci su već izgubljeni. Ransomware je gotovo sekundarni događaj, taktika pritiska naslojena na već uspješno izvlačenje podataka.
Zato je početno ugrožavanje vjerodajnica najkritičnija točka u cijelom lancu. Zaustavite ga tu, i nikakva daljnja šteta neće nastati.
Koji su podaci bili izloženi i tko je u opasnosti
Povreda je uključivala osobne podatke, financijske informacije i zaštićene zdravstvene informacije (PHI), kombinaciju koja stvara višestruki rizik za pogođene pojedince. PHI je reguliran HIPAA-om, što znači da pogođene organizacije osim izravne štete za pojedince snose i regulatornu izloženost. Financijski podaci u istoj povredi dramatično povećavaju rizik krađe identiteta i prijevarnih aktivnosti na računima.
S potencijalno pogođenih 3.677 pojedinaca, razmjeri su značajni za jednu ustanovu. Štićenici, učenici i moguće članovi osoblja u Stewart Home & School, ustanovi za njegu osoba s razvojnim poteškoćama, predstavljaju posebno ranjivu populaciju. Mnogi od njih mogu imati ograničenu sposobnost samostalnog praćenja vlastite kreditne sposobnosti ili odgovora na upozorenja o prijevarama, što stavlja dodatnu odgovornost na ustanovu i obiteljske skrbnike.
Ovakva vrsta povrede ne završava kada se ransomware neutralizira. Izvučeni podaci ostaju, a pojedinci su i dalje u opasnosti mjesecima ili godinama dok se ukradeni zapisi šire sekundarnim tržištima.
Zašto su zdravstvena okruženja posebno ranjiva na napade temeljene na vjerodajnicama
Okruženja u zdravstvu i ustanovama za njegu nose strukturne ranjivosti koje otežavaju prevenciju ransomwarea putem krađe vjerodajnica u odnosu na druge sektore. Fluktuacija osoblja je visoka, što znači da je higijena vjerodajnica, uključujući pravovremeno ukidanje računa za bivše zaposlenike, stalno pod pritiskom. Dijeljene radne stanice uobičajene su u kliničkim okruženjima i stacionarnim ustanovama, što otežava upravljanje lozinkama i odgovornost kada se vjerodajnica zloupotrijebi.
Udaljeni pristup također se značajno proširio u okruženjima za njegu, i to ne uvijek uz odgovarajuće kontrole. Osoblje koje se prijavljuje s osobnih uređaja ili kućnih mreža često to čini bez zaštite VPN-a ili višefaktorske autentifikacije, ostavljajući vjerodajnice izložene krađi identiteta, malveru koji krade podatke i presretanju mrežnog prometa.
Vrijedi spomenuti paralelu s drugim sektorima. Raniji slučaj koji uključuje ManageMyHealth razotkrio je gotovo 100.000 podataka pacijenata unatoč prethodnim upozorenjima, pokazujući da propusti u vjerodajnicama i pristupu u zdravstvu rijetko budu jednokratna iznenađenja. Oni obično odražavaju sustavne praznine koje ostaju neriješene sve dok povreda ne prisili na djelovanje. Slično tome, vladini sustavi suočili su se s usporedivim prazninama u odgovornosti kada su poznate ranjivosti ostale nezakrpane dulje vrijeme.
Zdravstvene organizacije također često koriste zastarjele sustave koji nisu dizajnirani imajući na umu suvremene zahtjeve za autentifikacijom. Nadogradnja višefaktorske autentifikacije na stariju infrastrukturu tehnički je izvediva, ali zahtijeva proračun, planiranje i obuku osoblja koju mnoge manje ustanove teško mogu staviti na prioritetnu listu.
Kako zdravstveni radnici mogu zaključati pristup i zaustaviti lanac povrede podataka
Povreda u Stewart Home & School pruža jasan polazni korak za svaku zdravstvenu organizaciju koja preispituje vlastitu izloženost. Intervencija ne zahtijeva vrhunsku tehnologiju. Potrebna je disciplinirana provedba kontrola koje su već dobro poznate.
Obvezna višefaktorska autentifikacija na svim udaljenim pristupima. Ukradena lozinka nije dovoljna za autentifikaciju ako se zahtijeva drugi faktor. Ova jedinstvena kontrola razbija najčešći lanac napada krađom vjerodajnica.
Zahtijevati korištenje VPN-a za sve udaljene veze prema internim diskovima i kliničkim sustavima. Zaposlenici koji se povezuju od kuće ili s dijeljenih mreža trebali bi prolaziti kroz šifrirani tunel. Time se smanjuje površina napada za presretanje vjerodajnica i ograničava što autentificirani napadač može dosegnuti.
Redovito provjeravati i ukidati račune. Nekorišteni računi ili računi bivših zaposlenika ponavljajuća su ulazna točka. Tromjesečni pregled aktivnih vjerodajnica, usklađen s aktualnim popisima osoblja, značajno smanjuje rizik od iskorištavanja napuštenih računa.
Segmentirati interne diskove i primijeniti pristup s najmanjim povlasticama. Nije svaki autentificirani korisnik mora imati pristup svakom disku. Ograničavanje pristupa samo na ono što je pojedinoj ulozi doista potrebno znači da jedna ugrožena vjerodajnica ne može otključati cijelo podatkovno okruženje.
Pratiti neuobičajeno ponašanje pri autentifikaciji. Prijave u neuobičajeno doba, s nepoznatih IP adresa ili brza izmjena pristupa više sustava su crvene zastavice. Automatsko upozoravanje na takve obrasce može otkriti provale prije nego što izvlačenje podataka bude dovršeno.
Što to znači za vas
Ako radite u zdravstvenoj administraciji, IT-ju ili usklađenosti, povreda u Stewart Home & School izravan je poticaj da provedete reviziju vlastite sigurnosti udaljenog pristupa prije nego što vas incident na to prisili. Slijed vjerodajnica – izvlačenje – enkripcija koji je ovdje dokumentiran ponovljiv je i dobro poznat akterima prijetnji. Ponovno će se dogoditi u organizacijama koje nisu riješile temeljne praznine u kontroli pristupa.
Proučite slučaj povrede ManageMyHealth kao paralelnu studiju slučaja: taj je incident nakon vladine istrage označen kao potpuno spriječiv, što znači da su znakovi upozorenja postojali prije nego što su podaci izgubljeni. Gotovo je sigurno da isto vrijedi i za organizacije koje danas rade bez višefaktorske autentifikacije, prisilne upotrebe VPN-a i redovitih revizija vjerodajnica. Kontrole su dostupne. Pitanje je jesu li postavljene prije nego što sljedeća ukradena lozinka otvori vrata.




