Mi történt az iRhythm adatszivárgás során?

Hackerek hozzáfértek a betegek egészségügyi adataihoz azáltal, hogy kompromittáltak egy harmadik fél által hosztolt alkalmazásokat, nem pedig az iRhythm saját belső rendszereit.

Hogyan kerülték meg a támadók az iRhythm saját védelmét?

Betörtek a harmadik fél beszállító felhőkörnyezetébe, így sosem kellett behatolniuk az iRhythm hálózati peremébe.

Miért nem tudja megakadályozni egy VPN az ilyen adatszivárgásokat?

A VPN csak a szervezet saját hálózatán továbbított adatok védelmét biztosítja; nem védi a külső beszállító felhőinfrastruktúrájában tárolt vagy feldolgozott adatokat.

Milyen vakfoltot okoznak az egészségügyi szervezetek számára a harmadik fél által hosztolt alkalmazások?

A biztonsági felelősség széttöredezik, mert a hozzáférést, a hibajavítást és a monitorozást a beszállító felügyeli, míg az egészségügyi szervezet szerződéses rálátása a mindennapi biztonsági gyakorlatokra korlátozott.

Az iRhythm incidens része egy nagyobb mintázatnak?

Igen, a cikk rámutat az egészségügyi beszállítói infrastruktúrát célzó támadások növekvő tendenciájára, beleértve a Novo Nordisk elleni friss adatszivárgást és a Cropwise zsarolóvírus-támadásban megfigyelt hasonló belépési pontot.

iRhythm adatszivárgás: Harmadik fél felhőalkalmazásai tárják fel a betegadatokat

Az iRhythm kardiológiai monitorozó vállalatnál történt egészségügyi adatszivárgás során betegadatokat szivárogtattak ki, miután támadók hozzáférést szereztek a vállalat közvetlen infrastruktúráján kívül, harmadik fél által hosztolt alkalmazásokhoz. Az incidens szorosan követi a Novo Nordisk érintettségével jelentett adatszivárgást, és megerősíti azt a mintázatot, amelyre a biztonsági szakemberek többször figyelmeztettek: az egészségügyi adatok csak annyira biztonságosak, amennyire a leggyengébb beszállítói láncszem. A páciensek és az egészségügyi szolgáltatók számára az iRhythm esete éles figyelmeztetés, hogy az egészségügyi adatszivárgás harmadik fél felhőalapú kitettsége ma már az egyik legsúlyosabb támadási felület az orvoslásban.

Mi történt az iRhythm adatszivárgásban

Az iRhythm közleménye szerint hackerek egy harmadik fél által üzemeltetett alkalmazásokhoz fértek hozzá, nem az iRhythm saját belső rendszereihez, és ezen a hozzáférésen keresztül betegadatokat nyertek ki. A vállalat, amely viselhető kardiológiai monitorozó eszközöket – például a Zio tapaszt – gyárt, rendkívül érzékeny adatokat kezel, beleértve a fiziológiai felvételeket és a szívbetegségekhez köthető személyazonosításra alkalmas egészségügyi nyilvántartásokat.

Bár az érintett rekordok mennyiségéről és a pontos módszerekről szóló konkrét részleteket még nem hozták teljes körűen nyilvánosságra, az alapvető mechanizmus sokatmondó: a támadóknak nem kellett áttörniük az iRhythm saját peremvédelmét. Egy beszállítón keresztül hatoltak be. Ennek a megkülönböztetésnek óriási jelentősége van abban, hogy a vállalatoknak és a pácienseknek hogyan kell gondolkodniuk a kockázatról.

Miért hoznak létre vakfoltokat a harmadik fél felhőszolgáltatásai, amelyeket a VPN-ek sem tudnak megszüntetni

Számos szervezet – köztük egészségügyi szolgáltatók is – VPN-eket telepít a forgalom titkosítására és a belső rendszerekhez való hozzáférés korlátozására. A VPN-ek törvényes és hasznos eszközök az adatok átvitel közbeni védelmére a szervezet által ellenőrzött hálózatokon keresztül. Amikor azonban a betegadatok egy külső beszállító által, külön felhőinfrastruktúrában üzemeltetett alkalmazásokban élnek, az iRhythm saját hálózatát védő VPN semmilyen biztonságot nem nyújt arra a környezetre nézve.

A harmadik fél által hosztolt alkalmazások a beszállító biztonsági állapotától, hozzáférés-szabályozásaitól, frissítési ütemezésétől és incidensészlelési képességeitől függenek. Az egészségügyi szervezetek gyakran korlátozott szerződéses rálátással bírnak arra, hogy a beszállítók hogyan kezelik a biztonságot a mindennapokban. Ez nem egy szűken vett probléma: tükrözi azt, ami a Cropwise ellen elkövetett zsarolóvírus-támadásban történt, ahol egy célzott beszállítói platform vált a belépési ponttá azon támadók számára, akik az elsődleges szervezet megerősített peremén kívül tárolt értékes adatokat keresték.

A vakfolt strukturális. Amikor az adatok harmadik fél környezetébe kerülnek, a biztonsági felelősség széttöredezik, és a beszállítónál bekövetkező adatszivárgás minden olyan szervezet számára adatszivárgást jelent, amelynek ott tárolják az adatait.

Az egészségügyi beszállítói infrastruktúrát érő támadások egyre növekvő mintázata

Az iRhythm adatszivárgás nem elszigetelten érkezett. Az egészségügyi szervezeteket az utóbbi években sorozatosan érte el a beszállítói függőségeken keresztül. A Change Healthcare incidens során hozzávetőleg 100 millió ember adatai kerültek nyilvánosságra, miután a támadók kompromittáltak egy kritikus fizetési és vényinfrastruktúra-szolgáltatót. A telemedicina-platformok, a számlázócégek, az EHR-beszállítók és az eszközadattárak mind kiemelt célpontokká váltak, mert egyszerre több tucat vagy akár több száz egészségügyi ügyféltől gyűjtik össze az adatokat.

A támadók számára a gazdaságosság egyértelmű. Egyetlen olyan harmadik féltől származó felhőplatform feltörése, amely húsz egészségügyi szervezetet szolgál ki, hússzoros adatmennyiséget eredményez nagyjából ugyanannyi erőfeszítéssel. Az egészségügyi adatok magas áron kelnek el a bűnözői piacokon, mert kórtörténetet, biztosítási adatokat, születési dátumokat és társadalombiztosítási számokat egy csomagban tartalmaznak, így sokkal hasznosabbak csalásra és személyazonosság-lopásra, mint a pénzügyi hitelesítő adatok önmagukban.

Az iRhythm bejelentésének időzítése – amely ilyen közel esik a Novo Nordisk incidenséhez – vagy egy, az egészségügyi szektort célzó összehangolt kampányra utal, vagy – ami valószínűbb – arra, hogy a támadók szisztematikusan vizsgálják azokat a beszállítói ökoszisztémákat, amelyeken az egészségügyi vállalatok osztoznak.

Milyen adatvédelmi kontrollokat követeljenek most a páciensek és az egészségügyi fogyasztók

A páciensek közvetlenül kevés irányítással bírnak afölött, hogy az egészségügyi vállalatok hogyan kezelik beszállítói kapcsolataikat, de nem teljesen eszköztelenek.

Kérdezzen rá az adatok tárolási helyére. Amikor távoli megfigyelési programokba, telemedicina-szolgáltatásokba vagy bármilyen digitális egészségügyi platformba iratkoznak be, a páciensek közvetlenül megkérdezhetik: hol tárolják az adataimat, és ki fér még hozzájuk? A szolgáltatóknak képesnek kell lenniük erre egyértelmű választ adni. A homályos válaszok figyelmeztető jelek.

Lelkiismeretesen nézze át a HIPAA felhatalmazási nyilatkozatokat. Sok páciens széles körű felhatalmazásokat ír alá anélkül, hogy elolvasná, mely harmadik felek kaphatják meg az adatait. Ezek a dokumentumok részletezik a beszállítói kapcsolatokat és az adatmegosztási engedélyeket. Átolvasásuk időbe telik, de tudatosítja a kitettségi felületet.

Figyelje az adatszivárgási értesítéseket. A HIPAA értelmében az érintett szervezetek kötelesek értesíteni az érintett személyeket a védett egészségügyi adataikat érintő adatszivárgásokról. A páciensek, akik ilyen értesítéseket kapnak, vegyék azokat komolyan, ellenőrizzék, hogy pontosan milyen adatok voltak érintettek, és fontolják meg hitelbefagyasztás vagy csalási riasztások bekapcsolását, ha társadalombiztosítási számok vagy pénzügyi adatok is szerepeltek a kiszivárgott rekordok között.

Az egészségügyi szervezetek és a beszerzési csapatok számára a megvalósítható követelés a valódi fogakkal rendelkező beszállítói biztonsági auditok. Azok a harmadik féltől származó kockázatkezelési programok, amelyek magukban foglalják a szerződéses biztonsági követelményeket, a beszállító által hosztolt alkalmazások rendszeres penetrációs tesztelését és a dokumentált incidenskezelési eljárásokat, alapvető elvárásoknak kell lenniük, nem opcionális kiegészítéseknek.

Mit jelent ez Önnek

Az iRhythm adatszivárgás rávilágít arra, hogy a digitális egészségügyben a páciensek magánszférája a teljes beszállítói lánctól függ, nem csupán attól a szervezettől, amelynek a neve az eszközön vagy az alkalmazáson szerepel. Egy VPN, az erős jelszavak vagy a kétfaktoros hitelesítés a betegportálon nem fogja megvédeni az adatokat, miután azokat átmásolták egy harmadik fél felhőalkalmazásába, amelyet maga az egészségügyi vállalat közvetlenül nem biztosít.

A hétköznapi egészségügyi fogyasztók számára a legpraktikusabb lépés most az, hogy auditálják saját digitális egészségügyi lábnyomukat. Listázzák ki az általuk használt alkalmazásokat, távoli megfigyelési szolgáltatásokat és betegportálokat, és nézzék át azok adatvédelmi irányelveit harmadik féltől származó adatfeldolgozókra való hivatkozások után kutatva. Ha egy szolgáltatás nem tudja egyértelműen elmagyarázni, hogy ki tárolja az Ön adatait és hogyan védi azokat, akkor ez olyan információ, amit érdemes beszerezni, mielőtt egy adatszivárgási értesítés megérkezik a postaládájába.

Azoknak az egészségügyi szervezeteknek, amelyek komolyan gondolják ezeknek a hiányosságoknak a megszüntetését, túl kell lépniük a peremvédelmen, és a beszállítók biztonságát saját biztonságuk kiterjesztéseként kell kezelniük. Az iRhythm esete egyértelművé teszi, hogy a kérdés már nem az, hogy a harmadik fél felhőkörnyezeteiben lévő egészségügyi adatok célponttá válnak-e. Sokkal inkább az, hogy a szervezetek és a szabályozók milyen gyorsan szüntetik meg azokat a felelősségi rést, amelyek ezeket a támadásokat olyan megbízhatóan sikeressé teszik.