Stewart Home & School adatszivárgás: 3 677 rekord veszett el hitelesítő adatok ellopása miatt
Egy zsarolóvírusos incidens a Stewart Home & Schoolnál ismét reflektorfénybe állította az egészségügyi hitelesítőadat-lopás és a zsarolóvírusok elleni védekezést, és érdemes alaposan megvizsgálni ennek a konkrét adatszivárgásnak a mechanizmusát. Ellopott hitelesítő adatok tették lehetővé, hogy a támadó bejusson két belső meghajtóra. Az adatokat elérték, kimásolták a környezetből, majd titkosították, ami akár 3 677 olyan személyt is érinthet, akiknek személyes, pénzügyi és védett egészségügyi adatait ezeken a meghajtókon tárolták. A folyamat szinte tankönyvi, de éppen ezért annyira tanulságos.
Hogyan nyitottak utat az ellopott hitelesítő adatok a zsarolóvírusnak a Stewart Home & Schoolnál
A Stewart Home & School elleni támadás azt a mintát követte, amelyet biztonsági kutatók több száz egészségügyi incidens során dokumentáltak: a támadó érvényes bejelentkezési adatokat szerez, ezeket használva normál hitelesítést végez, oldalirányban mozog, hogy megtalálja az érzékeny adatokat tároló rendszereket, kiszivárogtat egy másolatot ezekből az adatokból, majd zsarolóvírust telepít, hogy titkosítsa a megmaradt állományokat. Minden lépés az előzőre épül.
A hitelesítő adatokra épülő behatolások azért különösen károsak, mert a hálózat szemszögéből a támadó jogszerű felhasználónak tűnik. A peremvédelmi rendszerek, tűzfalak és alapvető vírusirtó eszközök nem arra lettek tervezve, hogy a hitelesített munkameneteket megjelöljék. Mire a titkosítás elkezdődik, az adatok már rég kikerültek. A zsarolóvírus szinte másodlagos esemény, egy nyomásgyakorlási taktika, amely ráépül egy már sikeresen végrehajtott adatszivárgásra.
Éppen ezért a teljes folyamat legkritikusabb pontja a hitelesítő adatok kezdeti kompromittálódása. Ha ezt sikerül megállítani, az összes későbbi kár elkerülhető.
Milyen adatok kerültek nyilvánosságra, és ki van veszélyben
Az adatszivárgás személyes adatokat, pénzügyi információkat és védett egészségügyi adatokat (PHI) érintett – ez a kombináció halmozott kockázatot jelent az érintettek számára. A PHI-re a HIPAA szabályozása vonatkozik, így az érintett szervezeteknek a közvetlen személyi károkon felül szabályozási következményekkel is szembe kell nézniük. A pénzügyi adatok jelenléte ugyanebben az incidensben drámaian növeli a személyazonosság-lopás és a csalárd számlatevékenység kockázatát.
Mivel akár 3 677 személy is érintett lehet, a lépték egyetlen intézmény esetében jelentős. A Stewart Home & School lakói, diákjai és vélhetően munkatársai – egy fejlődési rendellenességekkel élő személyeket gondozó intézmény közössége – különösen sérülékeny csoportot alkotnak. Sokan közülük korlátozottan képesek saját hitelminősítésük nyomon követésére vagy a csalási riasztások önálló kezelésére, ami extra felelősséget ró az intézményre és a családi gondozókra.
Ez a fajta adatszivárgás nem ér véget akkor, amikor a zsarolóvírust hatástalanítják. A kiszivárgott adatok megmaradnak, és az egyének hónapokig vagy évekig veszélyben maradnak, miközben az ellopott rekordok másodlagos piacokon keringenek.
Miért különösen sebezhetőek az egészségügyi környezetek a hitelesítő alapú támadásokkal szemben
Az egészségügyi és gondozási intézmények környezete olyan strukturális sebezhetőségeket hordoz, amelyek megnehezítik a hitelesítőadat-lopásos zsarolóvírusok elleni védekezést más ágazatokhoz képest. A személyzeti fluktuáció magas, ami azt jelenti, hogy a hitelesítő adatok higiéniája – beleértve a távozó munkatársak fiókjainak időben történő megszüntetését – folyamatos nyomás alatt áll. A közös munkaállomások elterjedtek a klinikai és bentlakásos gondozási környezetben, ami megnehezíti mind a jelszókezelést, mind a felelősség megállapítását, ha egy hitelesítő adatot visszaélés ér.
A távoli hozzáférés is jelentősen bővült a gondozási környezetekben, és nem mindig megfelelő kontrollokkal. Azok a dolgozók, akik személyes eszközökről vagy otthoni hálózatokról jelentkeznek be, gyakran VPN vagy többtényezős hitelesítés védelme nélkül teszik ezt, ami kiszolgáltatja a hitelesítő adatokat az adathalászatnak, az infostealer kártevőknek és a hálózati lehallgatásnak.
Érdemes megjegyezni a párhuzamot más ágazatokkal. A ManageMyHealth korábbi esete, amely közel 100 000 betegrekordot tárt fel az előzetes figyelmeztetések ellenére, jól mutatja, hogy a hitelesítőadat- és hozzáférési hibák az egészségügyben ritkán egyszeri meglepetések. Általában olyan rendszerszintű hiányosságokat tükröznek, amelyekkel addig nem foglalkoznak, amíg egy adatszivárgás ki nem kényszeríti a lépéseket. Hasonlóképpen, a kormányzati rendszerek is hasonló elszámoltathatósági hiányosságokkal szembesültek, amikor ismert sérülékenységeket hosszabb ideig javítatlanul hagytak.
Az egészségügyi szervezetek emellett gyakran olyan régebbi rendszereket üzemeltetnek, amelyeket nem a modern hitelesítési követelmények figyelembevételével terveztek. A többtényezős hitelesítés régebbi infrastruktúrára való ráillesztése műszakilag megvalósítható, de költségvetést, tervezést és személyzeti képzést igényel, amit sok kisebb intézmény nehezen tud előtérbe helyezni.
Hogyan zárhatják le az egészségügyi dolgozók a hozzáférést és állíthatják meg az adatszivárgási láncot
A Stewart Home & School adatszivárgása világos kiindulópontot kínál minden olyan egészségügyi szervezet számára, amely felülvizsgálja saját kitettségét. A beavatkozás nem igényel élvonalbeli technológiát. Olyan kontrollok fegyelmezett bevezetését igényli, amelyek már jól ismertek.
Többtényezős hitelesítés kikényszerítése minden távoli hozzáférésre. Egy ellopott jelszó önmagában nem elegendő a hitelesítéshez, ha egy második tényező is szükséges. Ez az egyetlen kontroll megtöri a leggyakoribb hitelesítőadat-lopási támadási láncot.
VPN használatának megkövetelése minden, belső meghajtókhoz és klinikai rendszerekhez irányuló távoli kapcsolat esetében. Az otthonról vagy megosztott hálózatokról csatlakozó alkalmazottak forgalmát titkosított alagúton kell átvezetni. Ez csökkenti a hitelesítő adatok elfogásának támadási felületét, és korlátozza, hogy egy hitelesített támadó mihez férhet hozzá.
Rendszeres fiókellenőrzés és -megszüntetés. A nem használt vagy volt alkalmazottak fiókjai visszatérő belépési pontot jelentenek. Az aktív hitelesítő adatok negyedéves felülvizsgálata, összevetve az aktuális személyzeti listával, jelentősen csökkenti annak kockázatát, hogy árva fiókokat kihasználjanak.
Belső meghajtók szegmentálása és a legkisebb jogosultság elvének alkalmazása. Nem minden hitelesített felhasználónak van szüksége hozzáférésre minden meghajtóhoz. A hozzáférésnek az egyes szerepkörökhöz valóban szükséges mértékre korlátozása azt jelenti, hogy egyetlen kompromittált hitelesítő adat sem nyithatja meg a teljes adatkörnyezetet.
Anomális hitelesítési viselkedés figyelése. A szokatlan időpontokban, ismeretlen IP-címekről vagy több rendszeren gyors egymásutánban történő bejelentkezések figyelmeztető jelek. Az ilyen mintákra épülő automatikus riasztások felfedhetik a behatolásokat, mielőtt az adatszivárgás befejeződik.
Mit jelent ez Önnek
Ha Ön egészségügyi adminisztrációban, informatikai vagy megfelelőségi területen dolgozik, a Stewart Home & School adatszivárgása közvetlen figyelmeztetés, hogy vizsgálja felül saját távoli hozzáférésének biztonságát, mielőtt egy incidens kényszerítené erre. Az itt dokumentált hitelesítőadat-lopástól adatszivárgáson át titkosításig tartó sorozat megismételhető, és a támadók jól ismerik. Újra meg fog történni azoknál a szervezeteknél, amelyek nem orvosolták az alapvető hozzáférés-szabályozási hiányosságokat.
Tanulmányozza át a ManageMyHealth adatszivárgási esetét párhuzamos esettanulmányként: ezt az incidenst egy kormányzati vizsgálatot követően teljesen megelőzhetőnek minősítették, ami azt jelenti, hogy a figyelmeztető jelek már az adatok elvesztése előtt is léteztek. Szinte bizonyos, hogy ugyanez igaz a ma MFA, VPN-kényszerítés és rendszeres hitelesítőadat-ellenőrzés nélkül működő szervezetekre. A kontrollok rendelkezésre állnak. A kérdés az, hogy a helyükön vannak-e, mielőtt a következő ellopott jelszó kinyit egy ajtót.




