Cosa è successo nella violazione dei dati di iRhythm?

Gli hacker hanno avuto accesso alle informazioni sanitarie dei pazienti compromettendo applicazioni ospitate da un fornitore terzo, non i sistemi interni di iRhythm.

In che modo gli aggressori hanno aggirato le difese di sicurezza di iRhythm?

Hanno violato l'ambiente cloud del fornitore terzo, quindi non hanno mai dovuto penetrare il perimetro di rete di iRhythm.

Perché una VPN non può prevenire violazioni come questa?

Una VPN protegge solo i dati in transito attraverso la rete dell'organizzazione; non protegge i dati archiviati o elaborati nell'infrastruttura cloud di un fornitore esterno.

Quale punto cieco creano le applicazioni ospitate da terzi per le organizzazioni sanitarie?

La responsabilità della sicurezza diventa frammentata perché il fornitore controlla l'accesso, l'applicazione delle patch e il monitoraggio, mentre l'organizzazione sanitaria ha una visibilità contrattuale limitata sulle pratiche di sicurezza quotidiane.

L'incidente di iRhythm fa parte di un modello più ampio?

Sì, l'articolo rileva una tendenza crescente di attacchi all'infrastruttura dei fornitori sanitari, inclusa una recente violazione presso Novo Nordisk e un analogo punto di ingresso del fornitore nell'attacco ransomware a Cropwise.

Violazione di iRhythm: le app cloud di terze parti espongono i dati dei pazienti

Una violazione dei dati sanitari presso iRhythm, l'azienda di monitoraggio cardiaco, ha esposto informazioni sanitarie dei pazienti dopo che gli aggressori hanno avuto accesso ad applicazioni ospitate da terze parti al di fuori dell'infrastruttura diretta dell'azienda. L'incidente segue da vicino una violazione segnalata che ha coinvolto Novo Nordisk e rafforza un modello che i professionisti della sicurezza hanno segnalato più volte: i dati sanitari sono sicuri solo quanto l'anello più debole dei fornitori. Per i pazienti e per gli operatori sanitari, il caso iRhythm è un chiaro monito: l'esposizione a violazioni dei dati sanitari tramite cloud di terze parti è ormai una delle superfici d'attacco più rilevanti in campo medico.

Cosa è successo nella violazione di iRhythm

iRhythm ha reso noto che degli hacker hanno avuto accesso ad applicazioni ospitate da un fornitore terzo, non ai sistemi interni di iRhythm, riuscendo a estrarre informazioni sanitarie dei pazienti attraverso tale accesso. L'azienda, che produce dispositivi indossabili per il monitoraggio cardiaco come il cerotto Zio, gestisce dati profondamente sensibili, tra cui registrazioni fisiologiche e dati sanitari personalmente identificabili associati a condizioni cardiache.

Anche se i dettagli specifici sul numero di record coinvolti e sulle modalità esatte non sono stati completamente pubblicati, il meccanismo centrale è significativo: chi attacca non ha avuto bisogno di violare il perimetro di iRhythm, ma è passato da un fornitore. Questa distinzione è fondamentale per comprendere come aziende e pazienti dovrebbero considerare il rischio.

Perché l'hosting cloud di terze parti crea punti ciechi che le VPN non possono colmare

Molte organizzazioni, compresi gli operatori sanitari, utilizzano VPN per cifrare il traffico e limitare l'accesso ai sistemi interni. Le VPN sono uno strumento legittimo e utile per proteggere i dati in transito attraverso le reti che un'organizzazione controlla. Ma quando i dati dei pazienti risiedono in applicazioni ospitate da un fornitore esterno su un'infrastruttura cloud separata, una VPN che protegge la rete di iRhythm non fa nulla per mettere in sicurezza quell'ambiente.

Le applicazioni ospitate da terze parti operano secondo le impostazioni di sicurezza del fornitore, i suoi controlli d'accesso, i suoi programmi di patching e le sue capacità di rilevamento degli incidenti. Spesso le organizzazioni sanitarie hanno una visibilità contrattuale limitata su come quei fornitori gestiscono quotidianamente la sicurezza. Non si tratta di un problema di nicchia: rispecchia quanto accaduto nell'attacco ransomware contro Cropwise, dove una piattaforma fornitrice è diventata il punto d'ingresso per aggressori in cerca di dati preziosi archiviati al di fuori del perimetro protetto dell'organizzazione principale.

Il punto cieco è strutturale. Quando i dati si spostano in un ambiente di terze parti, la responsabilità della sicurezza si frammenta, e una violazione presso il fornitore diventa una violazione per ogni organizzazione i cui dati si trovano lì.

Un modello in crescita di attacchi all'infrastruttura dei fornitori sanitari

La violazione di iRhythm non è giunta isolata. Negli ultimi anni le organizzazioni sanitarie sono state colpite ripetutamente attraverso le dipendenze dai fornitori. L'incidente di Change Healthcare ha esposto i dati di circa 100 milioni di persone dopo che gli aggressori hanno compromesso un fornitore critico di infrastrutture per pagamenti e prescrizioni. Piattaforme di telemedicina, aziende di fatturazione, fornitori di cartelle cliniche elettroniche e archivi di dati dei dispositivi sono diventati tutti obiettivi privilegiati perché aggregano dati di decine o centinaia di clienti sanitari simultaneamente.

Per chi attacca, la convenienza è evidente. Violare un'unica piattaforma cloud di terze parti che serve venti organizzazioni sanitarie produce venti volte i dati con all'incirca lo stesso sforzo. I dati sanitari hanno prezzi elevati nei mercati criminali perché contengono anamnesi, dettagli assicurativi, date di nascita e numeri di previdenza sociale tutti insieme, rendendoli molto più utili per frodi e furti d'identità rispetto alle sole credenziali finanziarie.

La tempistica della divulgazione di iRhythm, così vicina all'incidente Novo Nordisk, suggerisce o una campagna coordinata contro il settore sanitario o, più plausibilmente, che gli aggressori stanno scandagliando sistematicamente gli ecosistemi di fornitori condivisi dalle aziende sanitarie.

Quali controlli sulla privacy dovrebbero ora esigere i pazienti e gli utenti dei servizi sanitari

I pazienti hanno un controllo diretto limitato su come le aziende sanitarie gestiscono i loro rapporti con i fornitori, ma non sono del tutto privi di strumenti o leve.

Chiedere dove si trovano i dati. Quando ci si iscrive a programmi di monitoraggio remoto, servizi di telemedicina o qualsiasi piattaforma di sanità digitale, i pazienti possono chiedere direttamente: dove vengono conservati i miei dati e chi altro vi ha accesso? I fornitori dovrebbero essere in grado di rispondere chiaramente. Risposte vaghe sono un segnale da tenere in considerazione.

Esaminare attentamente le informative sulle autorizzazioni HIPAA. Molti pazienti firmano ampie autorizzazioni senza leggere quali terze parti potrebbero ricevere i loro dati. Questi documenti specificano i rapporti con i fornitori e i permessi di condivisione dei dati. Leggerli richiede tempo ma crea consapevolezza della superficie di esposizione.

Attenzione alle notifiche di violazione. Ai sensi dell'HIPAA, le entità coperte sono tenute ad avvisare le persone interessate delle violazioni che coinvolgono le loro informazioni sanitarie protette. I pazienti che ricevono queste notifiche dovrebbero prenderle sul serio, verificare quali dati specifici sono stati coinvolti e considerare l'attivazione di blocchi del credito o avvisi di frode se tra i dati esposti figurano numeri di previdenza sociale o dati finanziari.

Per le organizzazioni sanitarie e gli uffici acquisti, la richiesta concreta è la realizzazione di audit della sicurezza dei fornitori con poteri reali. I programmi di gestione del rischio di terze parti che includono requisiti contrattuali di sicurezza, test di penetrazione regolari sulle applicazioni ospitate dai fornitori e protocolli documentati di risposta agli incidenti dovrebbero essere requisiti di base, non aggiunte opzionali.

Cosa significa per te

La violazione di iRhythm sottolinea che la privacy del paziente nella sanità digitale dipende dall'intera catena di fornitori, non solo dall'organizzazione il cui nome compare sul dispositivo o sull'app. Una VPN, password complesse o l'autenticazione a due fattori sul portale del paziente non proteggono i dati una volta che sono stati copiati su un'applicazione cloud di terze parti che l'azienda sanitaria stessa non mette in sicurezza direttamente.

Per i consumatori di servizi sanitari, il passo più pratico in questo momento è verificare la propria impronta digitale sanitaria. Elencate le app, i servizi di monitoraggio remoto e i portali paziente che utilizzate e consultate le loro informative sulla privacy per individuare riferimenti a responsabili del trattamento dati terzi. Se un servizio non è in grado di spiegare chiaramente chi detiene i vostri dati e come vengono protetti, si tratta di un'informazione utile da avere prima che arrivi una notifica di violazione nella vostra casella di posta.

Le organizzazioni sanitarie che vogliono colmare seriamente queste lacune devono andare oltre le difese perimetrali e considerare la sicurezza dei fornitori come un'estensione della propria. Il caso iRhythm rende evidente che la domanda non è più se i dati sanitari in ambienti cloud di terze parti saranno presi di mira, ma quanto rapidamente le organizzazioni e le autorità di regolamentazione colmeranno i vuoti di responsabilità che rendono questi attacchi così efficacemente redditizi.