Co wydarzyło się podczas naruszenia danych w iRhythm?

Hakerzy uzyskali dostęp do informacji zdrowotnych pacjentów, kompromitując aplikacje hostowane przez zewnętrznego dostawcę, a nie wewnętrzne systemy iRhythm.

Jak atakujący ominęli własne zabezpieczenia iRhythm?

Włamali się do środowiska chmurowego zewnętrznego dostawcy, więc nigdy nie musieli pokonywać perymetru sieciowego iRhythm.

Dlaczego VPN nie może zapobiec takim naruszeniom?

VPN chroni tylko dane przesyłane w ramach sieci organizacji; nie zabezpiecza danych przechowywanych ani przetwarzanych w infrastrukturze chmurowej zewnętrznego dostawcy.

Jaki martwy punkt tworzą aplikacje hostowane przez strony trzecie dla organizacji medycznych?

Odpowiedzialność za bezpieczeństwo ulega rozproszeniu, ponieważ dostawca kontroluje dostęp, łatanie i monitorowanie, podczas gdy organizacja medyczna ma ograniczony kontraktowy wgląd w codzienne praktyki bezpieczeństwa.

Czy incydent w iRhythm jest częścią szerszego schematu?

Tak, artykuł wskazuje na rosnący trend ataków na infrastrukturę dostawców w ochronie zdrowia, w tym niedawne naruszenie w Novo Nordisk i podobny punkt wejścia przez dostawcę w ataku ransomware na Cropwise.

Naruszenie w iRhythm: aplikacje chmurowe zewnętrznych dostawców ujawniają dane pacjentów

Włamanie do danych medycznych w firmie iRhythm, zajmującej się monitorowaniem pracy serca, ujawniło informacje zdrowotne pacjentów po tym, jak atakujący uzyskali dostęp do aplikacji hostowanych przez zewnętrznych dostawców, znajdujących się poza bezpośrednią infrastrukturą firmy. Incydent ten następuje tuż po zgłoszonym naruszeniu dotyczącym Novo Nordisk i wzmacnia schemat, na który specjaliści ds. bezpieczeństwa wielokrotnie zwracali uwagę: dane medyczne są tak bezpieczne, jak ich najsłabsze ogniwo w łańcuchu dostawców. Dla pacjentów i świadczeniodawców sprawa iRhythm jest dobitnym przypomnieniem, że narażenie danych medycznych w chmurze zewnętrznych dostawców to obecnie jedna z najpoważniejszych powierzchni ataku w medycynie.

Co wydarzyło się w naruszeniu iRhythm

iRhythm ujawniło, że hakerzy uzyskali dostęp do aplikacji hostowanych przez zewnętrznego dostawcę, a nie do wewnętrznych systemów firmy, i byli w stanie za ich pośrednictwem wydobyć informacje zdrowotne pacjentów. Firma, która produkuje noszone urządzenia do monitorowania pracy serca, takie jak plaster Zio, przetwarza niezwykle wrażliwe dane, w tym zapisy fizjologiczne i osobiście identyfikowalną dokumentację medyczną związaną ze schorzeniami kardiologicznymi.

Chociaż szczegółowe informacje o liczbie dotkniętych rekordów i dokładnych zastosowanych metodach nie zostały w pełni opublikowane, sam mechanizm jest znaczący: atakujący nie musieli przełamywać własnego perymetru iRhythm. Przedostali się przez dostawcę. To rozróżnienie ma ogromne znaczenie dla tego, jak firmy i pacjenci powinni postrzegać ryzyko.

Dlaczego hosting w chmurze zewnętrznej tworzy martwe punkty, których sieci VPN nie są w stanie zlikwidować

Wiele organizacji, w tym świadczeniodawcy opieki zdrowotnej, wdraża sieci VPN, aby szyfrować ruch i ograniczać dostęp do systemów wewnętrznych. Sieci VPN są uzasadnionym i użytecznym narzędziem do ochrony danych przesyłanych przez sieci kontrolowane przez organizację. Kiedy jednak dane pacjentów znajdują się w aplikacjach hostowanych przez zewnętrznego dostawcę w oddzielnej infrastrukturze chmurowej, VPN chroniący własną sieć iRhythm nie robi nic, by zabezpieczyć to środowisko.

Aplikacje hostowane przez strony trzecie funkcjonują w oparciu o poziom bezpieczeństwa dostawcy, jego kontrolę dostępu, harmonogramy łatania i możliwości wykrywania incydentów. Organizacje medyczne często mają ograniczony kontraktowy wgląd w to, jak ci dostawcy zarządzają bezpieczeństwem na co dzień. Nie jest to problem niszowy: odzwierciedla on to, co wydarzyło się w ataku ransomware na Cropwise, gdzie platforma docelowego dostawcy stała się punktem wejścia dla atakujących poszukujących wartościowych danych przechowywanych poza utwardzonym perymetrem głównej organizacji.

Martwy punkt ma charakter strukturalny. Gdy dane trafiają do środowiska zewnętrznego, odpowiedzialność za bezpieczeństwo ulega rozproszeniu, a naruszenie u dostawcy staje się naruszeniem dla każdej organizacji, której dane tam się znajdują.

Rosnąca fala ataków na infrastrukturę dostawców w ochronie zdrowia

Naruszenie w iRhythm nie nastąpiło w izolacji. Organizacje medyczne w ostatnich latach wielokrotnie padały ofiarą ataków za pośrednictwem zależności od dostawców. Incydent w Change Healthcare ujawnił dane około 100 milionów osób po tym, jak atakujący skompromitowali kluczowego dostawcę infrastruktury płatności i recept. Platformy telemedyczne, firmy rozliczeniowe, dostawcy elektronicznej dokumentacji medycznej i repozytoria danych z urządzeń stały się głównymi celami, ponieważ agregują one rekordy od dziesiątek lub setek klientów medycznych jednocześnie.

Dla atakujących ekonomika jest prosta. Włamanie do jednej platformy chmurowej strony trzeciej, która obsługuje dwadzieścia organizacji medycznych, przynosi dwudziestokrotnie więcej danych przy mniej więcej tym samym wysiłku. Dane medyczne osiągają wysokie ceny na rynkach przestępczych, ponieważ zawierają historię chorób, dane ubezpieczeniowe, daty urodzenia i numery PESEL, wszystko zebrane razem, co czyni je znacznie bardziej przydatnymi do oszustw i kradzieży tożsamości niż same dane uwierzytelniające do kont finansowych.

Zbieżność czasowa ujawnienia incydentu w iRhythm z incydentem w Novo Nordisk sugeruje albo skoordynowaną kampanię wymierzoną w sektor ochrony zdrowia, albo – co bardziej prawdopodobne – że atakujący systematycznie sondują ekosystemy dostawców, z których korzystają firmy medyczne.

Jakie mechanizmy kontroli prywatności pacjenci i konsumenci usług medycznych powinni teraz egzekwować

Pacjenci mają ograniczoną bezpośrednią kontrolę nad tym, jak firmy medyczne zarządzają swoimi relacjami z dostawcami, lecz nie są całkowicie pozbawieni środków nacisku czy możliwości działania.

Pytaj o lokalizację danych. Zapisując się do programów zdalnego monitorowania, usług telemedycznych czy jakiejkolwiek platformy cyfrowego zdrowia, pacjenci mogą bezpośrednio zapytać: gdzie przechowywane są moje dane i kto jeszcze ma do nich dostęp? Świadczeniodawcy powinni być w stanie odpowiedzieć na to jasno. Niejasne odpowiedzi są sygnałem wartym odnotowania.

Uważnie przeglądaj upoważnienia do ujawnienia informacji zgodnie z RODO/HIPAA. Wielu pacjentów podpisuje szerokie upoważnienia, nie czytając, które podmioty trzecie mogą otrzymać ich dane. Dokumenty te szczegółowo określają relacje z dostawcami i uprawnienia do udostępniania danych. Ich lektura wymaga czasu, ale buduje świadomość powierzchni ekspozycji.

Monitoruj powiadomienia o naruszeniach. Zgodnie z przepisami o ochronie danych osobowych, podmioty objęte regulacjami są zobowiązane do powiadamiania osób, których dotyczą, o naruszeniach wpływających na ich chronione informacje zdrowotne. Pacjenci otrzymujący takie powiadomienia powinni traktować je poważnie, sprawdzić, jakich konkretnie danych dotyczyło naruszenie, i rozważyć zastrzeżenie kredytu lub alerty o oszustwach, jeśli wśród ujawnionych rekordów znalazły się numery PESEL lub dane finansowe.

Dla organizacji medycznych i zespołów zakupowych, praktycznym wymogiem są audyty bezpieczeństwa dostawców z prawdziwymi konsekwencjami. Programy zarządzania ryzykiem stron trzecich obejmujące umowne wymogi bezpieczeństwa, regularne testy penetracyjne aplikacji hostowanych przez dostawców i udokumentowane procedury reagowania na incydenty powinny być standardem, a nie opcjonalnym dodatkiem.

Co to oznacza dla Ciebie

Naruszenie w iRhythm podkreśla, że prywatność pacjentów w cyfrowym zdrowiu zależy od całego łańcucha dostawców, a nie tylko od organizacji, której nazwa widnieje na urządzeniu lub aplikacji. Sieć VPN, silne hasła czy uwierzytelnianie dwuskładnikowe na portalu pacjenta nie ochronią danych, gdy zostaną one skopiowane do aplikacji chmurowej strony trzeciej, której sama firma medyczna nie zabezpiecza bezpośrednio.

Dla codziennych konsumentów opieki zdrowotnej najbardziej praktycznym krokiem w tej chwili jest przegląd własnego śladu cyfrowego w ochronie zdrowia. Sporządź listę używanych aplikacji, usług zdalnego monitorowania i portali pacjenta, i przejrzyj ich polityki prywatności pod kątem odniesień do podmiotów przetwarzających dane jako strony trzecie. Jeśli usługa nie potrafi jasno wyjaśnić, kto przechowuje Twoje dane i jak są one chronione, to wiedza, którą warto mieć, zanim powiadomienie o naruszeniu trafi do Twojej skrzynki odbiorczej.

Organizacje medyczne, które poważnie myślą o zamknięciu tych luk, muszą wyjść poza obronę perymetryczną i traktować bezpieczeństwo dostawców jako rozszerzenie własnego. Sprawa iRhythm jasno pokazuje, że pytanie nie brzmi już, czy dane medyczne w środowiskach chmurowych stron trzecich będą celem ataków. Pytanie brzmi, jak szybko organizacje i regulatorzy zlikwidują luki w odpowiedzialności, które czynią te ataki tak niezawodnie skutecznymi.