Ce s-a întâmplat în breșa de date iRhythm?

Atacatorii au accesat informații de sănătate ale pacienților compromițând aplicații găzduite de un furnizor terț, nu sistemele interne proprii ale iRhythm.

Cum au ocolit atacatorii apărarea de securitate a iRhythm?

Aceștia au pătruns în mediul cloud al furnizorului terț, astfel că nu a fost nevoie să penetreze perimetrul rețelei iRhythm.

De ce un VPN nu poate preveni breșe ca aceasta?

Un VPN protejează doar datele în tranzit prin rețeaua proprie a organizației; nu securizează datele stocate sau procesate în infrastructura cloud a unui furnizor extern.

Ce punct orb creează aplicațiile găzduite de terți pentru organizațiile din domeniul sănătății?

Responsabilitatea securității devine fragmentată, deoarece furnizorul controlează accesul, corectarea și monitorizarea, în timp ce organizația din domeniul sănătății are o vizibilitate contractuală limitată asupra practicilor zilnice de securitate.

Face parte incidentul iRhythm dintr-un tipar mai amplu?

Da, articolul remarcă o tendință în creștere a atacurilor asupra infrastructurii furnizorilor din domeniul sănătății, inclusiv o breșă recentă la Novo Nordisk și un punct de intrare similar prin furnizor în atacul ransomware Cropwise.

Breșa iRhythm: Aplicațiile cloud terțe expun datele pacienților

O breșă de date medicale la iRhythm, compania de monitorizare cardiacă, a expus informații de sănătate ale pacienților după ce atacatorii au obținut acces la aplicații găzduite de terți, în afara infrastructurii directe a companiei. Incidentul survine la scurt timp după o breșă raportată la Novo Nordisk și întărește un tipar pe care profesioniștii din domeniul securității l-au semnalat în mod repetat: datele medicale sunt doar la fel de sigure ca cea mai slabă verigă a furnizorilor. Pentru pacienți și furnizori deopotrivă, cazul iRhythm este un avertisment clar că expunerea prin cloud terț în breșele de date medicale reprezintă acum una dintre cele mai critice suprafețe de atac din medicină.

Ce s-a întâmplat în breșa iRhythm

iRhythm a dezvăluit că atacatorii au accesat aplicații găzduite de un furnizor terț, nu sistemele interne proprii, și au reușit să extragă informații de sănătate ale pacienților prin acel acces. Compania, care produce dispozitive portabile de monitorizare cardiacă precum plasturele Zio, gestionează date profund sensibile, inclusiv înregistrări fiziologice și dosare medicale identificabile personal asociate afecțiunilor cardiace.

Deși detațiile specifice privind volumul de înregistrări afectate și metodele precise utilizate nu au fost publicate integral, mecanismul de bază este semnificativ: atacatorii nu au avut nevoie să penetreze perimetrul propriu al iRhythm. Au trecut printr-un furnizor. Această distincție contează enorm pentru modul în care companiile și pacienții ar trebui să gândească riscul.

De ce hostingul cloud terț creează puncte oarbe pe care VPN-urile nu le pot acoperi

Multe organizații, inclusiv furnizorii de servicii medicale, implementează VPN-uri pentru a cripta traficul și a restricționa accesul la sistemele interne. VPN-urile sunt un instrument legitim și util pentru protejarea datelor în tranzit prin rețelele pe care o organizație le controlează. Dar când datele pacienților se află în aplicații găzduite de un furnizor extern pe o infrastructură cloud separată, un VPN care protejează rețeaua proprie a iRhythm nu face nimic pentru a securiza acel mediu.

Aplicațiile găzduite de terți funcționează sub postura de securitate a furnizorului, sub controalele lor de acces, programele lor de corectare și capacitățile lor de detectare a incidentelor. Organizațiile din domeniul sănătății au adesea o vizibilitate contractuală limitată asupra modului în care acei furnizori gestionează securitatea zi de zi. Aceasta nu este o problemă de nișă: reflectă ce s-a întâmplat în atacul ransomware împotriva Cropwise, unde o platformă furnizor vizată a devenit punctul de intrare pentru atacatorii care căutau date valoroase stocate în afara perimetrului securizat al organizației principale.

Punctul orb este structural. Când datele se mută într-un mediu terț, responsabilitatea securității devine fragmentată, iar o breșă la furnizor devine o breșă pentru fiecare organizație ale cărei date se află acolo.

Un tipar în creștere al atacurilor asupra infrastructurii furnizorilor din domeniul sănătății

Breșa iRhythm nu a apărut izolat. Organizațiile din domeniul sănătății au fost lovite în mod repetat prin dependențele de furnizori în ultimii ani. Incidentul Change Healthcare a expus înregistrările a aproximativ 100 de milioane de persoane după ce atacatorii au compromis un furnizor critic de infrastructură pentru plăți și rețete. Platformele de telemedicină, companiile de facturare, furnizorii de dosare electronice de sănătate și depozitele de date ale dispozitivelor au devenit cu toate ținte premium pentru că agregă înregistrări de la zeci sau sute de clienți din domeniul sănătății simultan.

Pentru atacatori, economia este simplă: penetrarea unei singure platforme cloud terțe care deservește douăzeci de organizații de sănătate oferă de douăzeci de ori mai multe date pentru același efort, în mare. Datele medicale au prețuri ridicate pe piețele infracționale deoarece conțin istoric medical, detalii de asigurare, date de naștere și numere de asigurare socială, toate la un loc, făcându-le mult mai utile pentru fraudă și furt de identitate decât simplele credențiale financiare.

Faptul că dezvăluirea iRhythm a venit atât de aproape de incidentul Novo Nordisk sugerează fie o campanie coordonată care vizează sectorul sănătății, fie, mai plauzibil, că atacatorii sondează sistematic ecosistemele de furnizori pe care companiile din domeniul sănătății le împărtășesc.

Ce controale de confidențialitate ar trebui să ceară acum pacienții și consumatorii de servicii medicale

Pacienții au un control direct limitat asupra modului în care companiile din domeniul sănătății își gestionează relațiile cu furnizorii, dar nu sunt complet lipsiți de recurs sau de pârghie.

Întrebați despre locația datelor. Atunci când se înscriu în programe de monitorizare la distanță, servicii de telemedicină sau orice platformă digitală de sănătate, pacienții pot întreba direct: unde sunt stocate datele mele și cine altcineva are acces la ele? Furnizorii ar trebui să poată răspunde clar. Răspunsurile vagi sunt un semnal demn de reținut.

Examinați cu atenție autorizațiile HIPAA. Mulți pacienți semnează autorizații largi fără să citească ce terți ar putea primi datele lor. Aceste documente detaliază relațiile cu furnizorii și permisiunile de partajare a datelor. Citirea lor necesită timp, dar creează conștientizare asupra suprafeței de expunere.

Monitorizați notificările de breșă. Conform HIPAA, entitățile acoperite sunt obligate să notifice persoanele afectate cu privire la breșele care le afectează informațiile de sănătate protejate. Pacienții care primesc aceste notificări ar trebui să le ia în serios, să verifice ce date specifice au fost implicate și să ia în considerare blocarea creditului sau alerte de fraudă dacă numerele de asigurare socială sau datele financiare au făcut parte din înregistrările expuse.

Pentru organizațiile din domeniul sănătății și echipele de achiziții, cerința acționabilă este audituri de securitate ale furnizorilor cu consecințe reale. Programele de gestionare a riscurilor terțe care includ cerințe contractuale de securitate, testări periodice de penetrare a aplicațiilor găzduite de furnizori și protocoale documentate de răspuns la incidente ar trebui să fie așteptări de bază, nu adaosuri opționale.

Ce înseamnă asta pentru dumneavoastră

Breșa iRhythm subliniază că intimitatea pacienților în domeniul sănătății digitale depinde de întregul lanț de furnizori, nu doar de organizația al cărei nume apare pe dispozitiv sau pe aplicație. Un VPN, parole puternice sau autentificarea în doi factori pe portalul pacientului nu vor proteja datele odată ce au fost copiate într-o aplicație cloud terță pe care compania de sănătate însăși nu o securizează direct.

Pentru consumatorii obișnuiți de servicii medicale, cel mai practic pas chiar acum este să vă auditați propria amprentă digitală de sănătate. Enumerați aplicațiile, serviciile de monitorizare la distanță și portalurile de pacient pe care le folosiți și examinați politicile lor de confidențialitate pentru referiri la procesatorii de date terți. Dacă un serviciu nu poate explica clar cine deține datele dumneavoastră și cum sunt protejate, aceasta este o informație valoroasă înainte ca o notificare de breșă să ajungă în inbox.

Organizațiile din domeniul sănătății care sunt serioase în a închide aceste goluri trebuie să treacă dincolo de apărarea perimetrală și să trateze securitatea furnizorilor ca pe o extensie a propriei securități. Cazul iRhythm arată clar că întrebarea nu mai este dacă datele medicale din mediile cloud terțe vor fi vizate. Este cât de repede organizațiile și autoritățile de reglementare vor închide golurile de responsabilitate care fac aceste atacuri atât de constant încununate de succes.