Утечка данных iRhythm: сторонние облачные приложения раскрывают данные пациентов

Утечка данных iRhythm: сторонние облачные приложения раскрывают данные пациентов

Утечка медицинских данных в компании iRhythm, занимающейся кардиомониторингом, привела к раскрытию защищённой информации о здоровье пациентов после того, как злоумышленники получили доступ к приложениям, размещённым у стороннего провайдера, вне прямой инфраструктуры компании. Инцидент произошёл практически одновременно с сообщением об утечке в Novo Nordisk и подтверждает закономерность, на которую неоднократно указывали эксперты по безопасности: сохранность медицинских данных лишь настолько надёжна, насколько надёжно её самое слабое звено в цепочке поставщиков. И для пациентов, и для медицинских организаций случай iRhythm — это резкое напоминание о том, что утечка медицинских данных через сторонние облачные сервисы сегодня является одной из самых серьёзных поверхностей атаки в медицине.

Что произошло при утечке в iRhythm

iRhythm сообщила, что хакеры получили доступ к приложениям, размещённым у стороннего провайдера, а не к внутренним системам компании, и смогли извлечь через этот доступ медицинскую информацию пациентов. Компания, выпускающая носимые устройства для сердечного мониторинга, такие как пластырь Zio, работает с крайне чувствительными данными, включая физиологические записи и персонально идентифицируемые медицинские сведения, связанные с сердечными заболеваниями.

Хотя точные данные об объёме затронутых записей и конкретных методах атаки пока полностью не опубликованы, ключевой механизм очень показателен: злоумышленникам не потребовалось проникать через периметр самой iRhythm. Они прошли через подрядчика. Это различие имеет огромное значение для того, как компаниям и пациентам следует оценивать риски.

Почему сторонний облачный хостинг создаёт слепые зоны, которые не закрыть с помощью VPN

Многие организации, в том числе поставщики медицинских услуг, используют VPN для шифрования трафика и ограничения доступа к внутренним системам. VPN — это законный и полезный инструмент для защиты данных при передаче внутри сетей, контролируемых организацией. Но когда данные пациентов находятся в приложениях, размещённых внешним подрядчиком в отдельной облачной инфраструктуре, VPN, защищающая собственную сеть iRhythm, никак не обезопасит эту среду.

Сторонние размещённые приложения функционируют в соответствии с уровнем безопасности вендора, его средствами контроля доступа, графиком установки обновлений и возможностями обнаружения инцидентов. Медицинские организации зачастую имеют ограниченную договорную прозрачность относительно того, как эти подрядчики управляют безопасностью в повседневном режиме. Это не нишевая проблема: она зеркально отражает произошедшее при атаке программы-вымогателя на Cropwise, где целевая платформа подрядчика стала точкой входа для атакующих, искавших ценные данные, хранившиеся вне укреплённого периметра основной организации.

Слепая зона носит структурный характер. Когда данные перемещаются в стороннюю среду, ответственность за безопасность становится фрагментированной, и утечка у вендора становится утечкой для каждой организации, чьи данные там находятся.

Растущая тенденция атак на инфраструктуру поставщиков в здравоохранении

Утечка в iRhythm не единичный случай. В последние годы медицинские организации неоднократно страдали из-за уязвимостей в зависимостях от подрядчиков. Инцидент с Change Healthcare раскрыл записи примерно 100 миллионов человек после компрометации критического провайдера платёжной и рецептурной инфраструктуры. Телемедицинские платформы, биллинговые компании, поставщики EHR-систем и хранилища данных с устройств — все они стали первоочередными целями, поскольку агрегируют записи десятков или сотен медицинских клиентов одновременно.

Для атакующих экономика проста. Взлом одной сторонней облачной платформы, обслуживающей двадцать медицинских организаций, приносит в двадцать раз больше данных при тех же усилиях. Медицинские данные высоко ценятся на криминальных рынках, потому что они содержат истории болезней, страховые данные, даты рождения и номера социального страхования — всё в одном пакете, что делает их гораздо более полезными для мошенничества и кражи личности, чем одни лишь финансовые учётные данные.

То, что раскрытие информации iRhythm произошло почти сразу после инцидента с Novo Nordisk, говорит либо о скоординированной кампании против сектора здравоохранения, либо, что более вероятно, о систематическом прощупывании атакующими тех экосистем подрядчиков, которыми пользуются медицинские компании.

Какие меры контроля конфиденциальности должны требовать пациенты и потребители медицинских услуг прямо сейчас

Пациенты имеют ограниченные прямые рычаги влияния на то, как медицинские компании управляют отношениями с подрядчиками, но они не полностью лишены средств воздействия.

Узнавайте, где хранятся данные. При включении в программы удалённого мониторинга, услуги телемедицины или любые цифровые медицинские платформы пациенты могут прямо спросить: где хранятся мои данные и кто ещё имеет к ним доступ? Поставщики услуг должны быть в состоянии чётко на это ответить. Расплывчатые ответы — заметный сигнал.

Внимательно изучайте разрешения в формах HIPAA. Многие пациенты подписывают широкие разрешения, не читая, какие третьи стороны могут получить их данные. В этих документах подробно описываются отношения с подрядчиками и разрешения на передачу данных. Их чтение требует времени, но даёт представление о поверхности риска.

Отслеживайте уведомления об утечках. По закону HIPAA охваченные организации обязаны уведомлять затронутых лиц об утечках, затрагивающих их защищённую медицинскую информацию. Пациентам, получившим такие уведомления, следует отнестись к ним серьёзно, проверить, какие именно данные были затронуты, и рассмотреть возможность заморозки кредитной истории или установки предупреждений о мошенничестве, если в раскрытых записях фигурируют номера социального страхования или финансовые данные.

Для медицинских организаций и отделов закупок актуальное требование — это аудит безопасности подрядчиков с реальными последствиями. Программы управления рисками третьих сторон, включающие договорные требования безопасности, регулярное тестирование на проникновение приложений, размещённых у вендоров, и документированные протоколы реагирования на инциденты, должны быть базовыми ожиданиями, а не дополнительными опциями.

Что это значит для вас

Утечка в iRhythm подчёркивает, что конфиденциальность пациентов в цифровом здравоохранении зависит от всей цепочки поставщиков, а не только от организации, чьё название указано на устройстве или в приложении. VPN, надёжные пароли или двухфакторная аутентификация в вашем портале пациента не защитят данные, когда они уже скопированы в стороннее облачное приложение, безопасность которого медицинская компания напрямую не обеспечивает.

Для обычных потребителей медицинских услуг самый практичный шаг прямо сейчас — проверить собственный цифровой медицинский след. Составьте список используемых вами приложений, сервисов удалённого мониторинга и порталов пациентов, изучите их политики конфиденциальности на предмет упоминаний сторонних обработчиков данных. Если сервис не может внятно объяснить, кто именно хранит ваши данные и как они защищены, это стоит осознать ещё до того, как уведомление об утечке придёт на вашу почту.

Медицинские организации, серьёзно настроенные закрыть эти пробелы, должны выйти за рамки периметровой защиты и относиться к безопасности подрядчиков как к продолжению своей собственной. Случай iRhythm ясно показывает: вопрос уже не в том, будут ли атакованы медицинские данные в сторонних облачных средах, а в том, насколько быстро организации и регуляторы закроют пробелы в подотчётности, которые делают эти атаки столь регулярно успешными.