การรั่วไหลของข้อมูลที่ Stewart Home & School: บันทึก 3,677 รายการสูญหายจากการขโมยข้อมูลประจำตัว

เหตุการณ์แรนซัมแวร์ที่ Stewart Home & School ทำให้การป้องกันแรนซัมแวร์จากการขโมยข้อมูลประจำตัวด้านการดูแลสุขภาพกลับมาเป็นประเด็นสำคัญอีกครั้ง และกลไกของการรั่วไหลของข้อมูลครั้งนี้สมควรได้รับการตรวจสอบอย่างใกล้ชิด ข้อมูลประจำตัวที่ถูกขโมยทำให้ผู้ไม่ประสงค์ดีเข้าถึงไดรฟ์ภายในสองตัว ข้อมูลถูกเข้าถึง คัดลอกออกจากสภาพแวดล้อม จากนั้นถูกเข้ารหัส ส่งผลกระทบต่อบุคคลมากถึง 3,677 ราย ซึ่งข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และข้อมูลสุขภาพที่ได้รับการคุ้มครองถูกจัดเก็บอยู่บนไดรฟ์เหล่านั้น ลำดับเหตุการณ์นี้แทบจะเป็นไปตามตำรา แต่นั่นคือสิ่งที่ทำให้มันให้บทเรียนได้อย่างดีเยี่ยม

ข้อมูลประจำตัวที่ถูกขโมยเปิดทางสู่แรนซัมแวร์ที่ Stewart Home & School ได้อย่างไร

การโจมตีที่ Stewart Home & School เป็นไปตามรูปแบบที่นักวิจัยด้านความปลอดภัยได้บันทึกไว้ในเหตุการณ์ด้านการดูแลสุขภาพหลายร้อยครั้ง: ผู้โจมตีได้รับข้อมูลประจำตัวสำหรับเข้าสู่ระบบที่ถูกต้อง ใช้ข้อมูลดังกล่าวเพื่อยืนยันตัวตนตามปกติ เคลื่อนย้ายในแนวราบเพื่อค้นหาที่เก็บข้อมูลสำคัญ คัดลอกข้อมูลนั้นออกไป จากนั้นจึงปล่อยแรนซัมแวร์เพื่อเข้ารหัสสิ่งที่เหลืออยู่ แต่ละขั้นตอนต่อยอดจากขั้นตอนก่อนหน้า

สิ่งที่ทำให้การบุกรุกที่อาศัยข้อมูลประจำตัวสร้างความเสียหายได้มากเป็นพิเศษคือ จากมุมมองของเครือข่าย ผู้โจมตีดูเหมือนผู้ใช้ที่ถูกต้องตามกฎหมาย การป้องกันขอบเขต ไฟร์วอลล์ และเครื่องมือแอนตี้ไวรัสพื้นฐานไม่ได้ถูกออกแบบมาให้ตรวจพบเซสชันที่ผ่านการยืนยันตัวตนแล้ว เมื่อถึงเวลาที่การเข้ารหัสเริ่มต้นขึ้น ข้อมูลก็ถูกขโมยออกไปแล้ว แรนซัมแวร์แทบจะเป็นเหตุการณ์รอง ซึ่งเป็นกลยุทธ์กดดันที่ซ้อนทับอยู่บนการขโมยข้อมูลที่ประสบความสำเร็จไปแล้ว

นี่คือเหตุผลที่การบุกรุกข้อมูลประจำตัวในขั้นเริ่มต้นเป็นจุดที่สำคัญที่สุดในห่วงโซ่ทั้งหมด หยุดมันไว้ตรงนั้นได้ และความเสียหายที่ตามมาทั้งหมดจะไม่เกิดขึ้น

ข้อมูลใดที่ถูกเปิดเผยและใครคือผู้ที่มีความเสี่ยง

การรั่วไหลของข้อมูลนี้เกี่ยวข้องกับข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ซึ่งเป็นการรวมกันที่ก่อให้เกิดความเสี่ยงทับซ้อนสำหรับบุคคลที่ได้รับผลกระทบ PHI อยู่ภายใต้การควบคุมของ HIPAA หมายความว่าองค์กรที่ได้รับผลกระทบต้องเผชิญกับความเสี่ยงด้านกฎระเบียบ นอกเหนือจากอันตรายโดยตรงต่อบุคคล ข้อมูลทางการเงินในการรั่วไหลของข้อมูลครั้งเดียวกันเพิ่มความเสี่ยงในการถูกขโมยข้อมูลระบุตัวตนและกิจกรรมทางบัญชีที่ฉ้อฉลอย่างมาก

ด้วยจำนวนบุคคลที่อาจได้รับผลกระทบ 3,677 ราย ขนาดของเหตุการณ์นี้ถือว่ามีนัยสำคัญสำหรับสถาบันแห่งเดียว ผู้อยู่อาศัย นักเรียน และอาจรวมถึงเจ้าหน้าที่ที่ Stewart Home & School ซึ่งเป็นสถานดูแลสำหรับบุคคลที่มีความบกพร่องทางพัฒนาการ เป็นกลุ่มประชากรที่เปราะบางเป็นพิเศษ หลายคนอาจมีความสามารถจำกัดในการตรวจสอบเครดิตของตนเองหรือตอบสนองต่อการแจ้งเตือนการฉ้อโกงอย่างอิสระ ทำให้เกิดความรับผิดชอบเพิ่มเติมต่อสถาบันและผู้ดูแลในครอบครัว

การรั่วไหลของข้อมูลประเภทนี้ไม่ได้สิ้นสุดลงเมื่อแรนซัมแวร์ถูกทำให้หมดฤทธิ์ ข้อมูลที่ถูกขโมยออกไปยังคงอยู่ และบุคคลยังคงมีความเสี่ยงเป็นเวลาหลายเดือนหรือหลายปีในขณะที่บันทึกที่ถูกขโมยหมุนเวียนผ่านตลาดรอง

เหตุใดสภาพแวดล้อมด้านการดูแลสุขภาพจึงเปราะบางต่อการโจมตีที่อาศัยข้อมูลประจำตัวเป็นพิเศษ

สภาพแวดล้อมด้านการดูแลสุขภาพและสถานดูแลมีช่องโหว่เชิงโครงสร้างที่ทำให้การป้องกันแรนซัมแวร์จากการขโมยข้อมูลประจำตัวทำได้ยากกว่าภาคส่วนอื่นๆ การหมุนเวียนของพนักงานสูง ซึ่งหมายความว่าสุขอนามัยของข้อมูลประจำตัว รวมถึงการเพิกถอนบัญชีของพนักงานที่ลาออกอย่างทันท่วงที อยู่ภายใต้แรงกดดันตลอดเวลา เวิร์กสเตชันที่ใช้ร่วมกันเป็นเรื่องปกติในสถานพยาบาลและการดูแลที่พักอาศัย ซึ่งทำให้ทั้งการจัดการรหัสผ่านและความรับผิดชอบซับซ้อนขึ้นเมื่อข้อมูลประจำตัวถูกนำไปใช้ในทางที่ผิด

การเข้าถึงระยะไกลได้ขยายตัวอย่างมีนัยสำคัญทั่วทั้งสภาพแวดล้อมการดูแล และไม่ได้มีการควบคุมที่เพียงพอเสมอไป พนักงานที่เข้าสู่ระบบจากอุปกรณ์ส่วนตัวหรือเครือข่ายภายในบ้านมักทำโดยปราศจากการป้องกันของ VPN หรือการยืนยันตัวตนแบบหลายปัจจัย ทำให้ข้อมูลประจำตัวเสี่ยงต่อฟิชชิ่ง มัลแวร์ขโมยข้อมูล และการดักจับเครือข่าย

ความคล้ายคลึงกับภาคส่วนอื่นๆ เป็นสิ่งที่ควรค่าแก่การสังเกต กรณีก่อนหน้านี้ที่เกี่ยวข้องกับ ManageMyHealth เปิดเผยบันทึกผู้ป่วยเกือบ 100,000 รายการ แม้จะมีคำเตือนล่วงหน้า ซึ่งแสดงให้เห็นว่าความล้มเหลวด้านข้อมูลประจำตัวและการเข้าถึงในการดูแลสุขภาพนั้นแทบจะไม่ใช่เรื่องน่าประหลาดใจที่เกิดขึ้นเพียงครั้งเดียว พวกมันมีแนวโน้มที่จะสะท้อนถึงช่องว่างเชิงระบบที่ไม่ได้รับการแก้ไขจนกว่าการรั่วไหลของข้อมูลจะบังคับให้ต้องจัดการ ในทำนองเดียวกัน ระบบของรัฐบาลก็เผชิญกับช่องว่างด้านความรับผิดชอบที่เปรียบเทียบได้ เมื่อช่องโหว่ที่ทราบแล้วถูกปล่อยทิ้งไว้โดยไม่แก้ไขเป็นระยะเวลานาน

องค์กรด้านการดูแลสุขภาพยังมีแนวโน้มที่จะใช้งานระบบเก่าที่ไม่ได้ถูกออกแบบมาโดยคำนึงถึงข้อกำหนดการยืนยันตัวตนสมัยใหม่ การเพิ่มการยืนยันตัวตนแบบหลายปัจจัยลงในโครงสร้างพื้นฐานรุ่นเก่านั้นเป็นไปได้ในทางเทคนิค แต่ต้องใช้งบประมาณ การวางแผน และการฝึกอบรมพนักงาน ซึ่งสถานที่ขนาดเล็กหลายแห่งประสบปัญหาในการจัดลำดับความสำคัญ

บุคลากรด้านการดูแลสุขภาพสามารถล็อกการเข้าถึงและหยุดห่วงโซ่การรั่วไหลของข้อมูลได้อย่างไร

การรั่วไหลของข้อมูลที่ Stewart Home & School เสนอจุดเริ่มต้นที่ชัดเจนสำหรับองค์กรด้านการดูแลสุขภาพใดๆ ที่กำลังทบทวนความเสี่ยงของตนเอง การแทรกแซงไม่จำเป็นต้องใช้เทคโนโลยีล้ำสมัย มันต้องการการนำการควบคุมที่เป็นที่เข้าใจกันดีอยู่แล้วไปใช้อย่างมีวินัย

บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยสำหรับการเข้าถึงระยะไกลทั้งหมด รหัสผ่านที่ถูกขโมยไม่เพียงพอต่อการยืนยันตัวตนหากจำเป็นต้องมีปัจจัยที่สอง การควบคุมเพียงอย่างเดียวนี้ทำลายห่วงโซ่การโจมตีจากการขโมยข้อมูลประจำตัวที่พบบ่อยที่สุด

กำหนดให้ใช้ VPN สำหรับการเชื่อมต่อระยะไกลทั้งหมดไปยังไดรฟ์ภายในและระบบคลินิก พนักงานที่เชื่อมต่อจากบ้านหรือเครือข่ายที่ใช้ร่วมกันควรกำหนดเส้นทางผ่านอุโมงค์ที่เข้ารหัส สิ่งนี้ลดพื้นผิวการโจมตีสำหรับการดักจับข้อมูลประจำตัวและจำกัดสิ่งที่ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถเข้าถึงได้

ตรวจสอบและเพิกถอนบัญชีอย่างสม่ำเสมอ บัญชีที่ไม่ได้ใช้งานหรือบัญชีของอดีตพนักงานเป็นจุดเริ่มต้นที่เกิดขึ้นซ้ำๆ การทบทวนข้อมูลประจำตัวที่ใช้งานอยู่ทุกไตรมาส โดยเทียบกับบัญชีรายชื่อพนักงานปัจจุบัน ช่วยลดความเสี่ยงที่บัญชีที่ถูกละทิ้งจะถูกนำไปใช้ประโยชน์ได้อย่างมาก

แบ่งส่วนไดรฟ์ภายในและใช้การเข้าถึงแบบสิทธิ์น้อยที่สุด ไม่ใช่ผู้ใช้ที่ผ่านการยืนยันตัวตนทุกคนจำเป็นต้องเข้าถึงทุกไดรฟ์ การจำกัดการเข้าถึงเฉพาะสิ่งที่แต่ละบทบาทจำเป็นต้องใช้จริง หมายความว่าข้อมูลประจำตัวที่ถูกบุกรุกเพียงชุดเดียวไม่สามารถปลดล็อกสภาพแวดล้อมข้อมูลทั้งหมดได้

เฝ้าติดตามพฤติกรรมการยืนยันตัวตนที่ผิดปกติ การเข้าสู่ระบบในเวลาที่ผิดปกติ จากที่อยู่ IP ที่ไม่คุ้นเคย หรือข้ามหลายระบบในเวลาต่อเนื่องกันอย่างรวดเร็วเป็นสัญญาณอันตราย การแจ้งเตือนอัตโนมัติเกี่ยวกับรูปแบบเหล่านี้สามารถเปิดเผยการบุกรุกได้ก่อนที่การขโมยข้อมูลจะเสร็จสมบูรณ์

สิ่งนี้มีความหมายอย่างไรสำหรับคุณ

หากคุณทำงานในการบริหารด้านการดูแลสุขภาพ ไอที หรือการปฏิบัติตามกฎระเบียบ การรั่วไหลของข้อมูลที่ Stewart Home & School เป็นการกระตุ้นโดยตรงให้คุณตรวจสอบความปลอดภัยในการเข้าถึงระยะไกลของคุณเองก่อนที่เหตุการณ์จะบังคับให้คุณต้องทำ ลำดับจากข้อมูลประจำตัวสู่การขโมยข้อมูลสู่การเข้ารหัสที่บันทึกไว้ที่นี่สามารถทำซ้ำได้และเป็นที่เข้าใจกันดีในหมู่ผู้ไม่ประสงค์ดี มันจะเกิดขึ้นอีกที่องค์กรที่ไม่ได้แก้ไขช่องว่างด้านการควบคุมการเข้าถึงที่เป็นพื้นฐาน

ทบทวน กรณีการรั่วไหลของข้อมูล ManageMyHealth เป็นกรณีศึกษาควบคู่: เหตุการณ์นั้นถูกระบุว่าสามารถป้องกันได้อย่างสมบูรณ์หลังจากการไต่สวนของรัฐบาล หมายความว่าสัญญาณเตือนมีอยู่ก่อนที่ข้อมูลใดๆ จะสูญหาย สิ่งเดียวกันนี้เกือบจะเป็นจริงอย่างแน่นอนสำหรับองค์กรที่ดำเนินงานอยู่ในปัจจุบันโดยไม่มีการยืนยันตัวตนแบบหลายปัจจัย การบังคับใช้ VPN และการตรวจสอบข้อมูลประจำตัวอย่างสม่ำเสมอ การควบคุมเหล่านั้นมีพร้อมใช้งาน คำถามคือพวกมันถูกนำมาใช้หรือไม่ก่อนที่รหัสผ่านที่ถูกขโมยครั้งต่อไปจะเปิดประตู