การรั่วไหลของข้อมูลที่ Stewart Home & School: บันทึก 3,677 รายการสูญหายจากการขโมยข้อมูลประจำตัว
เหตุการณ์แรนซัมแวร์ที่ Stewart Home & School ทำให้การป้องกันแรนซัมแวร์จากการขโมยข้อมูลประจำตัวด้านการดูแลสุขภาพกลับมาเป็นประเด็นสำคัญอีกครั้ง และกลไกของการรั่วไหลของข้อมูลครั้งนี้สมควรได้รับการตรวจสอบอย่างใกล้ชิด ข้อมูลประจำตัวที่ถูกขโมยทำให้ผู้ไม่ประสงค์ดีเข้าถึงไดรฟ์ภายในสองตัว ข้อมูลถูกเข้าถึง คัดลอกออกจากสภาพแวดล้อม จากนั้นถูกเข้ารหัส ส่งผลกระทบต่อบุคคลมากถึง 3,677 ราย ซึ่งข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และข้อมูลสุขภาพที่ได้รับการคุ้มครองถูกจัดเก็บอยู่บนไดรฟ์เหล่านั้น ลำดับเหตุการณ์นี้แทบจะเป็นไปตามตำรา แต่นั่นคือสิ่งที่ทำให้มันให้บทเรียนได้อย่างดีเยี่ยม
ข้อมูลประจำตัวที่ถูกขโมยเปิดทางสู่แรนซัมแวร์ที่ Stewart Home & School ได้อย่างไร
การโจมตีที่ Stewart Home & School เป็นไปตามรูปแบบที่นักวิจัยด้านความปลอดภัยได้บันทึกไว้ในเหตุการณ์ด้านการดูแลสุขภาพหลายร้อยครั้ง: ผู้โจมตีได้รับข้อมูลประจำตัวสำหรับเข้าสู่ระบบที่ถูกต้อง ใช้ข้อมูลดังกล่าวเพื่อยืนยันตัวตนตามปกติ เคลื่อนย้ายในแนวราบเพื่อค้นหาที่เก็บข้อมูลสำคัญ คัดลอกข้อมูลนั้นออกไป จากนั้นจึงปล่อยแรนซัมแวร์เพื่อเข้ารหัสสิ่งที่เหลืออยู่ แต่ละขั้นตอนต่อยอดจากขั้นตอนก่อนหน้า
สิ่งที่ทำให้การบุกรุกที่อาศัยข้อมูลประจำตัวสร้างความเสียหายได้มากเป็นพิเศษคือ จากมุมมองของเครือข่าย ผู้โจมตีดูเหมือนผู้ใช้ที่ถูกต้องตามกฎหมาย การป้องกันขอบเขต ไฟร์วอลล์ และเครื่องมือแอนตี้ไวรัสพื้นฐานไม่ได้ถูกออกแบบมาให้ตรวจพบเซสชันที่ผ่านการยืนยันตัวตนแล้ว เมื่อถึงเวลาที่การเข้ารหัสเริ่มต้นขึ้น ข้อมูลก็ถูกขโมยออกไปแล้ว แรนซัมแวร์แทบจะเป็นเหตุการณ์รอง ซึ่งเป็นกลยุทธ์กดดันที่ซ้อนทับอยู่บนการขโมยข้อมูลที่ประสบความสำเร็จไปแล้ว
นี่คือเหตุผลที่การบุกรุกข้อมูลประจำตัวในขั้นเริ่มต้นเป็นจุดที่สำคัญที่สุดในห่วงโซ่ทั้งหมด หยุดมันไว้ตรงนั้นได้ และความเสียหายที่ตามมาทั้งหมดจะไม่เกิดขึ้น
ข้อมูลใดที่ถูกเปิดเผยและใครคือผู้ที่มีความเสี่ยง
การรั่วไหลของข้อมูลนี้เกี่ยวข้องกับข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ซึ่งเป็นการรวมกันที่ก่อให้เกิดความเสี่ยงทับซ้อนสำหรับบุคคลที่ได้รับผลกระทบ PHI อยู่ภายใต้การควบคุมของ HIPAA หมายความว่าองค์กรที่ได้รับผลกระทบต้องเผชิญกับความเสี่ยงด้านกฎระเบียบ นอกเหนือจากอันตรายโดยตรงต่อบุคคล ข้อมูลทางการเงินในการรั่วไหลของข้อมูลครั้งเดียวกันเพิ่มความเสี่ยงในการถูกขโมยข้อมูลระบุตัวตนและกิจกรรมทางบัญชีที่ฉ้อฉลอย่างมาก
ด้วยจำนวนบุคคลที่อาจได้รับผลกระทบ 3,677 ราย ขนาดของเหตุการณ์นี้ถือว่ามีนัยสำคัญสำหรับสถาบันแห่งเดียว ผู้อยู่อาศัย นักเรียน และอาจรวมถึงเจ้าหน้าที่ที่ Stewart Home & School ซึ่งเป็นสถานดูแลสำหรับบุคคลที่มีความบกพร่องทางพัฒนาการ เป็นกลุ่มประชากรที่เปราะบางเป็นพิเศษ หลายคนอาจมีความสามารถจำกัดในการตรวจสอบเครดิตของตนเองหรือตอบสนองต่อการแจ้งเตือนการฉ้อโกงอย่างอิสระ ทำให้เกิดความรับผิดชอบเพิ่มเติมต่อสถาบันและผู้ดูแลในครอบครัว
การรั่วไหลของข้อมูลประเภทนี้ไม่ได้สิ้นสุดลงเมื่อแรนซัมแวร์ถูกทำให้หมดฤทธิ์ ข้อมูลที่ถูกขโมยออกไปยังคงอยู่ และบุคคลยังคงมีความเสี่ยงเป็นเวลาหลายเดือนหรือหลายปีในขณะที่บันทึกที่ถูกขโมยหมุนเวียนผ่านตลาดรอง
เหตุใดสภาพแวดล้อมด้านการดูแลสุขภาพจึงเปราะบางต่อการโจมตีที่อาศัยข้อมูลประจำตัวเป็นพิเศษ
สภาพแวดล้อมด้านการดูแลสุขภาพและสถานดูแลมีช่องโหว่เชิงโครงสร้างที่ทำให้การป้องกันแรนซัมแวร์จากการขโมยข้อมูลประจำตัวทำได้ยากกว่าภาคส่วนอื่นๆ การหมุนเวียนของพนักงานสูง ซึ่งหมายความว่าสุขอนามัยของข้อมูลประจำตัว รวมถึงการเพิกถอนบัญชีของพนักงานที่ลาออกอย่างทันท่วงที อยู่ภายใต้แรงกดดันตลอดเวลา เวิร์กสเตชันที่ใช้ร่วมกันเป็นเรื่องปกติในสถานพยาบาลและการดูแลที่พักอาศัย ซึ่งทำให้ทั้งการจัดการรหัสผ่านและความรับผิดชอบซับซ้อนขึ้นเมื่อข้อมูลประจำตัวถูกนำไปใช้ในทางที่ผิด
การเข้าถึงระยะไกลได้ขยายตัวอย่างมีนัยสำคัญทั่วทั้งสภาพแวดล้อมการดูแล และไม่ได้มีการควบคุมที่เพียงพอเสมอไป พนักงานที่เข้าสู่ระบบจากอุปกรณ์ส่วนตัวหรือเครือข่ายภายในบ้านมักทำโดยปราศจากการป้องกันของ VPN หรือการยืนยันตัวตนแบบหลายปัจจัย ทำให้ข้อมูลประจำตัวเสี่ยงต่อฟิชชิ่ง มัลแวร์ขโมยข้อมูล และการดักจับเครือข่าย
ความคล้ายคลึงกับภาคส่วนอื่นๆ เป็นสิ่งที่ควรค่าแก่การสังเกต กรณีก่อนหน้านี้ที่เกี่ยวข้องกับ ManageMyHealth เปิดเผยบันทึกผู้ป่วยเกือบ 100,000 รายการ แม้จะมีคำเตือนล่วงหน้า ซึ่งแสดงให้เห็นว่าความล้มเหลวด้านข้อมูลประจำตัวและการเข้าถึงในการดูแลสุขภาพนั้นแทบจะไม่ใช่เรื่องน่าประหลาดใจที่เกิดขึ้นเพียงครั้งเดียว พวกมันมีแนวโน้มที่จะสะท้อนถึงช่องว่างเชิงระบบที่ไม่ได้รับการแก้ไขจนกว่าการรั่วไหลของข้อมูลจะบังคับให้ต้องจัดการ ในทำนองเดียวกัน ระบบของรัฐบาลก็เผชิญกับช่องว่างด้านความรับผิดชอบที่เปรียบเทียบได้ เมื่อช่องโหว่ที่ทราบแล้วถูกปล่อยทิ้งไว้โดยไม่แก้ไขเป็นระยะเวลานาน
องค์กรด้านการดูแลสุขภาพยังมีแนวโน้มที่จะใช้งานระบบเก่าที่ไม่ได้ถูกออกแบบมาโดยคำนึงถึงข้อกำหนดการยืนยันตัวตนสมัยใหม่ การเพิ่มการยืนยันตัวตนแบบหลายปัจจัยลงในโครงสร้างพื้นฐานรุ่นเก่านั้นเป็นไปได้ในทางเทคนิค แต่ต้องใช้งบประมาณ การวางแผน และการฝึกอบรมพนักงาน ซึ่งสถานที่ขนาดเล็กหลายแห่งประสบปัญหาในการจัดลำดับความสำคัญ
บุคลากรด้านการดูแลสุขภาพสามารถล็อกการเข้าถึงและหยุดห่วงโซ่การรั่วไหลของข้อมูลได้อย่างไร
การรั่วไหลของข้อมูลที่ Stewart Home & School เสนอจุดเริ่มต้นที่ชัดเจนสำหรับองค์กรด้านการดูแลสุขภาพใดๆ ที่กำลังทบทวนความเสี่ยงของตนเอง การแทรกแซงไม่จำเป็นต้องใช้เทคโนโลยีล้ำสมัย มันต้องการการนำการควบคุมที่เป็นที่เข้าใจกันดีอยู่แล้วไปใช้อย่างมีวินัย
บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยสำหรับการเข้าถึงระยะไกลทั้งหมด รหัสผ่านที่ถูกขโมยไม่เพียงพอต่อการยืนยันตัวตนหากจำเป็นต้องมีปัจจัยที่สอง การควบคุมเพียงอย่างเดียวนี้ทำลายห่วงโซ่การโจมตีจากการขโมยข้อมูลประจำตัวที่พบบ่อยที่สุด
กำหนดให้ใช้ VPN สำหรับการเชื่อมต่อระยะไกลทั้งหมดไปยังไดรฟ์ภายในและระบบคลินิก พนักงานที่เชื่อมต่อจากบ้านหรือเครือข่ายที่ใช้ร่วมกันควรกำหนดเส้นทางผ่านอุโมงค์ที่เข้ารหัส สิ่งนี้ลดพื้นผิวการโจมตีสำหรับการดักจับข้อมูลประจำตัวและจำกัดสิ่งที่ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถเข้าถึงได้
ตรวจสอบและเพิกถอนบัญชีอย่างสม่ำเสมอ บัญชีที่ไม่ได้ใช้งานหรือบัญชีของอดีตพนักงานเป็นจุดเริ่มต้นที่เกิดขึ้นซ้ำๆ การทบทวนข้อมูลประจำตัวที่ใช้งานอยู่ทุกไตรมาส โดยเทียบกับบัญชีรายชื่อพนักงานปัจจุบัน ช่วยลดความเสี่ยงที่บัญชีที่ถูกละทิ้งจะถูกนำไปใช้ประโยชน์ได้อย่างมาก
แบ่งส่วนไดรฟ์ภายในและใช้การเข้าถึงแบบสิทธิ์น้อยที่สุด ไม่ใช่ผู้ใช้ที่ผ่านการยืนยันตัวตนทุกคนจำเป็นต้องเข้าถึงทุกไดรฟ์ การจำกัดการเข้าถึงเฉพาะสิ่งที่แต่ละบทบาทจำเป็นต้องใช้จริง หมายความว่าข้อมูลประจำตัวที่ถูกบุกรุกเพียงชุดเดียวไม่สามารถปลดล็อกสภาพแวดล้อมข้อมูลทั้งหมดได้
เฝ้าติดตามพฤติกรรมการยืนยันตัวตนที่ผิดปกติ การเข้าสู่ระบบในเวลาที่ผิดปกติ จากที่อยู่ IP ที่ไม่คุ้นเคย หรือข้ามหลายระบบในเวลาต่อเนื่องกันอย่างรวดเร็วเป็นสัญญาณอันตราย การแจ้งเตือนอัตโนมัติเกี่ยวกับรูปแบบเหล่านี้สามารถเปิดเผยการบุกรุกได้ก่อนที่การขโมยข้อมูลจะเสร็จสมบูรณ์
สิ่งนี้มีความหมายอย่างไรสำหรับคุณ
หากคุณทำงานในการบริหารด้านการดูแลสุขภาพ ไอที หรือการปฏิบัติตามกฎระเบียบ การรั่วไหลของข้อมูลที่ Stewart Home & School เป็นการกระตุ้นโดยตรงให้คุณตรวจสอบความปลอดภัยในการเข้าถึงระยะไกลของคุณเองก่อนที่เหตุการณ์จะบังคับให้คุณต้องทำ ลำดับจากข้อมูลประจำตัวสู่การขโมยข้อมูลสู่การเข้ารหัสที่บันทึกไว้ที่นี่สามารถทำซ้ำได้และเป็นที่เข้าใจกันดีในหมู่ผู้ไม่ประสงค์ดี มันจะเกิดขึ้นอีกที่องค์กรที่ไม่ได้แก้ไขช่องว่างด้านการควบคุมการเข้าถึงที่เป็นพื้นฐาน
ทบทวน กรณีการรั่วไหลของข้อมูล ManageMyHealth เป็นกรณีศึกษาควบคู่: เหตุการณ์นั้นถูกระบุว่าสามารถป้องกันได้อย่างสมบูรณ์หลังจากการไต่สวนของรัฐบาล หมายความว่าสัญญาณเตือนมีอยู่ก่อนที่ข้อมูลใดๆ จะสูญหาย สิ่งเดียวกันนี้เกือบจะเป็นจริงอย่างแน่นอนสำหรับองค์กรที่ดำเนินงานอยู่ในปัจจุบันโดยไม่มีการยืนยันตัวตนแบบหลายปัจจัย การบังคับใช้ VPN และการตรวจสอบข้อมูลประจำตัวอย่างสม่ำเสมอ การควบคุมเหล่านั้นมีพร้อมใช้งาน คำถามคือพวกมันถูกนำมาใช้หรือไม่ก่อนที่รหัสผ่านที่ถูกขโมยครั้งต่อไปจะเปิดประตู




