Stewart Home & School Veri İhlali: 3.677 Kayıt Kimlik Bilgisi Hırsızlığıyla Kaybedildi
Stewart Home & School'da yaşanan bir fidye yazılımı olayı, sağlık kuruluşlarında kimlik bilgisi hırsızlığına dayalı fidye yazılımı önleme konusunu yeniden gündeme getirdi ve bu ihlalin işleyiş şekli yakından incelenmeye değer. Çalınan kimlik bilgileri, bir tehdit aktörüne iki dahili sürücüye erişim sağladı. Verilere erişildi, kopyalanarak ortamdan çıkarıldı ve ardından şifrelendi; bu durum, kişisel, finansal ve korunan sağlık bilgileri bu sürücülerde saklanan 3.677 kişiye kadar bireyi etkiledi. Yaşanan süreç neredeyse ders kitabı gibi, ama onu bu kadar öğretici kılan da tam olarak bu.
Çalınan Kimlik Bilgileri Stewart Home & School'da Fidye Yazılımına Nasıl Kapı Açtı?
Stewart Home & School'daki saldırı, güvenlik araştırmacılarının yüzlerce sağlık olayında belgelediği bir kalıbı izledi: Saldırgan geçerli giriş kimlik bilgilerini ele geçirir, bunları normal bir şekilde kimlik doğrulamak için kullanır, hassas veri depolarını bulmak için yatay hareket eder, bu verilerin bir kopyasını sızdırır ve ardından kalanları şifrelemek için fidye yazılımı yerleştirir. Her adım bir öncekinin üzerine inşa edilir.
Kimlik bilgisine dayalı saldırıları özellikle yıkıcı kılan şey, ağın bakış açısından saldırganın meşru bir kullanıcı gibi görünmesidir. Çevre savunmaları, güvenlik duvarları ve temel antivirüs araçları, kimliği doğrulanmış oturumları işaretlemek için tasarlanmamıştır. Şifreleme başladığında, veriler zaten gitmiştir. Fidye yazılımı neredeyse ikincil bir olaydır; zaten başarıya ulaşmış bir sızdırmanın üzerine eklenen bir baskı taktiğidir.
İlk kimlik bilgisi ele geçirme olayının tüm zincirdeki en kritik nokta olmasının nedeni budur. Onu orada durdurun ve aşağı yönlü hiçbir hasar meydana gelmez.
Hangi Veriler Açığa Çıktı ve Kimler Risk Altında?
İhlal; kişisel bilgileri, finansal bilgileri ve korunan sağlık bilgilerini (PHI) içeriyordu; bu birleşim, etkilenen bireyler için katlanarak artan bir risk oluşturuyor. PHI, HIPAA tarafından yönetilmektedir; bu da etkilenen kuruluşların, bireylere doğrudan verilen zarara ek olarak düzenleyici yaptırımlarla da karşı karşıya kalacağı anlamına gelir. Aynı ihlalde finansal verilerin de bulunması, kimlik dolandırıcılığı ve sahte hesap hareketleri riskini önemli ölçüde artırır.
Potansiyel olarak 3.677 kişinin etkilenmesi, tek bir kurum için önemli bir ölçektir. Gelişimsel engelli bireylere yönelik bir bakım kuruluşu olan Stewart Home & School'daki sakinler, öğrenciler ve muhtemelen personel, özellikle kırılgan bir nüfusu temsil etmektedir. Birçoğu kendi kredilerini bağımsız olarak izleme veya dolandırıcılık uyarılarına yanıt verme kapasitesine sınırlı ölçüde sahip olabilir; bu da kuruma ve aile bakıcılarına ekstra sorumluluk yükler.
Bu tür bir ihlal, fidye yazılımı etkisiz hale getirildiğinde sona ermez. Sızdırılan veriler varlığını sürdürür ve çalınan kayıtlar ikincil piyasalarda dolaşırken bireyler aylarca ya da yıllarca risk altında kalır.
Sağlık Ortamları Kimlik Bilgisi Tabanlı Saldırılara Karşı Neden Özellikle Savunmasızdır?
Sağlık ve bakım tesisi ortamları, kimlik bilgisi hırsızlığına dayalı fidye yazılımı önlemeyi diğer sektörlere göre daha da zorlaştıran yapısal zafiyetler barındırır. Personel devir hızı yüksektir; bu da, işten ayrılan çalışanların hesaplarının zamanında kaldırılmasını içeren kimlik bilgisi hijyeninin sürekli olarak baskı altında olması anlamına gelir. Klinik ve yatılı bakım ortamlarında paylaşımlı iş istasyonları yaygındır; bu durum, hem parola yönetimini hem de bir kimlik bilgisi kötüye kullanıldığında hesap verebilirliği zorlaştırır.
Uzaktan erişim de bakım ortamlarında önemli ölçüde genişlemiştir ve bu, her zaman yeterli kontrollerle birlikte olmamıştır. Kişisel cihazlardan veya ev ağlarından giriş yapan personel, genellikle bunu bir VPN veya çok faktörlü kimlik doğrulaması koruması olmadan yapar; bu da kimlik bilgilerini kimlik avına, bilgi hırsızı zararlı yazılımlara ve ağ dinlemesine maruz bırakır.
Diğer sektörlerle olan paralellik dikkate değerdir. ManageMyHealth'i ilgilendiren önceki bir olay, önceden yapılan uyarılara rağmen yaklaşık 100.000 hasta kaydını açığa çıkarmıştı; bu da sağlık sektöründeki kimlik bilgisi ve erişim hatalarının nadiren tek seferlik sürprizler olduğunu göstermektedir. Bunlar, bir ihlal konuyu zorlayana kadar ele alınmayan sistemik boşlukları yansıtma eğilimindedir. Benzer şekilde, hükümet sistemleri de bilinen güvenlik açıkları uzun süreler boyunca yamanmadan bırakıldığında karşılaştırılabilir hesap verebilirlik boşluklarıyla karşı karşıya kalmıştır.
Sağlık kuruluşları aynı zamanda, modern kimlik doğrulama gereksinimleri düşünülerek tasarlanmamış eski sistemleri de çalıştırma eğilimindedir. Eski altyapıya çok faktörlü kimlik doğrulaması eklemek teknik olarak mümkündür ancak birçok küçük tesisin önceliklendirmekte zorlandığı bütçe, planlama ve personel eğitimi gerektirir.
Sağlık Çalışanları Erişimi Kilitleyerek ve İhlal Zincirini Durdurarak Nasıl Önlem Alabilir?
Stewart Home & School ihlali, kendi maruziyetini gözden geçiren herhangi bir sağlık kuruluşu için net bir başlangıç noktası sunmaktadır. Müdahale, son teknoloji gerektirmez. Halihazırda iyi anlaşılmış kontrollerin disiplinli bir şekilde uygulanmasını gerektirir.
Tüm uzaktan erişimlerde çok faktörlü kimlik doğrulamasını zorunlu kılın. İkinci bir faktör gerekiyorsa, çalınmış bir parola kimlik doğrulama için yeterli değildir. Bu tek kontrol, en yaygın kimlik bilgisi hırsızlığı saldırı zincirini kırar.
Dahili sürücülere ve klinik sistemlere tüm uzaktan bağlantılar için VPN kullanımını zorunlu kılın. Evden veya paylaşımlı ağlardan bağlanan çalışanlar, rotayı şifreli bir tünel üzerinden yapmalıdır. Bu, kimlik bilgisi dinleme için saldırı yüzeyini azaltır ve kimliği doğrulanmış bir saldırganın erişebileceklerini sınırlar.
Hesapları düzenli olarak denetleyin ve kullanımdan kaldırın. Kullanılmayan veya eski çalışan hesapları tekrarlayan bir giriş noktasıdır. Mevcut personel listeleriyle eşleştirilerek aktif kimlik bilgilerinin üç ayda bir gözden geçirilmesi, sahipsiz hesapların istismar edilme riskini önemli ölçüde azaltır.
Dahili sürücüleri segmentlere ayırın ve en az ayrıcalık erişimi uygulayın. Her kimliği doğrulanmış kullanıcının her sürücüye erişmesi gerekmez. Erişimi her rolün gerçekten ihtiyaç duyduğuyla sınırlamak, tek bir ele geçirilmiş kimlik bilgisinin tüm bir veri ortamının kilidini açamaması anlamına gelir.
Anormal kimlik doğrulama davranışlarını izleyin. Olağandışı saatlerde, tanıdık olmayan IP adreslerinden veya hızlı art arda birden çok sistemde yapılan oturum açma işlemleri kırmızı bayraklardır. Bu kalıplar hakkında otomatik uyarılar, sızma tamamlanmadan ihlalleri yüzeye çıkarabilir.
Bu Sizin İçin Ne Anlama Geliyor?
Sağlık yönetimi, BT veya uyumluluk alanında çalışıyorsanız, Stewart Home & School ihlali, bir olay sizi zorlamadan önce kendi uzaktan erişim güvenliğinizi denetlemeniz için doğrudan bir teşviktir. Burada belgelenen kimlik bilgisi-sızdırma-şifreleme süreci tekrarlanabilir niteliktedir ve tehdit aktörleri tarafından iyi anlaşılmıştır. Altta yatan erişim kontrolü boşluklarını ele almamış kuruluşlarda tekrar yaşanacaktır.
Paralel bir vaka çalışması olarak ManageMyHealth ihlal olayını inceleyin: Bu olay, bir hükümet soruşturması sonrasında tamamen önlenebilir olarak işaretlenmişti; yani herhangi bir veri kaybı olmadan önce uyarı işaretleri mevcuttu. Aynı durum, MFA, VPN zorunluluğu ve düzenli kimlik bilgisi denetimleri olmaksızın faaliyet gösteren günümüz kuruluşları için neredeyse kesinlikle geçerlidir. Kontroller mevcuttur. Asıl soru, bir sonraki çalınan parolanın bir kapıyı açmasından önce bunların yerinde olup olmadığıdır.




