Порушення безпеки iRhythm: хмарні додатки сторонніх постачальників викривають дані пацієнтів

Порушення безпеки iRhythm: хмарні додатки сторонніх постачальників викривають дані пацієнтів

Порушення безпеки даних у сфері охорони здоров’я в компанії iRhythm, що займається кардіомоніторингом, призвело до розкриття захищеної медичної інформації пацієнтів після того, як зловмисники отримали доступ до додатків, розміщених стороннім постачальником, поза межами безпосередньої інфраструктури компанії. Інцидент стався майже одразу після повідомлення про порушення безпеки в Novo Nordisk і підтверджує закономірність, на яку неодноразово вказували фахівці з безпеки: дані пацієнтів захищені рівно настільки, наскільки захищена найслабша ланка серед постачальників. Як для пацієнтів, так і для медичних працівників випадок iRhythm є різким нагадуванням, що ризик витоку медичних даних через сторонні хмарні середовища зараз є однією з найбільш значущих поверхонь атаки в медицині.

Що сталося під час витоку даних iRhythm

iRhythm повідомила, що хакери отримали доступ до додатків, розміщених стороннім постачальником, а не до внутрішніх систем iRhythm, і змогли витягти через цей доступ захищену медичну інформацію пацієнтів. Компанія, яка виробляє носимі пристрої для моніторингу серця, такі як пластир Zio, обробляє надзвичайно чутливі дані, зокрема фізіологічні записи та особисту медичну інформацію, пов’язану з серцевими захворюваннями.

Хоча точні дані про обсяг постраждалих записів і конкретні використані методи поки не оприлюднені повністю, ключовий механізм є показовим: зловмисникам не потрібно було долати власний периметр iRhythm. Вони пішли через постачальника. Ця відмінність має величезне значення для того, як компанії та пацієнти повинні оцінювати ризики.

Чому хмарний хостинг сторонніх постачальників створює сліпі зони, які не може закрити VPN

Багато організацій, зокрема медичні заклади, розгортають VPN для шифрування трафіку й обмеження доступу до внутрішніх систем. VPN — це легітимний і корисний інструмент для захисту даних під час передавання через мережі, які контролює організація. Але коли дані пацієнтів перебувають у додатках, розміщених зовнішнім постачальником в окремій хмарній інфраструктурі, VPN, що захищає власну мережу iRhythm, жодним чином не убезпечує це середовище.

Додатки, розміщені сторонніми постачальниками, функціонують відповідно до політики безпеки постачальника, його контролю доступу, графіків оновлень і можливостей виявлення інцидентів. Медичні організації часто мають обмежену договірну видимість того, як ці постачальники керують безпекою в щоденному режимі. Це не поодинока проблема: вона віддзеркалює те, що сталося під час атаки програм-вимагачів на Cropwise, де цільова платформа постачальника стала точкою входу для зловмисників, які прагнули отримати цінні дані, що зберігалися за межами посиленого периметра основної організації.

Сліпа зона є структурною. Коли дані переходять у середовище стороннього постачальника, відповідальність за безпеку стає фрагментованою, і порушення безпеки в постачальника стає порушенням безпеки для кожної організації, чиї дані там зберігаються.

Зростаюча тенденція атак на інфраструктуру медичних постачальників

Порушення безпеки iRhythm не сталося ізольовано. Останніми роками медичні організації неодноразово потерпали через залежність від постачальників. Інцидент із Change Healthcare розкрив записи приблизно 100 мільйонів людей після того, як зловмисники скомпрометували критичного постачальника інфраструктури для платежів і рецептів. Платформи телемедицини, білінгові компанії, постачальники електронних медичних карт (EHR) і сховища даних пристроїв — усі стали привабливими цілями, оскільки вони агрегують записи одразу десятків або сотень медичних клієнтів.

Для зловмисників економіка проста. Проникнення в одну хмарну платформу стороннього постачальника, яка обслуговує двадцять медичних організацій, дає в двадцять разів більше даних за приблизно ті самі зусилля. Медичні дані мають високу ціну на кримінальних ринках, оскільки містять історію хвороби, страхові дані, дати народження та номери соціального страхування — усе в одному пакеті, що робить їх набагато кориснішими для шахрайства та крадіжки особистих даних, ніж самі лише фінансові облікові дані.

Той факт, що повідомлення iRhythm з’явилося так близько до інциденту з Novo Nordisk, свідчить або про скоординовану кампанію, спрямовану проти сектору охорони здоров’я, або, що більш імовірно, про те, що зловмисники систематично перевіряють екосистеми постачальників, якими користуються медичні компанії.

Яких заходів контролю конфіденційності мають вимагати пацієнти та споживачі медичних послуг уже зараз

Пацієнти мають обмежений прямий контроль над тим, як медичні компанії керують відносинами з постачальниками, але вони не зовсім позбавлені важелів впливу.

Запитуйте про місце зберігання даних. Під час реєстрації в програмах віддаленого моніторингу, сервісах телемедицини чи будь-яких цифрових медичних платформах пацієнти можуть прямо запитати: де зберігаються мої дані та хто ще має до них доступ? Постачальники медичних послуг повинні вміти чітко на це відповісти. Розмиті відповіді — це сигнал, на який варто звернути увагу.

Уважно перевіряйте розкриття дозволів HIPAA. Багато пацієнтів підписують широкі дозволи, не читаючи, які треті сторони можуть отримувати їхні дані. У цих документах зазначені відносини з постачальниками та дозволи на обмін даними. Їхнє прочитання займає час, але створює усвідомлення поверхні витоку.

Стежте за сповіщеннями про порушення безпеки. За HIPAA охоплені організації зобов’язані повідомляти постраждалих осіб про порушення, що стосуються їхньої захищеної медичної інформації. Пацієнти, які отримують такі сповіщення, мають поставитися до них серйозно, перевірити, які саме дані були задіяні, і подумати про встановлення блокування кредитних файлів або сповіщень про шахрайство, якщо номери соціального страхування чи фінансові дані опинилися серед викритих записів.

Для медичних організацій і команд із закупівель нагальна вимога — це аудит безпеки постачальників із реальними важелями впливу. Програми управління ризиками третіх сторін, що включають договірні вимоги до безпеки, регулярне тестування на проникнення додатків, розміщених постачальниками, та задокументовані протоколи реагування на інциденти, мають бути базовими очікуваннями, а не додатковими опціями.

Що це означає для вас

Порушення безпеки iRhythm підкреслює, що приватність пацієнтів у цифровій медицині залежить від усього ланцюга постачальників, а не лише від організації, чия назва зазначена на пристрої чи в застосунку. VPN, надійні паролі або двофакторна автентифікація на вашому пацієнтському порталі не захистять дані, якщо вони вже були скопійовані в хмарний додаток стороннього постачальника, який сама медична компанія безпосередньо не убезпечує.

Для пересічних споживачів медичних послуг найпрактичніший крок прямо зараз — провести аудит власного цифрового сліду у сфері здоров’я. Складіть список застосунків, сервісів віддаленого моніторингу та пацієнтських порталів, якими ви користуєтеся, і перевірте їхні політики конфіденційності на наявність згадок про сторонніх обробників даних. Якщо сервіс не може чітко пояснити, хто володіє вашими даними і як вони захищені, цю інформацію варто мати до того, як сповіщення про порушення безпеки потрапить у вашу поштову скриньку.

Медичні організації, які серйозно налаштовані закрити ці прогалини, повинні вийти за межі периметрового захисту і ставитися до безпеки постачальників як до продовження власної. Випадок iRhythm чітко показує, що питання вже не в тому, чи будуть атаковані медичні дані в хмарних середовищах третіх сторін. Питання в тому, як швидко організації та регулятори закриють прогалини у відповідальності, які роблять ці атаки такими надійно успішними.