Витік даних Stewart Home & School: 3,677 записів втрачено через крадіжку облікових даних

Інцидент із програмою-вимагачем у Stewart Home & School знову привернув увагу до запобігання крадіжкам облікових даних у сфері охорони здоров'я, і механізм цього конкретного витоку варто розглянути детально. Викрадені облікові дані дозволили зловмиснику отримати доступ до двох внутрішніх дисків. Дані були переглянуті, скопійовані за межі середовища, а потім зашифровані, що зачепило до 3 677 осіб, чия особиста, фінансова та захищена медична інформація зберігалася на цих дисках. Ця послідовність майже хрестоматійна, але саме це робить її такою повчальною.

Як викрадені облікові дані відчинили двері для програми-вимагача в Stewart Home & School

Атака на Stewart Home & School слідувала схемі, яку дослідники безпеки задокументували в сотнях інцидентів у сфері охорони здоров'я: зловмисник отримує дійсні облікові дані для входу, використовує їх для звичайної автентифікації, переміщується в мережі, щоб знайти сховища конфіденційних даних, вилучає копію цих даних, а потім розгортає програму-вимагач, щоб зашифрувати те, що залишилося. Кожен крок спирається на попередній.

Особливо руйнівним вторгнення на основі облікових даних робить те, що з точки зору мережі зловмисник виглядає як законний користувач. Периметральний захист, брандмауери та базові антивірусні засоби не призначені для виявлення автентифікованих сеансів. До моменту початку шифрування дані вже зникли. Програма-вимагач — це майже вторинна подія, тактика тиску, накладена на успішне вилучення даних.

Ось чому початкова компрометація облікових даних є найкритичнішою точкою в усьому ланцюжку. Зупиніть її тут — і жодної подальшої шкоди не станеться.

Які дані були розкриті та хто в зоні ризику

Витік включав особисту інформацію, фінансову інформацію та захищену медичну інформацію (PHI) — комбінацію, яка створює посилений ризик для постраждалих осіб. PHI регулюється HIPAA, а це означає, що постраждалі організації стикаються з регуляторними наслідками на додаток до прямої шкоди для осіб. Фінансові дані в тому ж витоку різко підвищують ризик шахрайства з ідентифікацією та незаконної діяльності за рахунками.

З потенційно постраждалими 3 677 особами масштаб є значним для однієї установи. Мешканці, студенти та, можливо, співробітники Stewart Home & School — закладу догляду для осіб з вадами розвитку — представляють особливо вразливу групу населення. Багато з них можуть мати обмежену здатність самостійно відстежувати свою кредитну історію або реагувати на сповіщення про шахрайство, що покладає додаткову відповідальність на установу та сімейних опікунів.

Такий витік даних не закінчується, коли програму-вимагач нейтралізовано. Вилучені дані залишаються, і особи залишаються в зоні ризику місяцями чи роками, поки викрадені записи циркулюють на вторинних ринках.

Чому середовище охорони здоров'я особливо вразливе до атак на основі облікових даних

Середовище закладів охорони здоров'я та догляду має структурні вразливості, які ускладнюють запобігання вимагацьким атакам із крадіжкою облікових даних порівняно з іншими секторами. Плинність кадрів висока, а це означає, що гігієна облікових даних, включаючи своєчасне видалення облікових записів звільнених співробітників, постійно перебуває під тиском. Спільні робочі станції є звичним явищем у клінічних та інтернатних закладах, що ускладнює як управління паролями, так і визначення відповідальності, коли облікові дані використовуються не за призначенням.

Віддалений доступ також значно розширився в середовищах догляду, і не завжди з належним контролем. Співробітники, які входять з особистих пристроїв або домашніх мереж, часто роблять це без захисту VPN чи багатофакторної автентифікації, залишаючи облікові дані вразливими до фішингу, шкідливого ПЗ-викрадача інформації та перехоплення в мережі.

Варто зазначити паралель з іншими секторами. Попередній випадок із ManageMyHealth викрив майже 100 000 записів пацієнтів попри попередні попередження, ілюструючи, що збої облікових даних і доступу в охороні здоров'я рідко є поодинокими несподіванками. Вони зазвичай відображають системні прогалини, які залишаються без уваги, поки витік не змусить вирішувати проблему. Подібним чином, державні системи стикалися з порівнянними прогалинами в підзвітності, коли відомі вразливості залишалися без виправлень протягом тривалого часу.

Медичні організації також часто використовують застарілі системи, які не були розроблені з урахуванням сучасних вимог автентифікації. Впровадження багатофакторної автентифікації на старій інфраструктурі технічно можливе, але вимагає бюджету, планування та навчання персоналу, чому багато менших закладів насилу надають пріоритет.

Як медичні працівники можуть заблокувати доступ і зупинити ланцюжок витоку

Витік у Stewart Home & School дає чітку відправну точку для будь-якої медичної організації, яка переглядає свою власну вразливість. Втручання не потребує передових технологій. Воно вимагає дисциплінованого впровадження заходів контролю, які вже добре відомі.

  • Запровадьте багатофакторну автентифікацію для всіх віддалених доступів. Викраденого пароля недостатньо для автентифікації, якщо потрібен другий фактор. Цей єдиний захід розриває найпоширеніший ланцюжок атаки з крадіжкою облікових даних.
  • Вимагайте використання VPN для всіх віддалених підключень до внутрішніх дисків і клінічних систем. Співробітники, які підключаються з дому або спільних мереж, повинні проходити через зашифрований тунель. Це зменшує поверхню атаки для перехоплення облікових даних і обмежує те, до чого може дістатися автентифікований зловмисник.
  • Регулярно проводьте аудит та видаляйте облікові записи. Невикористовувані або облікові записи колишніх співробітників є повторюваною точкою входу. Щоквартальний перегляд активних облікових даних, звірений з поточним штатним розписом, значно знижує ризик експлуатації залишених облікових записів.
  • Сегментуйте внутрішні диски та застосовуйте доступ з найменшими привілеями. Не кожен автентифікований користувач потребує доступу до кожного диска. Обмеження доступу лише тим, що справді необхідно для кожної ролі, означає, що одна скомпрометована облікова інформація не зможе відкрити все середовище даних.
  • Відстежуйте аномальну поведінку автентифікації. Входи в незвичні години, з незнайомих IP-адрес або в декілька систем послідовно є тривожними сигналами. Автоматизовані сповіщення про такі шаблони можуть виявити вторгнення до завершення вилучення даних.

Що це означає для вас

Якщо ви працюєте в адмініструванні охорони здоров'я, ІТ або комплаєнсі, витік у Stewart Home & School є прямим закликом провести аудит безпеки власного віддаленого доступу, перш ніж інцидент змусить вас це зробити. Послідовність «облікові дані — вилучення — шифрування», задокументована тут, є відтворюваною і добре відомою суб'єктам загроз. Це знову станеться в організаціях, які не усунули основні прогалини в контролі доступу.

Ознайомтеся з кейсом витоку ManageMyHealth як паралельним прикладом: цей інцидент був визнаний повністю запобіжним після урядового розслідування, що означає, що попереджувальні знаки існували до втрати будь-яких даних. Те ж саме майже напевно стосується організацій, які сьогодні працюють без MFA, обов'язкового VPN та регулярних аудитів облікових даних. Засоби контролю доступні. Питання в тому, чи вони впроваджені до того, як наступний викрадений пароль відчинить двері.