Điều gì đã xảy ra trong vụ rò rỉ dữ liệu iRhythm?

Tin tặc đã truy cập thông tin sức khỏe của bệnh nhân bằng cách xâm nhập các ứng dụng do một nhà cung cấp bên thứ ba lưu trữ, không phải hệ thống nội bộ của iRhythm.

Làm thế nào kẻ tấn công vượt qua được các biện pháp phòng thủ bảo mật của chính iRhythm?

Chúng đã xâm nhập môi trường đám mây của nhà cung cấp bên thứ ba, vì vậy chúng không cần phải xuyên thủng vành đai mạng của iRhythm.

Tại sao VPN không thể ngăn chặn những vụ rò rỉ như thế này?

VPN chỉ bảo vệ dữ liệu khi truyền qua mạng của chính tổ chức; nó không bảo vệ dữ liệu được lưu trữ hoặc xử lý trong cơ sở hạ tầng đám mây của nhà cung cấp bên ngoài.

Ứng dụng do bên thứ ba lưu trữ tạo ra điểm mù gì cho các tổ chức y tế?

Trách nhiệm bảo mật trở nên phân mảnh vì nhà cung cấp kiểm soát quyền truy cập, vá lỗi và giám sát, trong khi tổ chức y tế có tầm nhìn hợp đồng hạn chế vào các hoạt động bảo mật hàng ngày.

Sự cố iRhythm có phải là một phần của xu hướng lớn hơn không?

Có, bài viết ghi nhận một xu hướng ngày càng gia tăng về các cuộc tấn công cơ sở hạ tầng nhà cung cấp trong y tế, bao gồm một vụ rò rỉ gần đây tại Novo Nordisk và một điểm xâm nhập nhà cung cấp tương tự trong vụ tấn công ransomware Cropwise.

Sự cố rò rỉ dữ liệu iRhythm: Ứng dụng đám mây của bên thứ ba làm lộ dữ liệu bệnh nhân

Một vụ rò rỉ dữ liệu y tế tại iRhythm, công ty theo dõi tim mạch, đã làm lộ thông tin sức khỏe của bệnh nhân sau khi kẻ tấn công truy cập vào các ứng dụng được lưu trữ bởi bên thứ ba bên ngoài cơ sở hạ tầng trực tiếp của công ty. Sự cố xảy ra ngay sau một vụ rò rỉ được báo cáo liên quan đến Novo Nordisk, củng cố một xu hướng mà các chuyên gia bảo mật đã nhiều lần cảnh báo: dữ liệu y tế chỉ an toàn tới mức độ an toàn của mắt xích nhà cung cấp yếu nhất. Đối với cả bệnh nhân và nhà cung cấp dịch vụ, trường hợp của iRhythm là lời nhắc nhở rõ ràng rằng rò rỉ dữ liệu y tế từ phơi nhiễm đám mây của bên thứ ba hiện là một trong những bề mặt tấn công nghiêm trọng nhất trong y học.

Điều gì đã xảy ra trong vụ rò rỉ iRhythm

iRhythm tiết lộ rằng tin tặc đã truy cập vào các ứng dụng do một nhà cung cấp bên thứ ba lưu trữ, không phải hệ thống nội bộ của iRhythm, và có thể trích xuất thông tin sức khỏe của bệnh nhân thông qua quyền truy cập đó. Công ty sản xuất các thiết bị theo dõi tim đeo tay như miếng dán Zio, xử lý dữ liệu cực kỳ nhạy cảm bao gồm các bản ghi sinh lý và hồ sơ sức khỏe có thể nhận dạng cá nhân liên quan đến bệnh tim.

Mặc dù các chi tiết cụ thể về số lượng hồ sơ bị ảnh hưởng và các phương pháp chính xác được sử dụng chưa được công bố đầy đủ, cơ chế cốt lõi thì rất đáng chú ý: kẻ tấn công không cần phải xâm nhập vành đai của chính iRhythm. Chúng đã đi qua một nhà cung cấp. Sự khác biệt này có ý nghĩa to lớn đối với cách các công ty và bệnh nhân nên suy nghĩ về rủi ro.

Tại sao lưu trữ đám mây bên thứ ba tạo ra điểm mù mà VPN không thể khắc phục

Nhiều tổ chức, bao gồm các nhà cung cấp dịch vụ y tế, triển khai VPN để mã hóa lưu lượng và hạn chế quyền truy cập vào hệ thống nội bộ. VPN là một công cụ hợp pháp và hữu ích để bảo vệ dữ liệu khi truyền qua các mạng mà tổ chức kiểm soát. Nhưng khi dữ liệu bệnh nhân nằm trong các ứng dụng được lưu trữ bởi một nhà cung cấp bên ngoài trên cơ sở hạ tầng đám mây riêng biệt, VPN bảo vệ mạng của chính iRhythm không thể làm gì để bảo vệ môi trường đó.

Các ứng dụng do bên thứ ba lưu trữ hoạt động dưới tư thế bảo mật, kiểm soát truy cập, lịch vá lỗi và khả năng phát hiện sự cố của nhà cung cấp đó. Các tổ chức y tế thường có tầm nhìn hợp đồng hạn chế về cách các nhà cung cấp quản lý bảo mật hàng ngày. Đây không phải là một vấn đề nhỏ lẻ: nó phản ánh những gì đã xảy ra trong vụ tấn công ransomware chống lại Cropwise, nơi một nền tảng nhà cung cấp bị nhắm mục tiêu trở thành điểm xâm nhập cho kẻ tấn công tìm kiếm dữ liệu có giá trị được lưu trữ bên ngoài vành đai bảo vệ kiên cố của tổ chức chính.

Điểm mù mang tính cấu trúc. Khi dữ liệu được chuyển sang môi trường bên thứ ba, trách nhiệm bảo mật trở nên phân mảnh, và một vụ rò rỉ tại nhà cung cấp trở thành vụ rò rỉ cho mọi tổ chức có dữ liệu tại đó.

Một xu hướng ngày càng gia tăng về tấn công cơ sở hạ tầng nhà cung cấp trong y tế

Vụ rò rỉ iRhythm không xảy ra đơn lẻ. Các tổ chức y tế đã liên tục bị tấn công thông qua các phụ thuộc vào nhà cung cấp trong những năm gần đây. Sự cố Change Healthcare đã làm lộ hồ sơ của khoảng 100 triệu người sau khi kẻ tấn công xâm nhập một nhà cung cấp cơ sở hạ tầng thanh toán và kê đơn quan trọng. Các nền tảng y tế từ xa, công ty thanh toán, nhà cung cấp EHR và kho lưu trữ dữ liệu thiết bị đều đã trở thành những mục tiêu hàng đầu vì chúng tổng hợp hồ sơ từ hàng chục hoặc hàng trăm khách hàng y tế cùng một lúc.

Đối với kẻ tấn công, lợi ích kinh tế rất rõ ràng. Xâm nhập một nền tảng đám mây bên thứ ba phục vụ hai mươi tổ chức y tế sẽ thu được lượng dữ liệu gấp hai mươi lần với cùng một nỗ lực. Dữ liệu y tế có giá cao trên thị trường tội phạm vì nó chứa lịch sử bệnh án, chi tiết bảo hiểm, ngày sinh và số An sinh xã hội – tất cả được gói gọn lại với nhau, khiến nó hữu ích hơn nhiều cho gian lận và đánh cắp danh tính so với chỉ thông tin tài chính đơn thuần.

Thời điểm iRhythm công bố thông tin quá gần với sự cố Novo Nordisk gợi ý hoặc là một chiến dịch phối hợp nhắm vào lĩnh vực y tế, hoặc, hợp lý hơn, là kẻ tấn công đang thăm dò một cách có hệ thống các hệ sinh thái nhà cung cấp mà các công ty y tế chia sẻ.

Những biện pháp kiểm soát quyền riêng tư mà bệnh nhân và người tiêu dùng y tế nên yêu cầu ngay bây giờ

Bệnh nhân có quyền kiểm soát trực tiếp hạn chế đối với cách các công ty y tế quản lý mối quan hệ với nhà cung cấp, nhưng họ không hoàn toàn thiếu biện pháp hoặc đòn bẩy.

Hỏi về vị trí dữ liệu. Khi đăng ký các chương trình theo dõi từ xa, dịch vụ y tế từ xa hoặc bất kỳ nền tảng sức khỏe kỹ thuật số nào, bệnh nhân có thể hỏi trực tiếp: dữ liệu của tôi được lưu trữ ở đâu và ai khác có quyền truy cập? Các nhà cung cấp phải có khả năng trả lời rõ ràng điều này. Những câu trả lời mơ hồ là một tín hiệu đáng lưu ý.

Xem xét kỹ các tiết lộ ủy quyền HIPAA. Nhiều bệnh nhân ký các ủy quyền rộng mà không đọc bên thứ ba nào có thể nhận dữ liệu của họ. Những tài liệu này nêu rõ các mối quan hệ với nhà cung cấp và quyền chia sẻ dữ liệu. Đọc chúng cần thời gian nhưng tạo ra nhận thức về bề mặt phơi nhiễm.

Theo dõi các thông báo rò rỉ. Theo HIPAA, các thực thể được bảo hiểm phải thông báo cho các cá nhân bị ảnh hưởng về các vụ rò rỉ ảnh hưởng đến thông tin sức khỏe được bảo vệ của họ. Bệnh nhân nhận được những thông báo này nên xem xét nghiêm túc, kiểm tra dữ liệu cụ thể nào bị ảnh hưởng và cân nhắc đặt đóng băng tín dụng hoặc cảnh báo gian lận nếu số An sinh xã hội hoặc dữ liệu tài chính nằm trong hồ sơ bị lộ.

Đối với các tổ chức y tế và đội ngũ mua sắm, yêu cầu hành động là các cuộc kiểm toán bảo mật nhà cung cấp có tính ràng buộc thực sự. Các chương trình quản lý rủi ro bên thứ ba bao gồm các yêu cầu bảo mật theo hợp đồng, kiểm thử thâm nhập thường xuyên đối với các ứng dụng do nhà cung cấp lưu trữ và các quy trình ứng phó sự cố được ghi chép lại nên là kỳ vọng cơ bản, không phải là bổ sung tùy chọn.

Điều này có ý nghĩa gì với bạn

Vụ rò rỉ iRhythm nhấn mạnh rằng quyền riêng tư của bệnh nhân trong y tế kỹ thuật số phụ thuộc vào toàn bộ chuỗi nhà cung cấp, không chỉ tổ chức có tên trên thiết bị hoặc ứng dụng. Một VPN, mật khẩu mạnh hay xác thực hai yếu tố trên cổng thông tin bệnh nhân của bạn sẽ không bảo vệ được dữ liệu một khi nó đã được sao chép vào một ứng dụng đám mây của bên thứ ba mà chính công ty y tế không trực tiếp bảo mật.

Đối với người tiêu dùng y tế hàng ngày, bước thực tế nhất ngay bây giờ là kiểm tra dấu chân sức khỏe kỹ thuật số của chính bạn. Liệt kê các ứng dụng, dịch vụ theo dõi từ xa và cổng thông tin bệnh nhân bạn sử dụng, và xem lại chính sách quyền riêng tư của chúng để tìm các tham chiếu đến bên xử lý dữ liệu thứ ba. Nếu một dịch vụ không thể giải thích rõ ràng ai nắm giữ dữ liệu của bạn và cách nó được bảo vệ, đó là thông tin đáng có trước khi một thông báo rò rỉ đến hộp thư của bạn.

Các tổ chức y tế nghiêm túc trong việc thu hẹp những khoảng trống này cần phải vượt ra ngoài phòng thủ vành đai và coi bảo mật của nhà cung cấp như một phần mở rộng của chính mình. Trường hợp iRhythm cho thấy rõ rằng câu hỏi không còn là liệu dữ liệu y tế trong môi trường đám mây của bên thứ ba có bị nhắm mục tiêu hay không. Mà là các tổ chức và cơ quan quản lý sẽ nhanh chóng thu hẹp những khoảng trống trách nhiệm khiến những cuộc tấn công này thành công một cách đáng tin cậy đến mức nào.