Vụ xâm phạm dữ liệu tại Stewart Home & School: 3.677 hồ sơ bị mất do đánh cắp thông tin xác thực
Một sự cố mã độc tống tiền tại Stewart Home & School đã một lần nữa đưa vấn đề phòng chống mã độc tống tiền qua đánh cắp thông tin xác thực trong y tế trở thành tâm điểm, và cơ chế của vụ xâm phạm cụ thể này rất đáng để xem xét kỹ lưỡng. Thông tin xác thực bị đánh cắp đã cho phép một tác nhân đe dọa truy cập vào hai ổ đĩa nội bộ. Dữ liệu đã bị truy cập, sao chép ra khỏi môi trường, sau đó bị mã hóa, ảnh hưởng đến tối đa 3.677 cá nhân có thông tin cá nhân, tài chính và sức khỏe được bảo vệ được lưu trữ trên các ổ đĩa đó. Chuỗi sự kiện này gần như theo đúng kịch bản kinh điển, nhưng chính điều đó khiến nó trở thành một bài học đầy giá trị.
Cách thông tin xác thực bị đánh cắp đã mở đường cho mã độc tống tiền tại Stewart Home & School
Vụ tấn công vào Stewart Home & School diễn ra theo một khuôn mẫu mà các nhà nghiên cứu bảo mật đã ghi nhận trong hàng trăm vụ việc tại các cơ sở y tế: kẻ tấn công có được thông tin đăng nhập hợp lệ, sử dụng chúng để xác thực bình thường, di chuyển ngang để xác định vị trí các kho dữ liệu nhạy cảm, trích xuất một bản sao dữ liệu đó, rồi triển khai mã độc tống tiền để mã hóa những gì còn lại. Mỗi bước đều xây dựng trên bước trước đó.
Điều khiến các vụ xâm nhập dựa trên thông tin xác thực trở nên đặc biệt nghiêm trọng là, từ góc nhìn của mạng lưới, kẻ tấn công trông như một người dùng hợp pháp. Các biện pháp phòng thủ vành đai, tường lửa và các công cụ chống vi-rút cơ bản không được thiết kế để đánh dấu các phiên đã xác thực. Vào thời điểm mã hóa bắt đầu, dữ liệu đã biến mất. Mã độc tống tiền gần như chỉ là một sự kiện thứ cấp, một chiến thuật gây áp lực chồng lên trên một vụ trích xuất dữ liệu đã thành công.
Đây là lý do tại sao việc xâm phạm thông tin xác thực ban đầu là điểm then chốt nhất trong toàn bộ chuỗi. Ngăn chặn nó ngay tại đó, và mọi thiệt hại tiếp theo sẽ không xảy ra.
Dữ liệu nào đã bị lộ và ai đang gặp rủi ro
Vụ xâm phạm này liên quan đến thông tin cá nhân, thông tin tài chính và thông tin sức khỏe được bảo vệ (PHI), một sự kết hợp tạo ra rủi ro kép cho những cá nhân bị ảnh hưởng. PHI được điều chỉnh bởi HIPAA, có nghĩa là các tổ chức bị ảnh hưởng phải đối mặt với rủi ro pháp lý về quy định, bên cạnh tổn hại trực tiếp cho các cá nhân. Dữ liệu tài chính trong cùng một vụ xâm phạm làm tăng đáng kể nguy cơ gian lận danh tính và hoạt động tài khoản gian lận.
Với khả năng 3.677 cá nhân bị ảnh hưởng, quy mô này là đáng kể đối với một cơ sở đơn lẻ. Cư dân, học viên và có thể cả nhân viên tại Stewart Home & School, một cơ sở chăm sóc cho những người khuyết tật phát triển, là một nhóm đặc biệt dễ bị tổn thương. Nhiều người có thể bị hạn chế về khả năng tự giám sát tín dụng hoặc phản hồi các cảnh báo gian lận một cách độc lập, đặt thêm trách nhiệm lên tổ chức và những người chăm sóc gia đình.
Loại xâm phạm này không kết thúc khi mã độc tống tiền được vô hiệu hóa. Dữ liệu đã bị trích xuất vẫn tồn tại, và các cá nhân vẫn gặp rủi ro trong nhiều tháng hoặc nhiều năm khi các hồ sơ bị đánh cắp lưu hành qua các thị trường thứ cấp.
Tại sao các môi trường y tế đặc biệt dễ bị tổn thương trước các cuộc tấn công dựa trên thông tin xác thực
Các môi trường y tế và cơ sở chăm sóc mang trong mình những điểm yếu cấu trúc khiến việc phòng chống mã độc tống tiền qua đánh cắp thông tin xác thực trở nên khó khăn hơn so với các lĩnh vực khác. Tỷ lệ thay đổi nhân sự cao, đồng nghĩa với việc vệ sinh thông tin xác thực, bao gồm việc vô hiệu hóa kịp thời các tài khoản của nhân viên đã nghỉ việc, luôn chịu áp lực. Các máy trạm dùng chung phổ biến trong các cơ sở chăm sóc lâm sàng và nội trú, điều này làm phức tạp cả việc quản lý mật khẩu lẫn trách nhiệm khi một thông tin xác thực bị sử dụng sai mục đích.
Truy cập từ xa cũng đã mở rộng đáng kể trong các môi trường chăm sóc, và không phải lúc nào cũng được kiểm soát đầy đủ. Nhân viên đăng nhập từ thiết bị cá nhân hoặc mạng gia đình thường thực hiện mà không có sự bảo vệ của VPN hay xác thực đa yếu tố, khiến thông tin xác thực dễ bị lộ trước các cuộc tấn công lừa đảo, phần mềm đánh cắp thông tin và chặn bắt mạng.
Một điểm tương đồng với các lĩnh vực khác cũng đáng lưu ý. Một vụ việc trước đó liên quan đến ManageMyHealth đã làm lộ gần 100.000 hồ sơ bệnh nhân bất chấp các cảnh báo trước, cho thấy rằng những thất bại về thông tin xác thực và truy cập trong y tế hiếm khi là những bất ngờ riêng lẻ. Chúng thường phản ánh những khoảng trống hệ thống không được giải quyết cho đến khi một vụ xâm phạm buộc vấn đề phải được chú ý. Tương tự, các hệ thống chính phủ cũng từng đối mặt với những khoảng trống trách nhiệm tương tự khi các lỗ hổng đã biết bị bỏ ngỏ không vá trong thời gian dài.
Các tổ chức y tế cũng thường vận hành các hệ thống cũ không được thiết kế với các yêu cầu xác thực hiện đại. Việc tích hợp xác thực đa yếu tố lên cơ sở hạ tầng cũ hơn là khả thi về mặt kỹ thuật nhưng đòi hỏi ngân sách, kế hoạch và đào tạo nhân viên mà nhiều cơ sở nhỏ gặp khó khăn trong việc ưu tiên.
Cách nhân viên y tế có thể khóa chặt quyền truy cập và ngăn chặn chuỗi xâm phạm
Vụ xâm phạm tại Stewart Home & School cung cấp một điểm khởi đầu rõ ràng cho bất kỳ tổ chức y tế nào đang xem xét lại mức độ lộ diện của chính mình. Sự can thiệp này không đòi hỏi công nghệ tiên tiến. Nó đòi hỏi việc triển khai có kỷ luật các biện pháp kiểm soát đã được hiểu rõ.
Thực thi xác thực đa yếu tố cho tất cả các truy cập từ xa. Một mật khẩu bị đánh cắp là không đủ để xác thực nếu yêu cầu yếu tố thứ hai. Biện pháp kiểm soát đơn lẻ này phá vỡ chuỗi tấn công đánh cắp thông tin xác thực phổ biến nhất.
Yêu cầu sử dụng VPN cho mọi kết nối từ xa đến các ổ đĩa nội bộ và hệ thống lâm sàng. Nhân viên kết nối từ nhà riêng hoặc mạng dùng chung nên định tuyến qua một đường hầm mã hóa. Điều này làm giảm bề mặt tấn công cho việc chặn bắt thông tin xác thực và giới hạn những gì một kẻ tấn công đã xác thực có thể tiếp cận.
Kiểm tra và vô hiệu hóa tài khoản định kỳ. Các tài khoản không sử dụng hoặc của nhân viên cũ là điểm xâm nhập thường xuyên. Việc rà soát hàng quý các thông tin xác thực đang hoạt động, đối chiếu với danh sách nhân viên hiện tại, giảm đáng kể nguy cơ các tài khoản mồ côi bị khai thác.
Phân đoạn các ổ đĩa nội bộ và áp dụng quyền truy cập tối thiểu. Không phải mọi người dùng đã xác thực đều cần truy cập vào mọi ổ đĩa. Giới hạn truy cập vào những gì mỗi vai trò thực sự yêu cầu có nghĩa là một thông tin xác thực bị xâm phạm duy nhất không thể mở khóa toàn bộ môi trường dữ liệu.
Giám sát hành vi xác thực bất thường. Đăng nhập vào những giờ bất thường, từ các địa chỉ IP không quen thuộc, hoặc qua nhiều hệ thống trong khoảng thời gian liên tiếp nhanh chóng là những dấu hiệu cảnh báo. Cảnh báo tự động về những khuôn mẫu này có thể phát hiện các vụ xâm nhập trước khi quá trình trích xuất dữ liệu hoàn tất.
Điều này có ý nghĩa gì với bạn
Nếu bạn làm việc trong lĩnh vực quản trị y tế, CNTT hoặc tuân thủ, vụ xâm phạm tại Stewart Home & School là một lời nhắc nhở trực tiếp để kiểm tra an ninh truy cập từ xa của chính tổ chức bạn trước khi một sự cố buộc bạn phải làm vậy. Chuỗi từ đánh cắp thông tin xác thực đến trích xuất dữ liệu đến mã hóa được ghi nhận ở đây có thể lặp lại và đã được các tác nhân đe dọa hiểu rõ. Nó sẽ lại xảy ra tại những tổ chức chưa giải quyết các khoảng trống kiểm soát truy cập cơ bản.
Hãy xem lại vụ xâm phạm ManageMyHealth như một nghiên cứu tình huống song song: vụ việc đó đã được đánh giá là hoàn toàn có thể ngăn chặn sau một cuộc điều tra của chính phủ, nghĩa là các dấu hiệu cảnh báo đã tồn tại trước khi bất kỳ dữ liệu nào bị mất. Điều gần như chắc chắn cũng đúng với các tổ chức đang hoạt động ngày nay mà không có MFA, thực thi VPN và kiểm tra thông tin xác thực định kỳ. Các biện pháp kiểm soát luôn có sẵn. Câu hỏi là liệu chúng có được triển khai hay không trước khi mật khẩu bị đánh cắp tiếp theo mở ra một cánh cửa.




