Esta semana, una división del Servicio Nacional de Salud (NHS) de Escocia sufrió un ciberataque que potencialmente interrumpió los servicios y expuso datos de pacientes y empleados. Mientras tanto, un investigador reveló un error de configuración de Salesforce que expuso los datos de vacunación COVID de millones de ciudadanos irlandeses del Ejecutivo de Servicios de Salud (HSE) de ese país.
Los dos incidentes, separados por un rápido salto sobre el Mar de Irlanda, hablan de la actual Desafíos que enfrentan las organizaciones de atención médica para proteger la información de identificación personal (PII) y la información de salud personal (PHI) más sensibles de los pacientes.
Error de Salesforce en el portal de vacunación COVID de Irlanda
Durante la aparición de la variante Omicron de COVID en diciembre de 2021, Aaron Costello, ingeniero principal de seguridad SaaS en AppOmni, descubrió una configuración errónea grave en el portal de vacunación en línea basado en Salesforce para el HSE de Irlanda.
En una publicación de blog publicada el 14 de marzoExplicó cómo un descuido permitió que cuentas regulares de bajo nivel pertenecientes a pacientes de HSE tuvieran un acceso sin precedentes a la parte del sistema responsable de almacenar información sobre la administración de vacunas.
El objeto expuesto en cuestión incluía los nombres completos de los pacientes y toda la información relacionada con sus inyecciones: la marca de la vacuna, la fecha, el lugar y el lugar en el que se administró, y los motivos por los que la aceptaron o rechazaron.
También se expusieron documentos pertenecientes a miembros del personal e información relacionada con problemas y procesos internos de TI.
“Para los administradores de Salesforce y los profesionales de seguridad en plataformas SaaS, había una falta de comprensión de las implicaciones de los permisos mal configurados”, le dice Costello a Dark Reading. “No eran muy conscientes de que estas cosas son posibles, de que un usuario con pocos privilegios podría estar extrayendo estos datos”.
Desde entonces, Salesforce ha implementado gradualmente una serie de cambios positivos para prevenir este tipo de error y mitigar las consecuencias que podrían derivarse del mismo. Un escáner de estado integrado intenta descubrir dichas vulnerabilidades en los entornos de los clientes, y un registro más sólido permite a los administradores analizar mejor la actividad de los usuarios, especialmente cuando interactúan con API potencialmente sensibles. Además, las nuevas políticas y configuraciones intentan ocultar información confidencial, incluso en los casos en que quedan expuestas debido a configuraciones incorrectas.
“Así que no sólo han mejorado el proceso de análisis de registros posterior a la vulneración, sino que también han introducido formas en las que los administradores pueden detectar fácilmente estos problemas con el escáner de estado y también reducir el alcance de las exposiciones al reducir el alcance de los datos que está disponible en ciertos escenarios”, dice Costello.
Sin embargo, advierte: “Hay muchas organizaciones que todavía configuran mal este tipo de controles de acceso hasta el día de hoy. Sigo pensando que existe una brecha de conocimiento en la industria, y parte del problema es: ¿Quién es responsable de la seguridad de las plataformas SaaS? ¿Son los administradores de la plataforma? ¿Recurre a su equipo de seguridad cuando se implementan estas cosas para realizar una auditoría?
La infracción del NHS de Escocia
También esta semana, NHS Dumfries y Galloway publicó una alerta revelando que está experimentando un ciberataque “focalizado y continuo”.
Dumfries y Galloway es el concejo más meridional de Escocia, con una población de aproximadamente 150.000 habitantes.
Como resultado de la violación, advirtió, algunos servicios pueden sufrir interrupciones y los atacantes pueden haber obtenido “una cantidad significativa de datos” pertenecientes a pacientes y personal. Aún no se han publicado detalles más específicos sobre la causa, la naturaleza y las consecuencias de la infracción.
Ya sea que se trate de una infracción en Escocia o de una mala configuración del sistema que se pasó por alto en Irlanda, Costello dice: “Creo que todo Volviendo al presupuesto y la financiación.. Y el resultado de esto es, en primer lugar, una falta de personal para los puestos de ciberseguridad dentro de estas organizaciones. Ese es un problema enorme, enorme.
“No podemos señalar únicamente a los empleados de estas organizaciones cuando trabajan con un presupuesto y una plantilla muy restringidos. Están haciendo lo mejor que pueden con los recursos que tienen a su disposición”.
Fuente Original darkreading
