en advarende fortælling om, hvad casen om avanceret sundhed og pleje fortæller os om cybermodstandsdygtighed banner

En advarende fortælling: Hvad Advanced Health and Care-sagen fortæller os om cyberrobusthed

I slutningen af ​​marts, Advanced Computer Software Group fik en bøde på lidt over 3 millioner pund af Storbritanniens databeskyttelsesmyndighed. Flere sikkerhedsfejl hos IT-udbyderen førte til kompromittering af næsten 80,000 personers personlige oplysninger og satte sårbare personers fysiske sikkerhed i fare.

Det pågældende datterselskab, Advanced Health and Care (AHC), burde have vidst bedre. Men dets fejl er ikke ualmindelige. Det var simpelthen uheldigt nok at blive opdaget, efter at ransomware-aktører havde angrebet NHS-leverandøren. Spørgsmålet er, hvordan andre organisationer kan undgå samme skæbne. Heldigvis ligger mange af svarene i den detaljerede bødemeddelelse, der for nylig er offentliggjort af Information Commissioner's Office (ICO).

Hvad gik galt?

AHC tilbyder forskellige kritiske tjenester til sundhedsklienter, herunder det nationale sundhedsvæsen, herunder software til patienthåndtering, elektroniske patientjournaler, klinisk beslutningsstøtte, plejeplanlægning og arbejdsstyrkestyring. Det understøtter også NHS 111-tjenesten for akut sundhedsrådgivning.

Selvom nogle af oplysningerne i ICO's bødemeddelelse er blevet redigeret, kan vi sammensætte en omtrentlig tidslinje for ransomware-angrebet.

  1. Den 2. august 2022 loggede en trusselsaktør ind på AHC's Staffplan-system via en Citrix-konto ved hjælp af en kompromitteret kombination af adgangskode og brugernavn. Det er uklart, hvordan disse legitimationsoplysninger blev opnået.
  2. Da de var inde, kørte de en fil for at udnytte den to år gamle “ZeroLogon” sårbarhed som ikke var blevet opdateret. Dette gjorde det muligt for dem at eskalere privilegier op til en domæneadministratorkonto.
  3. Trusselsaktøren brugte derefter disse privilegier til at bevæge sig lateralt gennem domæner, slå antivirusbeskyttelse fra og udføre yderligere rekognoscering. De skiftede også til AHC's cloudlagring og filhostingtjenester og downloadede "Infrastructure management utilities" for at muliggøre dataudfiltrering.
  4. Modstanderne installerede ransomware på tværs af 395 endpoints og stjal 19 GB data, hvilket tvang Advanced til at tage ni vigtige softwaretilbud offline – heraf tre som en sikkerhedsforanstaltning.

De vigtigste sikkerhedshuller

De tre vigtigste sikkerhedsbrister, som ICO's undersøgelse afdækkede, var følgende:

Sårbarhedsscanning: ICO fandt ingen beviser for, at AHC udførte regelmæssige sårbarhedsscanninger – da de burde have været opmærksomme på følsomheden af ​​de tjenester og data, de administrerede, og det faktum, at sundhedssektoren er klassificeret som kritisk national infrastruktur (CNI) af regeringen. Virksomheden havde tidligere købt sårbarhedsscanning, webapp-scanning og værktøjer til overholdelse af politikker, men havde kun udført to scanninger på tidspunktet for bruddet.

AHC udførte pentestning, men fulgte ikke op på resultaterne, da trusselsaktørerne senere udnyttede sårbarheder, der blev afsløret ved testene, oplyste ICO. I henhold til GDPR vurderede ICO, at disse beviser beviste, at AHC undlod at "implementere passende tekniske og organisatoriske foranstaltninger for at sikre den fortsatte fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester."

Håndtering af patch: AHC opdaterede ZeroLogon, men ikke på tværs af alle systemer, fordi de ikke havde en "moden programrettelsesvalideringsproces på plads". Faktisk kunne virksomheden ikke engang validere, om fejlen var blevet rettet på den berørte server, fordi de ikke havde nøjagtige optegnelser at referere til.

Risikostyring (MFA): Der var ingen multifaktorgodkendelse (MFA) på plads i Staffplan Citrix-miljøet. I hele AHC-miljøet havde brugerne kun MFA som en mulighed for at logge ind på to apps (Adastra og Carenotes). Virksomheden havde en MFA-løsning, som blev testet i 2021, men havde ikke rullet den ud på grund af planer om at erstatte visse ældre produkter, som Citrix gav adgang til. ICO sagde, at AHC nævnte kundernes manglende vilje til at anvende løsningen som en yderligere barriere.

Hvad var virkningen?

Der er en grund til, at ICO pålagde en så betydelig bøde, som blev sat ned fra endnu højere £6.1 millioner efter Advanceds "proaktive engagement" med myndighederne og deres indvilligelse i et frivilligt forlig. Kort sagt bragte bruddet den digitale og fysiske sikkerhed for mange uskyldige registrerede i fare og tog vigtige tjenester offline i ugevis. Helt konkret:

  • Trusselsaktører stjal data om 79,404 personer, hvoraf næsten halvdelen fik indhentet særlige kategoridata. Dette omfattede lægejournaler, NI-numre, oplysninger om religiøs overbevisning, beskæftigelse og demografiske detaljer.
  • Denne særlige kategori af data omfattede detaljer om, hvordan man får adgang til hjemmene hos 890 registrerede, der modtog hjemmepleje.
  • Et efterfølgende serviceafbrydelse påvirkede 658 kunder, inklusive NHS, og nogle tjenester var utilgængelige i op til 284 dage. Ifølge udbredte oplysninger rapporter på det tidspunkt, var der store forstyrrelser i den kritiske NHS 111-tjeneste, og praktiserende læger blev tvunget til at bruge pen og papir.

Undgå den samme skæbne

"Dagens beslutning er en barsk påmindelse om, at organisationer risikerer at blive det næste mål uden robuste sikkerhedsforanstaltninger på plads," sagde informationskommissær John Edwards, da bøden blev annonceret. Så hvad tæller som "robust" efter ICO's mening? Bødemeddelelsen henviser til NCSC's rådgivning, Cyber ​​Essentials og ISO 27002 – sidstnævnte giver vigtig vejledning i implementeringen af ​​de kontroller, der kræves i henhold til ISO 27001.

Specifikt citerer den ISO 27002:2017, der fastslår, at: "Oplysninger om tekniske sårbarheder i anvendte informationssystemer bør indhentes rettidigt, organisationens eksponering for sådanne sårbarheder bør evalueres, og passende foranstaltninger bør træffes for at imødegå den tilhørende risiko."

NCSC opfordrer til sårbarhedsscanninger mindst én gang om måneden, hvilket Advanced tilsyneladende gjorde i sit virksomhedsmiljø. ICO gjorde også en stor indsats for at påpege, at penetrationstest alene ikke er nok, især når det udføres på en ad hoc-måde som AHC.

Derudover anbefaler ISO 27001:2022 eksplicit MFA i sin Bilag A for at opnå sikker godkendelse, afhængigt af "dataenes og netværkets type og følsomhed".

Alt dette peger på ISO 27001 som et godt sted at starte for organisationer, der ønsker at forsikre tilsynsmyndighederne om, at de har deres kunders bedste interesser i tankerne, og at sikkerhed gennem design er et vejledende princip. Faktisk går det langt ud over de tre områder, der er fremhævet ovenfor, som førte til AHC-bruddet.

Afgørende er det, at det gør det muligt for virksomheder at undgå ad hoc-foranstaltninger og anvende en systematisk tilgang til håndtering af informationssikkerhedsrisici på alle niveauer i en organisation. Det er gode nyheder for enhver organisation, der ønsker at undgå selv at blive den næste Advanced eller at påtage sig en leverandør som AHC med en sikkerhedspolitik under niveau. hjælper med at etablere klare informationssikkerhedsforpligtelser for at mindske risici i forsyningskæden.

I en verden med stigende risiko og kompleksitet i forsyningskæden kan dette være uvurderligt.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!