3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Toplum Sağlık Sistemleri, SEC Dosyalamasında Veri İhlalini Bildirdi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
14 Şubat 2023
Çok eyaletli bir hastane zinciri, yaklaşık 1 milyon hastanın verilerini tehlikeye atan güvenli dosya aktarım yazılımını içeren bir siber güvenlik olayını federal düzenleyicilere ifşa etti.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
16 eyalette yaklaşık 80 hastane işleten Community Health Systems, ABD Menkul Kıymetler ve Borsa Komisyonu’na olayın Fortra’nın GoAnyWhere yazılımını kullanmasından kaynaklandığını söyledi. Tennessee merkezli zincir, Fortra’nın hasta verilerinin izinsiz ifşasıyla sonuçlanan bir olayı “yakın zamanda” şirkete bildirdiğini söylüyor.
Dosyada, “Fortra’nın yaşadığı güvenlik ihlalinin bir sonucu olarak, korunan sağlık bilgileri ve şirketin bağlı kuruluşlarındaki bazı hastaların kişisel bilgileri Fortra’nın saldırganı tarafından ifşa edildi” deniyor.
Soruşturma devam ederken, CHS şu ana kadar hiçbir sisteminin etkilendiğine inanmadığını ve hasta bakımının sağlanması da dahil olmak üzere şirketin ticari faaliyetlerinde herhangi bir maddi kesinti yaşanmadığını söylüyor.
Fortra’nın GoAnyWhere yönetilen dosya aktarım yazılımı, şirket tarafından 1 Şubat’ta yayınlanan bir güvenlik uyarısına konu oldu. Siber Güvenlik ve Altyapı Güvenliği Ajansı, dokuz gün sonra güvenlik açığından yararlanılan bilinen güvenlik açıkları kataloğuna dahil etti.
CISA, GoAnyWhere kusurunun “saldırgan tarafından kontrol edilen rastgele bir nesnenin seri durumundan çıkarılması nedeniyle Lisans Yanıt Sunucu Uygulamasında ön kimlik doğrulama komut ekleme güvenlik açığı” içerdiğini açıklıyor. Fortra, 6 Şubat’ta 7.1.2 sürümünün yayınlanmasıyla sorun için bir yama yayınladı.
Geçen hafta fidye yazılımı grubu Clop, 130 farklı kuruluş tarafından kullanılan ağları ihlal etmek için GoAnyWhere güvenlik açığından yararlandığını iddia etti (bkz.: Clop Ransomware İddiaları Yaygın GoAnyWhere MFT İstismarları).
Güvenlik uzmanları, yazılımın yönetici konsolunda bulunan Fortra GoAnyWhere kusurunun, kimlik doğrulaması yapılmadan veya başka bir şekilde konsolda oturum açmadan yararlanılabileceğini ve saldırganların sunuculara kabuk erişimi verdiğini bildiriyor. Yazılım için 1.000’den fazla yönetici bağlantı noktasının internete açık kaldığı ve istismar edilme riski altında olduğu bildiriliyor.
CHS, güvenlik olayıyla ilgili ayrıntılar için Information Security Media Group’u Fortra’ya yönlendirdi, ancak satıcı yorum ve açıklama talebine hemen yanıt vermedi.
Üçüncü Taraf Riski
CHS’nin ihlali, üçüncü taraf tedarikçilerin dahil olduğu, giderek artan önemli sağlık verileri güvenlik olayları listesinden biridir. Ancak gizlilik ve güvenlik danışmanlığı The Marblehead Group başkanı Kate Borten, Fortra’nın güvenli dosya aktarım yazılımının dahil edilmesinin özellikle endişe verici olduğunu söylüyor.
“Güvenli aktarım ürünlerinin özel işlerini yapmasını ve güvenli olmayan ağlar üzerinden aktarım sırasında PHI’mızı korumasını bekliyoruz” diyor. Yeni keşfedilen bir açıktan yararlanan sıfır gün saldırısı, “güçlü güvenlik kontrollerine rağmen” milyonlarca hasta kaydını açığa çıkarabilir.
Gizlilik ve güvenlik danışmanlığı Clearwater’da danışmanlık hizmetleri başkan yardımcısı Anthony Martinez, güvenli dosya transferleri söz konusu olduğunda, şifreli iletimin “temel olduğunu” söylüyor.
“Güvenli dosya aktarım yazılımındaki önemli risk, gerçek dosya aktarımı değildir. Tipik olarak veri hacminin bulunduğu ePHI depolarına kimlik doğrulaması yapmak ve bunlara erişim elde etmek için kimlik bilgileridir. Sağlık hizmetlerinde günlük olarak kimlik bilgileri toplama girişimleri görüyoruz, ” diyor.
“Bu genellikle kuruluşlar içinde bir erişim yönetimi ve veri yönetişimi sorunudur” diyor. Varlıkların, hesapların en az ayrıcalıklı erişim için düzgün bir şekilde eklenmesini, çıkarılmasını ve yapılandırılmasını sağlamasının kritik olduğunu, çok faktörlü kimlik doğrulaması gerektirdiğini ve artık kullanılmayan dosya/klasörlerin kullanımdan kaldırıldığını söylüyor.
CHS’nin ihlal ifşasının ardından uzmanlar, GoAnyWhere’nin diğer sağlık sektörü kullanıcılarını, son sıfır gün güvenlik açığını gidermek için mevcut Fortra yamasını hızla uygulamaya çağırıyor.