Bulut Güvenliği, Sağlık Hizmetleri, Sektöre Özel
Watchdog Denetimi HHS Çocuk ve Aile İdaresi'nde Güvenlik Açıkları Buldu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
2 Nisan 2024
Bir gözlemci kurumun raporuna göre, çocuklara ve ailelere yönelik finansman, eğitim ve diğer hizmetleri yöneten Sağlık ve İnsani Hizmetler Bakanlığı bölümü, bulut güvenlik kontrolleri ve uygulamalarındaki boşluklar nedeniyle hassas verileri yüksek riske atıyor.
Ayrıca bakınız: Bulut Analitiği ve Veri Maskeleme: Genel Bulutta Makine Öğreniminden En İyi Şekilde Yararlanmak
Pazartesi günü yayınlanan HHS Genel Müfettiş Ofisi raporu, HHS'nin Çocuklar ve Aileler İdaresi için siber güvenlik sistemlerine yönelik 2022 denetim ve penetrasyon testinde, bölümün tüm bulut bilişim varlıklarının doğru bir şekilde tanımlanamaması ve envanterinin oluşturulmaması da dahil olmak üzere çeşitli eksiklikler tespit edildiğini söylüyor.
HHS OIG, “Bu, ACF'nin bulut bilgi sistemi bileşenlerinin envanterini çıkarmak ve izlemek için politika ve prosedürler oluşturmamasından kaynaklandı” dedi.
“ACF, bileşenlerinin envanterini doğru bir şekilde çıkarmazsa, bunları yeterince güvence altına alacak kontrollerin uygulanmasını gözden kaçırabilir. Sonuç olarak, siber saldırıya açık, güncel olmayan, yanlış yapılandırılmış veya yama yapılmamış web siteleri, ACF'nin bilgi işlem ortamında haberi olmadan var olabilir. ”
“Bu, refakatsiz çocukların kayıtları gibi kişisel olarak tanımlanabilir bilgiler de dahil olmak üzere, hassas verileri tehlikeye atacak şekilde sistem komutlarının yetkisiz olarak değiştirilmesine ve yürütülmesine yol açabilir. Ayrıca, bu bileşenlerden kaynaklanan bir tehdidi veya tehlike göstergesini tespit etme yeteneği sınırlı olabilir ve potansiyel olarak bir kötü aktörün ağda yer edinmesine ve diğer bileşenlere saldırmasına veya tehlikeye atmasına neden olabilir.”
HHS OIG ayrıca, ACF'nin bulut bilgi sistemlerini korumak için bazı güvenlik kontrolleri uygulamış olmasına rağmen, “bulut bilgi sistemlerini korumak için federal gereksinimler ve yönergelere uygun olarak diğer bazı güvenlik kontrollerini etkili bir şekilde uygulamadığını” tespit etti.
Genel olarak HHS OIG, ACF bulut bilgi sistemleri için federal gerekliliklere uyum sağlamak üzere iyileştirilmesi gereken 19 güvenlik kontrolü bulduğunu söyledi. “Testlerimiz sırasında, hassas verilere erişmek ve bulut bileşenlerinin yetkisiz kontrolünü elde etmek amacıyla ek sistem ayrıcalıkları elde etmek için belirli güvenlik açıklarından yararlanmayı başardık. En kritik bulgular, hassas bilgilerin kasıtsız olarak açığa çıkması ve kamuya açık girişlerin etkili bir şekilde doğrulanmaması ile ilgiliydi. web siteleri.”
HHS OIG, ACF'nin, denetimin keşfettiği güvenlik açıklarını proaktif olarak belirlemek için sistemlerine karşı yeterli bulut ve web uygulaması teknik test teknikleri uygulamadığını söyledi. Raporda “Sonuç olarak, belirli sistemlerde barındırılan ACF verileri potansiyel olarak yüksek risk altında olabilir” deniyor.
HHS OIG raporla ilgili ayrı bir açıklamada, “Bulut varlıklarının doğru bir şekilde envanterinin çıkarılmaması ve sağlam güvenlik kontrollerinin uygulanmaması, yalnızca hassas verileri tehlikeye atmakla kalmıyor, aynı zamanda kurumun hayati bilgileri koruma becerisine olan kamu güvenini de baltalıyor.” dedi.
HHS OIG, ACF verilerinin potansiyel olarak tehlikeye atılmasının, bu güvenlik açıklarını hızlı ve etkili bir şekilde ele almanın kritik önemini vurguladığını söyledi.
HHS OIG, “Hassas verilerin koruyucuları olarak, bilgi sistemlerinin bütünlüğünün ve güvenliğinin sağlanması devlet kurumları için çok önemlidir. Bu rapor, siber güvenlik savunmalarını güçlendirmek ve gelişen tehditlerin oluşturduğu riskleri azaltmak için proaktif önlemlerin alınması zorunluluğunu vurgulayan bir açık çağrı görevi görmektedir.” söz konusu.
HHS OIG'ye göre ACF, ACF misyonuyla ilgili belirli bilgileri işlemek, depolamak veya iletmek için bulut hizmet modellerini kullanıyor. Denetim sırasında ACF, bilgi sistemlerinin yaklaşık %62'sini bulut hizmet sağlayıcılarında barındırdı.
Raporda yer alan 15 Şubat tarihli bir yazışmada ACF, HHS OIG'nin güvenlik zayıflıklarını azaltmaya yönelik beş tavsiyesini kabul ettiğini ve izleme kurumu tarafından dile getirilen bazı sorunları halihazırda ele almaya başladığını söyledi.
HHS OIG'nin ACF'ye tavsiyeleri şunlardır:
- Bulutta barındırılan bilgi sistemlerinin tam ve doğru envanterini güncelleyin ve sürdürün.
- 19 güvenlik kontrolü bulgusunu NIST SP 800-53'e uygun olarak düzeltin.
- Bulut güvenliği prosedürlerini, operasyonel personelin HHS gereksinimlerine uygun olarak bulut güvenliği temellerini etkili bir şekilde uygulamasına yönelik ayrıntılı adımları içerecek şekilde güncelleyin.
- Bulut altyapısındaki yanlış yapılandırmaları ve zayıf siber güvenlik kontrollerini belirlemek için bulut güvenliği değerlendirme araçlarından yararlanın.
- Bir düşmanın taktik ve tekniklerinin belirli bir tekrarlanan temelde emülasyonunu içeren bulut bilgi sistemlerinin testini gerçekleştirin.
ACF, Bilgi Güvenliği Medya Grubu'nun rapora ilişkin yorum talebine hemen yanıt vermedi.