Sağlık Hizmetleri, Olay ve İhlallere Müdahale, Sektöre Özel
Araştırmacı, Laboratuvar Yanıt Veremediğinde Yapılandırma Sorununu Bulut Satıcısına Bildirdi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Ocak 2024
Hazineyi keşfeden bir güvenlik araştırmacısı, Hollanda merkezli bir tıbbi laboratuvara ait gibi görünen güvenli olmayan bir veri tabanının, aralarında COVID test sonuçları ve diğer kişisel kimlik bilgilerinin de bulunduğu internetteki 1,3 milyon kaydı açığa çıkardığını söyledi.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak İçin Davranış Analitiğinde Yapay Zeka ve Makine Öğrenimi Nasıl Kullanılır?
Güvenlik tedarikçisi vpnMentor’da araştırmacı ve güvenlik hizmetleri firması Security Discovery’nin kurucu ortağı Jeremiah Fowler, Pazartesi günü yayınlanan bir raporda, şifre koruması olmayan veritabanının, sahibi olduğu Coronalab.eu’nun adı ve logosuyla işaretlenmiş belgeler içerdiğini söyledi. Amsterdam merkezli bir tıbbi laboratuvar olan Microbe & Lab tarafından.
Fowler, veritabanındaki yaklaşık 1,3 milyon açığa çıkan kaydın 118.441 sertifika, 506.663 randevu, 660.173 test örneği ve az sayıda dahili uygulama dosyası içerdiğini söyledi.
Araştırmacı, sızdırılan COVID test kayıtlarının hasta adlarını, uyruğunu, pasaport numarasını ve test sonuçlarının yanı sıra yapılan testin fiyatını, yerini ve türünü de içerdiğini söyledi.
Veritabanında ayrıca binlerce QR kodu ve yüzlerce .csv Randevu ayrıntılarını ve hasta e-posta adreslerini gösteren dosyalar olduğunu söyledi. “Kişisel veriler ve e-postalar açığa çıktığında, siber suçlular bu bilgileri istismar etmeye çalışabilir veya dahili bilgileri kullanarak veya bir laboratuvar çalışanı gibi davranarak hedefli kimlik avı kampanyaları başlatabilir.”
Fowler, açığa çıkan veri tabanını bulduktan sonra birkaç hafta boyunca e-posta ve telefon yoluyla Microbe & Lab ile iletişime geçmeye çalıştığını ve keşfiyle ilgili çok sayıda sorumlu açıklama bildirimi gönderdiğini ancak yanıt alamadığını söyledi.
Fowler, Information Security Media Group’a “Hiç cevap vermediler ve veri tabanı ben bunu ilk bildirdikten sonra neredeyse iki hafta boyunca açığa çıktığı için adresini bulabildiğim herkese takip e-postaları gönderdim” dedi. “Belirtilen numarayı bile aradım ve yönetmen olduğu söylenen biriyle konuştum ama o kişi beni ciddiye almadı ve söylediklerimden rahatsız görünüyordu.”
Araştırmacı, veritabanını barındıran Google ile iletişime geçene kadar veriler açıkta kaldı. Fowler, ISMG’ye Google’ın “yalnızca hizmetleri sağladığını ve yanlış yapılandırmanın kullanıcı tarafından yapıldığını” söyledi.
“Barındırma sağlayıcısı, arka uçta erişim için değişiklikler yapabilir ve müşterilerinin adlarına ve doğrudan iletişim bilgilerine sahiptir, böylece güvenlik araştırmacılarının ulaşamadığı durumlarda onlara ulaşabilirler.”
Araştırmacı, veri tabanının keşfinden önce ne kadar süreyle açığa çıktığını bilmediğini söyledi, “ancak salgının zirvesinden bu yana açığa çıkması ve bir şekilde bu kadar uzun süre fark edilmemesi şok edici olurdu.
“Sanırım bu belgelerin tıbbi hastaların erişimine açık olması gerekiyordu, böylece sunucuda barındırıldılar ve daha sonra bir web tarayıcısında, e-postada veya uygulamada görüntülenebildiler” dedi. “Bu süreçte, yanlışlıkla tüm veritabanını açık bıraktılar; birisinin dosya yolunu bilmesi durumunda tüm veritabanını görebileceğinin farkına varmadılar.”
Fowler, geçtiğimiz yıl 12 milyondan fazla kayıt içeren Hindistan merkezli bir tıbbi laboratuvarın güvenli olmayan veri tabanı da dahil olmak üzere, sağlık hizmetleri ve diğer hassas verileri içeren, yıllar içinde açığa çıkmış bir dizi veri tabanı buldu. Bu durumda, Redcliffe Labs adlı varlık, Fowler’ın şirketle iletişime geçmesinin ardından veritabanını derhal güvence altına aldı, dedi (bkz: 12 Milyon Hastanın Tıbbi Kayıtları ve Diğer Veriler İnternette Açığa Çıktı).
Ancak son zamanlarda Coronalab veri tabanının açığa çıkması özellikle Fowler’ı endişelendiriyordu. ISMG’ye “Neredeyse üç yıldır KOVID verilerini arıyorum ve ilk kez güvenli olmayan veritabanlarında COVID ile ilgili herhangi bir belgenin ifşa edildiğini görüyorum” dedi.
“Yıllar boyunca çok sayıda tıbbi kayıt buldum, ancak hiçbiri testlerin normal bir yaşam sürdürmek için neredeyse istemsiz olduğu COVID döneminin kaosuyla karşılaştırılamaz. Verilerimizi ve kişisel olarak tanımlanabilir bilgilerimizi seyahat etme, etkinliklere katılma ve etkinliklere katılma özgürlüğü karşılığında takas ettik. daha fazlası. Test ve sağlık kurumları büyük miktarda veri akışına hazır olmayabilir” dedi.
“Pandemide test ve geliştirme için zaman lüksümüz yok. Veri güvenliği de dahil olmak üzere, COVID döneminden öğrenilecek birçok ders var.”
Sorumluluk Almak
Diğer uzmanlar, laboratuvar olayının, sağlık kuruluşlarının bazen belirli BT ve diğer ilgili sorumlulukları bulut hizmetleri firmaları gibi üçüncü taraflara devrettiğini ve ardından veri güvenliğiyle ilgili kendi görevlerini nasıl hafife aldığını gösterdiğini söylüyor.
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, “Bulut bilişim genellikle sağlık hizmeti sağlayıcılarının kendi başlarına sağlayabileceğinden daha fazla güvenlik koruması sunuyor” dedi.
Greene, “Fakat en güvenli kasa kapısı bile geceleri açık bırakılırsa pek bir işe yaramaz” dedi. “Bulut bilişimi kullanan kuruluşların, özellikle teknik yapılandırmalarla ilgili olarak kendilerine hangi sorumlulukların düştüğünü anlamaları ve bulut kaynaklarını uygun şekilde yapılandırmak ve bu yapılandırmaları düzenli olarak denetlemek için sistemler uygulamaya çalışmaları gerekiyor.”
Greenberg Traurig LLP hukuk firmasının düzenleyici avukatı Brad Rostolsky, yanlış yapılandırmaları içeren veri ihlallerinin ne yazık ki daha yaygın hale geldiğini söyledi. “Özellikle denetlenen kuruluşun bulut depolamanın güvenliğini kontrol ettiği durumlarda proaktif olmak önemlidir” dedi.
“Bu tür veritabanlarıyla ilişkili ayarları düzenli olarak kontrol etmek ve işleri ayrı ayrı izlemek için iki kişiden yararlanmak iyi bir çözümdür. İnsan hatası sıklıkla önemli ve kolayca önlenebilir durumların nedenidir ve ikinci bir çift göz bunu yapabilir.” harikalar” dedi Rostolsky.
Büyük sağlık verileri ihlallerine yol açan BT yanlış yapılandırmaları gibi aksilikler de sektör için sürekli tekrarlanan bir sorun olmuştur.
Bazı durumlarda, hasta verilerini internette ifşa eden yazılım veya diğer BT yanlış yapılandırmalarını içeren sağlık verileri ihlalleri, kuruluşların büyük düzenleyici para cezaları veya toplu dava uzlaşmaları ve bazen de her ikisini birden ödemesine neden oldu.
Geçtiğimiz Ekim ayında, Porto Riko merkezli takas odası Inmediata, yaklaşık 1,5 milyon kişinin hassas korunan sağlık bilgilerinin açığa çıkmasına neden olan bir kodlama hatası sonrasında Indiana başsavcısı tarafından başlatılan bir davayı çözüme kavuşturmak için 31 eyalet artı Porto Riko’ya 1,4 milyon dolar ödemeyi kabul etti. .
Inmediata olayına ilişkin bir soruşturma, bir kodlama kazasının, 16 Mayıs 2016’dan 15 Ocak 2019’a kadar iki web sayfasının Bingbot tarafından dizine eklenmesine izin verdiğini ve bu sayede bireylerin hassas bilgilerinin çevrimiçi arama motorları aracılığıyla görüntülenebilir ve indirilebilir hale geldiğini ortaya çıkardı.
Eyaletlerle yapılan anlaşmaya ek olarak Inmediata, aynı olayla ilgili olarak şirkete karşı açılan toplu dava davasının çözümü için 2022’de 1,1 milyon dolar ödedi (bkz: 33 Eyalet AG’si 3 Sağlık Verisi İhlali Davasını Çözdü).
Coronalab ve Microbe & Lab’in yer aldığı son veritabanı ifşasında Fowler, şirketin müşterilerinin, hastalarının veya yetkililerinin olay hakkında yerel düzenleyici gereklilikler veya veri koruma ve mahremiyeti düzenleyen Genel Veri Koruma Yönetmeliği kapsamında bilgilendirilip bilgilendirilmediğinin belirsiz olduğunu söyledi. Avrupa Birliği ve Avrupa Ekonomik Alanı içindeki bireyler.
Microbe & Lab, ISMG’nin Fowler’in Coronalab veri tabanını keşfetmesiyle ilgili yorum talebine hemen yanıt vermedi.