Maaliskuun lopussa Advanced Computer Software Group sai hieman yli 3 miljoonan punnan sakot Ison-Britannian tietosuojaviranomaisen toimesta. Useat IT-palveluntarjoajan tietoturvaongelmat johtivat lähes 80,000 XNUMX ihmisen henkilötietojen vaarantumiseen ja vaaransivat haavoittuvien henkilöiden fyysisen turvallisuuden.

Kyseisen tytäryhtiön, Advanced Health and Caren (AHC), olisi pitänyt tietää paremmin. Mutta sen puutteet eivät ole harvinaisia. Se yksinkertaisesti jäi epäonnekkaasti kiinni sen jälkeen, kun kiristysohjelmatoimijat kohdistivat toimintansa NHS:n toimittajaan. Kysymys kuuluu, miten muut organisaatiot voivat välttää saman kohtalon. Onneksi monet vastaukset löytyvät tietosuojavaltuutetun toimiston (ICO) äskettäin julkaisemasta yksityiskohtaisesta rangaistusilmoituksesta.

Mikä meni vikaan?

AHC tarjoaa terveydenhuollon asiakkaille, mukaan lukien kansalliselle terveyspalvelulle (NHS), useita kriittisiä palveluita, mukaan lukien potilashallintaohjelmistoja, sähköisiä potilastietoja, kliinistä päätöksentukea, hoitosuunnittelua ja työvoimanhallintaa. Se tukee myös NHS 111 -palvelua kiireellistä terveydenhuoltoneuvontaa varten.

Vaikka osa ICO:n rangaistusilmoituksen tiedoista on poistettu, voimme koota karkean aikajanan kiristysohjelmahyökkäykselle.

  1. 2. elokuuta 2022 uhkatoimija kirjautui AHC:n Staffplan-järjestelmään Citrix-tilin kautta käyttäen vaarantunutta salasana-käyttäjätunnus-yhdistelmää. Ei ole selvää, miten nämä tunnistetiedot saatiin.
  2. Sisällä he suorittivat tiedoston hyödyntääkseen kaksi vuotta vanhaa ”ZeroLogon”-ohjelmaa. alttius jota ei ollut korjattu. Näin he pystyivät laajentamaan oikeuksiaan verkkotunnuksen järjestelmänvalvojan tilille asti.
  3. Uhkatoimija käytti sitten näitä oikeuksia siirtyäkseen sivusuunnassa verkkotunnusten välillä, poistaakseen virustorjunnan käytöstä ja suorittaakseen lisätiedustelua. He siirtyivät myös AHC:n pilvitallennus- ja tiedostojen isännöintipalveluihin ja latasivat "infrastruktuurin hallintatyökalut" mahdollistaakseen tietojen vuotamisen.
  4. Vastustajat asensivat kiristyshaittaohjelmia 395 päätepisteeseen ja varastivat 19 Gt dataa, pakottaen Advancedin poistamaan käytöstä yhdeksän keskeistä ohjelmistotarjousta – joista kolme varotoimenpiteenä.

Keskeiset turvallisuusaukot

ICO:n tutkimuksessa paljastuneet kolme tärkeintä tietoturvaongelmaa olivat seuraavat:

Haavoittuvuuden tarkistus: ICO ei löytänyt todisteita siitä, että AHC olisi suorittanut säännöllisiä haavoittuvuusskannauksia – koska sen olisi pitänyt ottaa huomioon sen hallinnoimien palveluiden ja datan arkaluontoisuus sekä se, että hallitus on luokitellut terveydenhuoltoalan kriittiseksi kansalliseksi infrastruktuuriksi (CNI). Yritys oli aiemmin ostanut haavoittuvuusskannaus-, verkkosovellusskannaus- ja käytäntöjen noudattamisen työkaluja, mutta oli suorittanut vain kaksi skannausta tietomurron aikaan.

AHC suoritti kynätestausta, mutta ei seurannut tuloksia, koska uhkatoimijat käyttivät myöhemmin hyväkseen testeissä paljastuneita haavoittuvuuksia, ICO sanoi. GDPR:n mukaisesti ICO arvioi, että tämä näyttö osoitti, että AHC ei ollut "toteuttanut asianmukaisia ​​teknisiä ja organisatorisia toimenpiteitä varmistaakseen käsittelyjärjestelmien ja -palveluiden jatkuvan luottamuksellisuuden, eheyden, saatavuuden ja sietokyvyn".

Patch-hallinta: AHC kyllä ​​korjasi ZeroLogonin, mutta ei kaikkiin järjestelmiin, koska sillä ei ollut "kypsää korjauspäivitysten validointiprosessia". Itse asiassa yritys ei pystynyt edes vahvistamaan, oliko vika korjattu kyseisellä palvelimella, koska sillä ei ollut tarkkoja tietoja viitteenä.

Riskienhallinta (MFA): Staffplan Citrix -ympäristössä ei ollut käytössä monivaiheista todennusta (MFA). Koko AHC-ympäristössä käyttäjillä oli MFA-vaihtoehtona kirjautumiseen vain kahteen sovellukseen (Adastra ja Carenotes). Yrityksellä oli MFA-ratkaisu, jota testattiin vuonna 2021, mutta sitä ei ollut otettu käyttöön, koska suunnitelmissa oli korvata tiettyjä vanhoja tuotteita, joihin Citrix tarjosi pääsyn. ICO:n mukaan AHC mainitsi asiakkaiden haluttomuuden ottaa ratkaisua käyttöön toisena esteenä.

Mikä oli vaikutus?

ICO:n määräämälle huomattavalle sakolle on syynsä. Sakkoa alennettiin vielä korkeammasta 6.1 miljoonasta punnasta sen jälkeen, kun Advanced oli "ennakoivasti yhteydessä" viranomaisiin ja suostui vapaaehtoiseen sovintoon. Yksinkertaisesti sanottuna tietomurto vaaransi monien syyttömien rekisteröityjen digitaalisen ja fyysisen turvallisuuden ja esti keskeisiä palveluita toimimasta viikoiksi. Tarkemmin sanottuna:

  • Uhkatoimijat varastivat tietoja 79,404 XNUMX henkilöltä, joista lähes puolelta oli otettu erityisluokkiin kuuluvia tietoja. Näihin kuuluivat potilastiedot, NI-numerot, tiedot uskonnollisista vakaumuksista, työllisyydestä ja demografiset tiedot.
  • Tähän erityisluokkaan kuuluviin tietoihin sisältyi tietoja siitä, miten 890 kotihoitoa saavan rekisteröidyn kotiin pääsi sisään.
  • Seuraava palvelukatkos vaikutti 658 asiakkaaseen, mukaan lukien NHS:ään, ja jotkin palvelut olivat poissa käytöstä jopa 284 päivää. Laajalle levinneiden mukaan raportoi tuolloinkriittisessä NHS 111 -palvelussa oli merkittäviä häiriöitä, ja yleislääkärien vastaanotot joutuivat käyttämään kynää ja paperia.

Saman kohtalon välttäminen

”Tämänpäiväinen päätös on karu muistutus siitä, että organisaatioista voi tulla seuraava kohde ilman vankkoja turvatoimia”, sanoi tiedotuskomissaari John Edwards sakon julkistamisen aikaan. Mitä ICO:n mielestä sitten pidetään ”vankkana”? Sakkoilmoituksessa viitataan NCSC:n neuvoihin, Cyber ​​Essentialsiin ja ISO 27002 -standardiin – jälkimmäinen tarjoaa keskeisiä ohjeita ISO 27001 -standardin edellyttämien valvontatoimien toteuttamiseen.

Tarkemmin sanottuna siinä viitataan standardiin ISO 27002:2017, jonka mukaan: ”tiedot käytettävien tietojärjestelmien teknisistä haavoittuvuuksista tulee hankkia ajoissa, organisaation altistuminen tällaisille haavoittuvuuksille tulee arvioida ja ryhdytään asianmukaisiin toimenpiteisiin niihin liittyvän riskin hallitsemiseksi.”

NCSC kehottaa suorittamaan haavoittuvuusskannauksia vähintään kerran kuukaudessa, kuten Advanced ilmeisesti tekikin yritysympäristössään. ICO korosti myös, että pelkkä penetraatiotestaus ei riitä, varsinkaan silloin, kun se suoritetaan ad hoc -periaatteella, kuten AHC:ssä.

Lisäksi ISO 27001:2022 suosittelee nimenomaisesti MFA:ta Liite A turvallisen todennuksen saavuttamiseksi "tiedon ja verkon tyypistä ja arkaluontoisuudesta" riippuen.

Kaikki tämä viittaa siihen, että ISO 27001 on hyvä lähtökohta organisaatioille, jotka haluavat vakuuttaa sääntelyviranomaisille, että niillä on asiakkaidensa etu etusijalla ja että sisäänrakennettu turvallisuus on ohjaava periaate. Itse asiassa se menee paljon pidemmälle kuin kolme edellä mainittua aluetta, jotka johtivat AHC-tietomurtoon.

Ratkaisevasti se antaa yrityksille mahdollisuuden luopua ad hoc -toimenpiteistä ja hallita tietoturvariskejä systeemisesti organisaation kaikilla tasoilla. Tämä on hyviä uutisia kaikille organisaatioille, jotka haluavat välttää itse nousemasta seuraavaksi edistyneeksi toimittajaksi tai ottaa käyttöön toimittajan, kuten AHC:n, jonka tietoturva on heikkotasoinen. Standardi auttaa vakiinnuttamaan selkeät tietoturvavelvoitteet toimitusketjun riskien lieventämiseksi.

Kasvavien riskien ja toimitusketjujen monimutkaisuuden maailmassa tästä voisi olla korvaamatonta hyötyä.