Bu hafta, İskoçya Ulusal Sağlık Hizmeti’nin (NHS) bir bölümü, hizmetlerin aksamasına ve hasta ve çalışan verilerinin açığa çıkmasına neden olabilecek bir siber saldırıya uğradı. Bu arada bir araştırmacı, milyonlarca İrlanda vatandaşının, o ülkenin Sağlık Hizmeti Yöneticisinden (HSE) alınan COVID aşılama verilerini açığa çıkaran bir Salesforce yapılandırma hatasını açıkladı.

İrlanda Denizi üzerinde hızlı bir sıçramayla birbirinden ayrılan iki olay, devam eden olaya işaret ediyor. sağlık kuruluşlarının karşılaştığı zorluklar hastaların en hassas kişisel tanımlanabilir bilgilerinin (PII) ve kişisel sağlık bilgilerinin (PHI) korunmasında.

İrlanda’nın COVID Aşılama Portalında Salesforce Hatası

Aralık 2021’de COVID’in Omicron varyantının başlangıcı sırasında, AppOmni’nin SaaS güvenlik mühendisi Aaron Costello, İrlanda HSE’ye yönelik Salesforce tabanlı çevrimiçi aşı portalında ciddi bir yanlış yapılandırma keşfetti.

İçinde 14 Mart’ta yayınlanan bir blog yazısıbir gözetimin, HSE hastalarına ait düzenli, düşük düzeyli hesapların, sistemin aşı uygulamasıyla ilgili bilgilerin depolanmasından sorumlu kısmına benzeri görülmemiş bir erişime nasıl izin verdiğini açıkladı.

Söz konusu maruz kalan nesne, hastaların tam adlarını ve iğneleriyle ilgili tüm bilgileri içeriyordu: aşının markası, tarihi, yeri ve uygulandığı yer ve bunu kabul veya reddetmelerinin nedenleri.

Personele ait belgeler ve dahili BT sorunları ve süreçleriyle ilgili bilgiler de açığa çıkarıldı.

Costello, Dark Reading’e “SaaS platformlarındaki Salesforce yöneticileri ve güvenlik uygulayıcıları için yanlış yapılandırılmış izinlerin sonuçları konusunda bir anlayış eksikliği vardı” dedi. “Bu tür şeylerin mümkün olduğunun, düşük ayrıcalıklı bir kullanıcının bu verileri alıyor olabileceğinin tam olarak farkında değillerdi.”

O zamandan beri Salesforce, bu tür hataları önlemek ve bundan kaynaklanabilecek sonuçları hafifletmek için bir dizi olumlu değişikliği kademeli olarak uygulamaya koydu. Yerleşik bir sağlık tarayıcısı, müşterilerin ortamlarındaki bu tür güvenlik açıklarını ortaya çıkarmaya çalışır ve daha güçlü günlük kaydı, yöneticilerin, özellikle potansiyel olarak hassas API’lerle etkileşimde olduklarında kullanıcıların etkinliklerini daha iyi analiz etmelerine olanak tanır. Ayrıca yeni politikalar ve yapılandırmalar, yanlış yapılandırmalar nedeniyle açığa çıksalar bile hassas bilgileri gizlemeye çalışır.

“Dolayısıyla, yalnızca günlük analizinin ihlal sonrası sürecini iyileştirmekle kalmadılar, aynı zamanda yöneticilerin bu sorunları sağlık tarayıcısıyla kolayca tespit edebileceği ve aynı zamanda veri kapsamını azaltarak risklerin kapsamını azaltabilecekleri yöntemler de sundular. Belirli senaryolarda kullanılabilir hale geliyor” diyor Costello.

Ancak kendisi şu uyarıda bulunuyor: “Bugüne kadar bu tür erişim kontrollerini yanlış yapılandıran pek çok kuruluş var. Ben hâlâ sektörde bir bilgi açığı olduğunu düşünüyorum ve sorunun bir kısmı da şu: Erişim kontrollerinden kim sorumlu? SaaS platformlarının güvenliği? Platform yöneticileri mi? Bu şeyler denetim yapmak üzere görevlendirilirken güvenlik ekibinizi de çağırıyor musunuz?”

İskoçya’nın NHS İhlali

Bu hafta ayrıca NHS Dumfries ve Galloway bir uyarı yayınladı “odaklı ve devam eden” bir siber saldırı yaşadığını ortaya koyuyor.

Dumfries ve Galloway, yaklaşık 150.000 nüfusuyla İskoçya’nın en güneydeki konsey bölgesidir.

İhlal sonucunda bazı hizmetlerde kesinti yaşanabileceği ve saldırganların hastalara ve personele ait “önemli miktarda veriyi” ele geçirebileceği uyarısında bulunuldu. İhlalin nedeni, niteliği ve sonuçlarına ilişkin daha spesifik ayrıntılar henüz kamuya açıklanmadı.

İster İskoçya’da bir ihlal olsun, ister İrlanda’da gözden kaçan bir sistem yanlış yapılandırması olsun, Costello şunları söylüyor: “Bence hepsi bütçeye ve finansmana geri dönüyor. Bunun sonucu ise öncelikle bu kuruluşlarda siber güvenlik pozisyonları için personel yetersizliğidir. Bu çok büyük, çok büyük bir sorun.

“Çok sınırlı bir bütçe ve çok kısıtlı bir personel sayısı altında çalışan bu kuruluşların çalışanlarını tek başına suçlayamayız. Ellerindeki kaynaklarla ellerinden gelenin en iyisini yapıyorlar.”



siber-1