Pasientenes personnummer er blitt kompromittert i forbindelse med et brudd på helsevesenets data
Folk har en tendens til å glemme at den viktigste oppgaven etter å ha oppdaget et datainnbrudd er å beskytte brukerens personvern. I stedet fokuserer de ofte på å finne ut hvem eller hva som er skylden for hendelsen. La oss ta denne tilnærmingen et øyeblikk og se hvem som er ansvarlig for bruddet som Missouri Health Care (MU Health Care) rapporterte forrige uke.
Table of Contents
MU Health Care-pasientene fikk tilgang til via kompromitterte e-postkontoer
For rundt åtte måneder siden viste det seg at noen studenter fra University of Missouri tilknyttet MU Health Care hadde fått e-postkontoer deres kompromittert. Det "uautoriserte individet" brøt først inn 19. september 2019, og selv om MU Health Care fikk vite om angrepet 21. september, ble ikke bruddet forseglet før 26. september.
Inne i studentenes innbokser fant cyberkriminelle ganske mye personlig informasjon som tilhørte MU Health Care-pasienter, inkludert navn, fødselsdato, helseforsikringsdata, "begrenset" behandling og klinisk informasjon, og "et lite antall" Social Security. tall. Angrepet ble fulgt av en lang undersøkelse der MU Health Care klarte å identifisere alle berørte pasienter. Av en eller annen grunn unnlater kunngjøringen imidlertid å nevne hvor mange som ble informert om.
MU Health Care: Det var et legitimt utstoppingsangrep
MU Health Care sin kunngjøring var rask til å påpeke at hackerne klarte å bryte seg inn på e-postkontoer på grunn av studentenes dårlige passordhåndteringsevner. I følge pressemeldingen hadde de kontoer hos en tredjepartstjeneste som ble brutt. På den nevnte tjenesten brukte de identiske brukernavn og passord som de som beskyttet e-postene deres, og hackerne utnyttet dette. De ble med andre ord rammet av et legitimt utstoppingsangrep.
MU Health Care prøver å forklare at systemene ikke ble kompromittert, og at den eneste grunnen til bruddet er studentenes passordbruk. Faktisk er hele konseptet med legitimasjonsstopp muliggjort av det faktum at folk bruker identiske passord for mange forskjellige tjenester, og dette er bare det siste fra en tilsynelatende uendelig rekke angrep som viser hvor ille konsekvensene av dette kan være.
Mange mennesker kan hoppe til konklusjonen at studentene er de eneste som er ansvarlige for dette bruddet. Litt kontekst kan imidlertid endre mening.
Dette er ikke det første bruddet for MU Health Care
I april 2019, flere måneder før denne hendelsen, led MU Health Care et veldig likt brudd. I så fall ble e-postkontoer til noen av organisasjonens ansatte kompromittert, og inne i dem fant hackerne personopplysningene til mer enn 14 tusen pasienter. Da den kunngjorde angrepet noen måneder senere, unnlot MU Health Care å si hvordan de kriminelle klarte å bryte seg inn, og den fortalte oss heller ikke hva slags tiltak den gjør for å beskytte pasienter mot lignende angrep.
Det kan virke logisk å innføre tofaktorautentisering (2FA) for tilknyttede e-postkontoer i kjølvannet av et slikt brudd. Noen vil kanskje til og med si at håndhevelse av det er det første skrittet mot bedre beskyttelse av pasientenes data. Dessverre bestemte MU Health Care seg for ikke å gjøre det, noe som er synd fordi det ville ha stoppet angrepet i september 2019 i sine spor.
