Šifrēšana nebūtu apturējusi himnas datu pārkāpumu

Nesenais datu pārkāpums veselības apdrošināšanas uzņēmumā Anthem liecināja, ka noziedznieki piekļuva vairāk nekā 80 miljonu cilvēku personas datiem un sociālās apdrošināšanas numuriem, kas ir līdz šim lielākā veselības aprūpes datu zādzība. Medicīniskie un maksājumu dati netika apdraudēti, taču noziedznieki var izmantot vārdus, adreses, dzimšanas dienas un sociālās apdrošināšanas numurus, lai veiktu dažāda veida krāpšanu.





Daudzi cilvēki ir pārsteigti, uzzinot, ka šie sensitīvie dati nav šifrēti un ka federālais pilnvarojums nodrošināt ar veselību saistītus datus (HIPAA) to nepieprasa. Faktiski HIPAA tikai ļoti veicina šifrēšanu. Organizācijām, kuras izvēlas neizmantot šifrēšanu, ir jādokumentē iemesli, kāpēc tas netiek izmantots, un jāievieš līdzvērtīgs alternatīvs pasākums, ja tas ir saprātīgi un piemēroti. Šīs prasības nekonkrētība ir pret Himnu ierosināto kolektīvo prasību un citu tiesas prāvu būtība.

Bet pat tad, ja Anthem būtu izmantojis šifrēšanu, dati joprojām varētu būt apdraudēti. Šifrēšana ir tikai viena daļa no arsenāla, kas organizācijām ir jāievieš, lai aizsargātu sensitīvus datus. Šifrēšana ir lieliski piemērota datu aizsardzībai pārvietošanas un atpūtas laikā, taču, ja tiek apdraudēti akreditācijas dati un atslēgas, tas maz aizsargā datus.

Lielākā problēma daudzos pārkāpumos ir tā, ka organizācijas nav pareizi ieviesušas datu piekļuves drošības kontroles. Viņiem ir jāievieš drošības pasākumi, ja uzbrucēji var apiet perimetra aizsardzību un apdraudēt administratora līmeņa akreditācijas datus.



Tieši tas notika ar Anthem, kurā teikts, ka tās uzbrucēji ieguvuši piekļuvi vismaz pieci darbinieka akreditācijas dokumentu komplekti .

Kibernoziedzniekiem ir smieklīgi viegli atrast informāciju, kas viņiem nepieciešama, lai apdraudētu gandrīz jebkuru organizāciju. Ar īsu Anthem darba sludinājumu un LinkedIn profilu apskatu man pietika, lai identificētu programmatūru, ko Anthem izmanto savā datu noliktavā.

No turienes es varētu viegli identificēt vairāk nekā 100 cilvēkus, piemēram, sistēmu arhitektus un datu bāzu administratorus, kuriem būtu priviliģēta piekļuve datu noliktavai, kurā glabājas desmitiem miljonu sensitīvu personas ierakstu. Iespējams, šī bija pirmā lieta, ko Anthem uzbrucēji izpētīja pirms pikšķerēšanas kampaņas, lai izplatītu ļaunprātīgu programmatūru, kas tika izmantota darbinieku akreditācijas datu iegūšanai.



Uzbrucējs, kurš var apdraudēt sistēmu, izmantojot tāda lietotāja akreditācijas datus, kuram ir administratora līmeņa piekļuve datu noliktavai, var viegli nozagt vairāk akreditācijas datu, atrast monetizējamu informāciju un izfiltrēt nešifrētus datus.

Tātad, kas organizācijām būtu jādara, lai aizsargātu sensitīvus klientu datus? Var iekļūt sarežģīti uzbrucēji, kuriem ir pietiekami daudz laika un resursu jebkura organizācija galu galā. Kibernoziedznieki pilnībā apzinās pastāvīgos kompromisus, ko organizācijas veic, lai līdzsvarotu drošību ar darbības efektivitāti, un viņi ir vairākkārt pierādījuši, ka spēj pilnībā izmantot pat niecīgas drošības nepilnības.

Himna nebūs pēdējā veselības aprūpes organizācija, kas cietusi no masveida pārkāpumiem. Tāpat kā mazumtirdzniecībā, mērķauditorija būs daudzas organizācijas, jo drošības nepilnības bieži tiek izplatītas visā nozarē. Veselības aprūpes organizācijām ir jāpārvērtē sava drošības prakse, ņemot vērā himnas pārkāpumu, lai nodrošinātu, ka tām ir piemērota drošības kontrole, lai aizsargātu savus tīklus.



Kens Vestins ir vecākais drošības analītiķis, kas specializējas kibernoziegumu un draudu izlūkošanā datoru drošības uzņēmumā Tripwire Inc .

paslēpties