בסוף מרץ, קבוצת תוכנות מחשב מתקדמות נקנס בקצת יותר מ-3 מיליון ליש"ט על ידי הרגולטור להגנת המידע של בריטניה. כשלי אבטחה מרובים אצל ספק שירותי ה-IT הובילו לפגיעה במידע אישי של כמעט 80,000 איש והעמידו את ביטחונם הפיזי של אנשים פגיעים בסיכון.
חברת הבת המדוברת, Advanced Health and Care (AHC), הייתה צריכה לדעת טוב יותר. אבל כשלים שלה אינם נדירים. היא פשוט הייתה חסרת מזל מספיק כדי להתגלות לאחר שגורמי כופר כיוונו את הספק של שירות הבריאות הלאומי (NHS). השאלה היא כיצד ארגונים אחרים יכולים להימנע מאותו גורל. למרבה המזל, רבות מהתשובות טמונות בהודעת הקנס המפורטת שפורסמה לאחרונה על ידי משרד נציב המידע (ICO).
מה השתבש?
AHC מציעה מגוון שירותים קריטיים ללקוחות שירותי בריאות, כולל שירות הבריאות הלאומי, כולל תוכנה לניהול מטופלים, רישומי מטופלים אלקטרוניים, תמיכה בקבלת החלטות קליניות, תכנון טיפול וניהול כוח אדם. היא תומכת גם בשירות NHS 111 לייעוץ רפואי דחוף.
למרות שחלק מהמידע בהודעת העונש של ה-ICO הוסרה, אנו יכולים להרכיב ציר זמן משוער למתקפת הכופר.
- ב-2 באוגוסט 2022, גורם איום התחבר למערכת Staffplan של AHC דרך חשבון Citrix באמצעות שילוב של סיסמה ושם משתמש שנחשף. לא ברור כיצד הושגו אישורים אלה.
- ברגע שנכנסו פנימה, הם הפעילו קובץ כדי לנצל את ה-"ZeroLogon" בן השנתיים. פגיעות אשר לא תוקן. פעולה זו אפשרה להם להעלות את ההרשאות לחשבון מנהל דומיין.
- לאחר מכן, גורם האיום השתמש בהרשאות אלו כדי לנוע לרוחב בין דומיינים, לכבות את הגנת האנטי-וירוס ולבצע סיור נוסף. הם גם עברו לשירותי אחסון הענן ואירוח הקבצים של AHC והורידו "כלי עזר לניהול תשתיות" כדי לאפשר חילוץ נתונים.
- היריבים פרסו תוכנות כופר ב-395 נקודות קצה וגנבו 19 ג'יגה-בייט של נתונים, מה שאילץ את Advanced להוריד תשע הצעות תוכנה מרכזיות מהרשת - שלוש מהן כאמצעי זהירות.
פערי האבטחה המרכזיים
שלושת כשלי האבטחה העיקריים שנחשפו בחקירת ה-ICO היו כדלקמן:
סריקת פגיעות: ה-ICO לא מצאה ראיות לכך ש-AHC ביצעה סריקות פגיעויות באופן קבוע - כפי שהיה ראוי להן בהתחשב ברגישות השירותים והנתונים שניהלה ובעובדה שמגזר הבריאות מסווג כתשתית לאומית קריטית (CNI) על ידי הממשלה. החברה רכשה בעבר כלי סריקת פגיעויות, סריקת אפליקציות אינטרנט וכלים לתאימות למדיניות, אך ביצעה רק שתי סריקות בזמן הפריצה.
AHC אכן ביצעה בדיקות עט אך לא עקבה אחר התוצאות, שכן גורמי האיום ניצלו מאוחר יותר פגיעויות שנחשפו בבדיקות, מסרה ה-ICO. בהתאם לתקנת ה-GDPR, ה-ICO העריכה כי ראיות אלו מוכיחות כי AHC נכשלה "ביישום אמצעים טכניים וארגוניים מתאימים כדי להבטיח את שלמות הסודיות המתמשכת, הזמינות והחוסן של מערכות ושירותי עיבוד".
ניהול תיקון: AHC אכן תיקנה את ZeroLogon, אך לא בכל המערכות, מכיוון שלא היה לה "תהליך אימות תיקונים בוגר". למעשה, החברה אפילו לא יכלה לאמת האם הבאג תוקן בשרת שנפגע, מכיוון שלא היו לה רשומות מדויקות להתייחס אליהן.
ניהול סיכונים (MFA): לא היה קיים אימות רב-גורמי (MFA) בסביבת Staffplan Citrix. בכל סביבת AHC, למשתמשים הייתה MFA רק כאפשרות להתחברות לשתי אפליקציות (Adastra ו-Carenotes). לחברה היה פתרון MFA, שנבדק בשנת 2021, אך הוא לא הושק עקב תוכניות להחליף מוצרים מדור קודם מסוימים שאליהם סיפקה Citrix גישה. ה-ICO מסר כי AHC ציינה את חוסר הנכונות של הלקוחות לאמץ את הפתרון כמחסום נוסף.
מה הייתה ההשפעה?
יש סיבה לכך ש-ICO הטילה קנס כה גדול, אשר הופחת מסכום גבוה עוד יותר של 6.1 מיליון ליש"ט לאחר "מעורבות פרואקטיבית" של Advanced עם הרשויות והסכמתה להסדר מרצון. במילים פשוטות, הפריצה סיכנה את הבטיחות הדיגיטלית והפיזית של נושאי מידע רבים ללא אשמה והוציאה שירותים מרכזיים מהאינטרנט למשך שבועות רצופים. באופן ספציפי:
- גורמי איום גנבו מידע על 79,404 אנשים, כמעט מחציתם נלקחו נתונים מקטגוריות מיוחדות. אלה כללו רשומות רפואיות, מספרי ביטוח לאומיים, מידע על אמונות דתיות, תעסוקה ופרטים דמוגרפיים.
- נתונים מקטגוריה מיוחדת זו כללו פרטים על אופן הכניסה לבתיהם של 890 נושאי נתונים שקיבלו טיפול ביתי.
- הפסקת שירות לאחר מכן השפיעה על 658 לקוחות, כולל שירות הבריאות הלאומי (NHS), כאשר חלק מהשירותים לא היו זמינים עד 284 ימים. על פי נתונים נרחבים דוחות באותה עת, הייתה שיבוש משמעותי לשירות הקריטי של NHS 111, ומרפאות רופאי משפחה נאלצו להשתמש בעט ונייר.
הימנעות מאותו גורל
"ההחלטה של היום היא תזכורת חדה לכך שארגונים מסתכנים להפוך למטרה הבאה ללא אמצעי אבטחה חזקים", אמר נציב המידע ג'ון אדוארדס בעת פרסום הקנס. אז מה נחשב "חזק" לדעת ה-ICO? הודעת הקנס מצטטת את ייעוץ NCSC, Cyber Essentials ו-ISO 27002 - האחרון מספק הנחיות מרכזיות ליישום הבקרות הנדרשות על ידי ISO 27001.
באופן ספציפי, הוא מצטט את תקן ISO 27002:2017 הקובע כי: "יש להשיג מידע על נקודות תורפה טכניות של מערכות מידע בשימוש במועד, להעריך את חשיפת הארגון לפגיעויות כאלה ולנקוט באמצעים מתאימים כדי להתמודד עם הסיכון הנלווה."
ה-NCSC ממליצה לבצע סריקות פגיעויות לפחות פעם בחודש, כפי ש-Advanced ככל הנראה עשתה בסביבתה הארגונית. ה-ICO גם הטיחה לציין שבדיקות חדירה לבדן אינן מספיקות, במיוחד כאשר הן מבוצעות בצורה אד-הוק כמו AHC.
בנוסף, ISO 27001:2022 ממליץ במפורש על MFA בתקן שלו נספח א כדי להשיג אימות מאובטח, בהתאם ל"סוג ורגישות הנתונים והרשת".
כל זה מצביע על תקן ISO 27001 כנקודת התחלה טובה עבור ארגונים המעוניינים להרגיע את הרגולטורים שהם דואגים לאינטרסים של לקוחותיהם וכי אבטחה מובנית היא עיקרון מנחה. למעשה, הוא חורג הרבה מעבר לשלושת התחומים שהודגשו לעיל, שהובילו לפריצת AHC.
חשוב לציין, שזה מאפשר לחברות לוותר על אמצעים אד-הוק ולאמץ גישה מערכתית לניהול סיכוני אבטחת מידע בכל הרמות של הארגון. אלו חדשות טובות לכל ארגון שרוצה להימנע מלהפוך ל-Advanced הבא בעצמו, או לקחת על עצמו ספק כמו AHC עם רמת אבטחה נמוכה. עוזר להקים התחייבויות אבטחת מידע ברורות כדי להפחית סיכונים בשרשרת האספקה.
בעולם של סיכון גובר ומורכבות שרשרת האספקה, זה יכול להיות בעל ערך רב.
