Aan die einde van Maart het Advanced Computer Software Group is beboet met net meer as £3 miljoen deur die VK se databeskermingsreguleerder. Verskeie sekuriteitsfoute by die IT-diensverskaffer het gelei tot die kompromie van persoonlike inligting van byna 80,000 XNUMX mense en het die fisiese veiligheid van kwesbare individue in gevaar gestel.

Die betrokke filiaal, Advanced Health and Care (AHC), moes beter geweet het. Maar hul tekortkominge is nie ongewoon nie. Dit was bloot ongelukkig genoeg om uitgevind te word nadat ransomware-akteurs die NHS-verskaffer geteiken het. Die vraag is hoe ander organisasies dieselfde lot kan vermy. Gelukkig lê baie van die antwoorde in die gedetailleerde boetekennisgewing wat onlangs deur die Inligtingskommissaris se Kantoor (ICO) gepubliseer is.

Wat het verkeerd gegaan?

AHC bied verskeie kritieke dienste aan gesondheidsorgkliënte, insluitend die nasionale gesondheidsdiens, insluitend sagteware vir pasiëntbestuur, elektroniese pasiëntrekords, kliniese besluitnemingsondersteuning, sorgbeplanning en werksmagbestuur. Dit ondersteun ook die NHS 111-diens vir dringende gesondheidsorgadvies.

Alhoewel sommige van die inligting in die ICO se strafkennisgewing geredigeer is, kan ons 'n rowwe tydlyn vir die ransomware-aanval saamstel.

  1. Op 2 Augustus 2022 het 'n bedreigingsakteur by AHC se Staffplan-stelsel aangemeld via 'n Citrix-rekening met 'n gekompromitteerde wagwoord/gebruikersnaam-kombinasie. Dit is onduidelik hoe hierdie aanmeldingsbewyse verkry is.
  2. Toe hulle binne was, het hulle 'n lêer uitgevoer om die twee jaar oue "ZeroLogon" te misbruik. kwesbaarheid wat nie opgedateer is nie. Deur dit te doen, kon hulle voorregte opskuif na 'n domeinadministrateurrekening.
  3. Die bedreigingsakteur het toe daardie voorregte gebruik om lateraal deur domeine te beweeg, antivirusbeskerming af te skakel en addisionele verkenning uit te voer. Hulle het ook na AHC se wolkberging en lêergasheerdienste oorgeskakel en "Infrastruktuurbestuurshulpprogramme" afgelaai om data-uitfiltrasie moontlik te maak.
  4. Die teenstanders het losprysware oor 395 eindpunte ontplooi en 19 GB data gesteel, wat Advanced gedwing het om nege sleutel sagteware-aanbiedinge vanlyn te neem – waarvan drie as 'n voorsorgmaatreël.

Die belangrikste sekuriteitsgapings

Die drie hoof sekuriteitsfoute wat deur die ICO se ondersoek ontdek is, was soos volg:

Kwetsbaarheidskandering: Die ICO het geen bewyse gevind dat AHC gereelde kwesbaarheidskanderings uitgevoer het nie – aangesien dit moes gewees het gegewe die sensitiwiteit van die dienste en data wat dit bestuur het en die feit dat die gesondheidsektor deur die regering as kritieke nasionale infrastruktuur (KNI) geklassifiseer word. Die firma het voorheen kwesbaarheidskanderings, webtoepassingskansering en beleidsnakomingsinstrumente aangekoop, maar het slegs twee skanderings uitgevoer ten tyde van die oortreding.

AHC het wel pentoetse uitgevoer, maar het nie die resultate opgevolg nie, aangesien die bedreigingsakteurs later kwesbaarhede wat deur toetse ontdek is, uitgebuit het, het die ICO gesê. Volgens die GDPR het die ICO beoordeel dat hierdie bewyse bewys het dat AHC nie daarin geslaag het om "toepaslike tegniese en organisatoriese maatreëls te implementeer om die voortgesette vertroulikheidsintegriteit, beskikbaarheid en veerkragtigheid van verwerkingsstelsels en -dienste te verseker nie."

Pleisterbestuur: AHC het ZeroLogon wel reggestel, maar nie op alle stelsels nie, omdat hulle nie 'n "volwasse regstelling-valideringsproses in plek gehad het" nie. Trouens, die maatskappy kon nie eers bevestig of die fout op die betrokke bediener reggestel is nie, omdat hulle geen akkurate rekords gehad het om na te verwys nie.

Risikobestuur (MFA): Geen multifaktor-verifikasie (MFA) was in plek vir die Staffplan Citrix-omgewing nie. In die hele AHC-omgewing het gebruikers slegs MFA as 'n opsie gehad om by twee toepassings aan te meld (Adastra en Carenotes). Die firma het 'n MFA-oplossing gehad, wat in 2021 getoets is, maar het dit nog nie uitgerol nie weens planne om sekere ouer produkte te vervang waartoe Citrix toegang verleen het. Die ICO het gesê AHC het kliënte se onwilligheid om die oplossing aan te neem as nog 'n hindernis aangehaal.

Wat was die impak?

Daar is 'n rede waarom die ICO so 'n aansienlike boete opgelê het, wat van 'n selfs hoër £6.1 miljoen verminder is na Advanced se "proaktiewe betrokkenheid" by die owerhede en hul instemming met 'n vrywillige skikking. Eenvoudig gestel, die oortreding het die digitale en fisiese veiligheid van baie onskuldige data-onderwerpe in gevaar gestel en sleuteldienste vir weke aaneen vanlyn gebring. Spesifiek:

  • Bedreigingsakteurs het data van 79,404 XNUMX individue gesteel, waarvan byna die helfte spesiale kategorie-data geneem het. Dit het mediese rekords, NI-nommers, inligting oor godsdienstige oortuigings, indiensneming en demografiese besonderhede ingesluit.
  • Hierdie spesiale kategorie data het besonderhede ingesluit oor hoe om toegang te verkry tot die huise van 890 datasubjekte wat tuisversorging ontvang het.
  • 'n Daaropvolgende diensonderbreking het 658 kliënte, insluitend die NHS, geraak, met sommige dienste wat vir tot 284 dae onbeskikbaar was. Volgens wydverspreide inligting verslae destyds, was daar groot ontwrigting van die kritieke NHS 111-diens, en huisdokterspraktyke was gedwing om pen en papier te gebruik.

Vermy dieselfde lot

“Vandag se besluit is 'n duidelike herinnering dat organisasies die risiko loop om die volgende teiken te word sonder robuuste sekuriteitsmaatreëls,” het Inligtingskommissaris John Edwards gesê toe die boete aangekondig is. So, wat tel as “robuust” volgens die ICO se mening? Die boetekennisgewing haal NCSC-advies, Cyber ​​Essentials en ISO 27002 aan – laasgenoemde bied belangrike leiding oor die implementering van die beheermaatreëls wat deur ISO 27001 vereis word.

Dit haal spesifiek ISO 27002:2017 aan wat bepaal dat: “inligting oor tegniese kwesbaarhede van inligtingstelsels wat gebruik word, betyds verkry moet word, die organisasie se blootstelling aan sulke kwesbaarhede geëvalueer moet word en gepaste maatreëls getref moet word om die gepaardgaande risiko aan te spreek.”

Die NCSC dring daarop aan dat kwesbaarheidskanderings ten minste een keer per maand uitgevoer word, wat Advanced blykbaar in sy korporatiewe omgewing gedoen het. Die ICO het ook moeite gedoen om daarop te wys dat penetrasietoetsing alleen nie genoeg is nie, veral wanneer dit op 'n ad hoc-wyse soos AHC uitgevoer word.

Daarbenewens beveel ISO 27001:2022 MFA eksplisiet aan in sy Aanhangsel A om veilige verifikasie te bereik, afhangende van die "tipe en sensitiwiteit van die data en netwerk."

Dit alles dui op ISO 27001 as 'n goeie beginpunt vir organisasies wat reguleerders wil verseker dat hulle hul kliënte se beste belange op die hart dra en dat sekuriteit deur ontwerp 'n leidende beginsel is. Trouens, dit gaan veel verder as die drie areas wat hierbo uitgelig is, wat tot die AHC-oortreding gelei het.

Krities belangrik, dit stel maatskappye in staat om ad hoc-maatreëls te laat vaar en 'n sistemiese benadering tot die bestuur van inligtingsekuriteitsrisiko op alle vlakke van 'n organisasie te volg. Dit is goeie nuus vir enige organisasie wat wil vermy om self die volgende Advanced te word, of 'n verskaffer soos AHC met 'n ondermaatse sekuriteitshouding aan te pak. Die standaard help om te vestig duidelike inligtingsekuriteitsverpligtinge om voorsieningskettingrisiko's te verminder.

In 'n wêreld van toenemende risiko en kompleksiteit van die voorsieningsketting, kan dit van onskatbare waarde wees.