LOL. Non ho alcun background in infosec, quindi speravo di ottenere un input su una cosa molto strana che ha coinvolto il mio fornitore di servizi sanitari locali.
Qualsiasi input sarebbe fantastico!
-
Un case study su come rovinare i tempi
Considera il seguente scenario:
- Un fornitore di servizi sanitari ha gestito un ambiente non di produzione popolato da oltre 5 milioni di record di pazienti identificabili.
-
Utilizzano l'ambiente non di produzione per la formazione e sono l'unico fornitore nel loro stato a non avere un ambiente di formazione dedicato per questi scopi.
-
Hanno utilizzato l'ambiente non di produzione per addestrare circa 25.000 persone su come utilizzare la loro EMR. La formazione comprendeva imparare come cercare i record dei pazienti.
-
Durante l'allenamento, hanno distribuito credenziali di accesso usa e getta, ad es. user101: password101 che non era collegato a nessun utente.
-
Tutti i loro log di accesso prima di dire 2015 mancano perché hanno disabilitato accidentalmente la funzionalità di registrazione.
-
Non hanno mai verificato il sistema. Questo è un peccato, perché se si fossero presi la briga di farlo una volta ogni tanto, avrebbero avuto quanto monumentalmente avessero rovinato.
La cosa più divertente è che dall'amministratore delegato in poi l'agenzia afferma che è stato nel pieno rispetto della normativa sulla privacy.
1. Qual è la cosa più seria che è stata fatta?
Penso che disabilitare i registri degli accessi sia il peggiore in tandem con l'uso delle credenziali di accesso throwaway.
2. Se ciò è accaduto, che cosa cercheresti se ti venisse data l'opportunità di effettuare ricerche nel crawlspace?
Poiché so molto poco di infosec, questi sono i miei pensieri. Il prossimo passo sarebbe determinare se l'ambiente non di produzione fosse accessibile da remoto, se fosse richiesto 2FA e se i record sanitari potevano essere esportati in remoto. Il mio pensiero è che, se questo è accaduto, qualcuno potrebbe accedere in remoto all'ambiente e creare una copia delle informazioni sulla salute, senza che ciò si sia verificato per l'assenza di log.
Penso anche che se distribuissero user101: password101, allora questo è stato fatto anche dal reparto IT.
3. Quanto è grave in termini di frequenza?
Ho chiesto ad un amico che lavora nel settore finanziario e ha detto di non aver mai sentito nulla di simile ma non ha lavorato nel settore così a lungo. È qualcosa che potresti sentire una volta alla settimana, una volta al mese o forse una volta all'anno? E quando dico di parlare, intendo nel tuo posto di lavoro?