א ווארענונגס-געשיכטע: וואס דער פארגעשריטענער געזונטהייט און קער פאל דערציילט אונז וועגן סייבער-רעזיליענס

אין סוף מערץ, אַדוואַנסט קאָמפּיוטער ווייכווארג גרופּע איז באַשטראָפט געוואָרן מיט אַ קנס פֿון איבער £3 מיליאָן דורך די בריטישע דאַטן שוץ רעגולאַטאָר. קייפל זיכערהייט דורכפעלער ביים IT סערוויס פּראַוויידער האָבן געפֿירט צו דער קאָמפּראָמיטאַציע פון ​​פּערזענלעכע אינפֿאָרמאַציע אויף כּמעט 80,000 מענטשן און געשטעלט די גשמיות זיכערהייט פון שוואַכע יחידים אין ריזיקירן.

די טאָכטער־פּראָגראַם אין פֿראַגע, אַדוואַנסט העלט און קער (AHC), זאָל האָבן געוואוסט בעסער. אָבער אירע חסרונות זענען נישט זעלטן. עס איז פשוט געווען גענוג אומגליקלעך צו ווערן אַרויסגעפֿונען נאָכדעם וואָס ראַנסאָמווער אַקטיאָרן האָבן געצילט דעם NHS סאַפּלייער. די פֿראַגע איז ווי אַנדערע אָרגאַניזאַציעס קענען פֿאַרמייַדן דעם זעלבן גורל. צומ גליק, ליגן פֿיל פֿון די ענטפֿערס אין דער דעטאַלירטער שטראָף־נאָטיץ לעצטנס פֿאַרעפֿנטלעכט דורך דעם אינפֿאָרמאַציע קאָמיסאַרס אָפֿיס (ICO).

וואָס איז פאַלש?

AHC אָפפערט פֿאַרשידענע קריטישע באַדינונגען צו געזונטהייט קליענטן אַרייַנגערעכנט די נאַציאָנאַלע געזונטהייט סערוויס, אַרייַנגערעכנט ווייכווארג פֿאַר פּאַציענט פאַרוואַלטונג, עלעקטראָנישע פּאַציענט רעקאָרדס, קלינישע באַשלוס שטיצע, זאָרג פּלאַנירונג און אַרבעטסקראַפט פאַרוואַלטונג. עס שטיצט אויך די NHS 111 סערוויס פֿאַר דרינגלעך געזונטהייט עצה.

כאָטש עטלעכע פון ​​די אינפֿאָרמאַציע אין די ICO'ס שטראָף נאָטיץ איז געוואָרן רעדאַקטירט, קענען מיר צוזאַמענשטעלן אַ גראָבע צייטפּלאַן פֿאַר די ראַנסאָמווער אַטאַק.

1. דעם 2טן אויגוסט 2022, האט א סכנה אקטאר זיך איינגעלאגט אין AHC'ס סטעפפלען סיסטעם דורך א סיטריקס אקאונט מיט א קאמפראמיטירטע פאסווארט/באניצער נאמען קאמבא. עס איז נישט קלאר ווי אזוי די קרעדענשעלס זענען באקומען געווארן.
2. איינמאל אינעווייניק, האבן זיי עקסעקוטירט א טעקע צו אויסניצן דעם צוויי-יעריגן "ZeroLogon" ווולנעראַביליטי וואָס איז נישט געווען געפּאַטשט. דאָס האָט זיי געגעבן די מעגלעכקייט צו פֿאַרגרעסערן די פּריווילעגיעס צו אַ דאָמעין אַדמיניסטראַטאָר חשבון.
3. דער סכּנה־אַקטיאָר האָט דעמאָלט גענוצט די פּריווילעגיעס צו באַוועגן זיך זײַטלעך דורך דאָמעינען, אויסלעשן אַנטי־וויירוס שוץ און דורכפֿירן נאָך אויספֿאָרשונג. זיי האָבן אויך איבערגעגאַנגען צו AHC'ס וואָלקן־סטאָרידזש און פֿײַל־האָסטינג סערוויסעס און אַראָפּגעלאָדן "אינפֿראַסטרוקטור־פֿאַרוואַלטונג־יוטילאַטיז" צו דערמעגלעכן דאַטן־עקספֿילטראַציע.
4. די קעגנער האבן דיפּלויירט ראַנסאָמווער אויף 395 ענדפּונקטן און עקספילטרירט 19 גיגאבייט פון דאַטן, צווינגענדיג אַדוואַנסט צו נעמען ניין שליסל ווייכווארג אָפפערס אָפפליין - דריי פון זיי ווי אַ פאָרזיכטיגקייט.

די שליסל זיכערהייט גאַפּס

די דריי הויפּט זיכערהייטס-פאַרפעלער וואָס די ICO'ס אויספאָרשונג האָט אַנטדעקט זענען געווען די פאלגענדע:

וואַלנעראַביליטי סקאַנינג: די ICO האט נישט געפונען קיין באווייז אז AHC האט דורכגעפירט רעגולערע שוואכקייט סקענס - ווי עס וואלט געדארפט ווערן געגעבן די סענסיטיוויטי פון די סערוויסעס און דאטן וואס עס האט געפירט און דעם פאקט אז דער געזונטהייט סעקטאר ווערט קלאסיפיצירט אלס קריטישע נאציאנאלע אינפראסטרוקטור (CNI) דורך דער רעגירונג. די פירמע האט פריער געקויפט שוואכקייט סקענירן, וועב אפליקאציע סקענירן און פאליסי קאמפלייענס מכשירים אבער האט נאר דורכגעפירט צוויי סקענס אין דער צייט פון דעם בריטש.

AHC האט יא דורכגעפירט פעדער טעסטן אבער האט נישט נאכגעפאלגט די רעזולטאטן, ווייל די סכנה אקטיארן האבן שפעטער אויסגענוצט שוואכקייטן וואס זענען אויפגעדעקט געווארן דורך די טעסטן, האט די ICO געזאגט. לויט די GDPR, האט די ICO באשלאסן אז די באווייזן באווייזן אז AHC האט נישט "אימפלעמענטירט פאסיגע טעכנישע און ארגאניזאציאנעלע מיטלען צו זיכער מאכן די אנגייענדע קאנפידענציאליטעט, אינטעגריטעט, פארהאן-זיין און ווידערשטאנדסקראפט פון פראצעסינג סיסטעמען און סערוויסעס."

פּאַטש פאַרוואַלטונג: AHC האט יא געפאטשט ZeroLogon אבער נישט אויף אלע סיסטעמען ווייל עס האט נישט געהאט קיין "דערוואקסענעם פאטש וואלידאציע פראצעס אין פלאץ." אין פאקט, די פירמע האט אפילו נישט געקענט וואלידירן צי דער באג איז געווען געפאטשט אויף דעם באטראפענעם סערווער ווייל עס האט נישט געהאט קיין גענויע רעקארדס צו רעפערענצירן.

ריזיקע פאַרוואַלטונג (MFA): קיין מולטי-פאקטאר אויטענטיפיקאציע (MFA) איז נישט געווען אין פלאץ פאר דער סטעפפלען סיטריקס סביבה. אין דער גאנצער AHC סביבה, האבן באנוצער נאר געהאט MFA אלס אן אפציע פאר זיך אריינלאגן אין צוויי אפליקאציעס (אדאסטרא און קערנאוטס). די פירמע האט געהאט אן MFA לייזונג, געטעסט אין 2021, אבער האט עס נישט ארויסגעגעבן צוליב פלענער צו פארטרעטן געוויסע אלטע פראדוקטן צו וועלכע סיטריקס האט צוגעשטעלט צוטריט. די ICO האט געזאגט אז AHC האט דערמאנט קאסטומערס' אומגעוואלט צו אדאפטירן די לייזונג אלס נאך ​​א שטערונג.

וואָס איז געווען דער אימפּאַקט?

עס איז דא א סיבה פארוואס די ICO האט אויפגעלייגט אזא גרויסע קנס, וואס איז אראפגענומען געווארן פון נאך העכער £6.1 מיליאן נאך אדוואנס'ס "פראאקטיווע באטייליגונג" מיט די אויטאריטעטן און זייער איינשטימונג צו א פרייוויליקן אפמאך. פשוט געזאגט, די דורכברוך האט געפארירט די דיגיטאלע און פיזישע זיכערהייט פון פילע אומשולדיקע דאטן סוביעקטן און האט געמאכט שליסל סערוויסעס אפליין פאר וואכן נאכאנאנד. ספעציפיש:

• סכּנה־אַקטיאָרן האָבן אַרויסגענומען דאַטן פֿון 79,404 יחידים, כּמעט העלפֿט פֿון זיי האָבן באַקומען ספּעציעלע קאַטעגאָריע דאַטן. דאָס האָט אַרײַנגענומען מעדיצינישע רעקאָרדס, נאַציאָנאַלע אינטערנאַציאָנאַלער רעגיסטראַציע נומערן, אינפֿאָרמאַציע וועגן רעליגיעזע גלויבנס, באַשעפֿטיקונג און דעמאָגראַפֿישע פרטים.
• די ספּעציעלע קאַטעגאָריע דאַטן האָט אַרייַנגענומען פרטים וועגן ווי אַזוי צו באַקומען אַרײַנגאַנג צו די היימען פון 890 דאַטן סוביעקטן וואָס האָבן באַקומען היים זאָרג.
• א נאכפאלגנדיקע סערוויס אויספאל האט באטראפן 658 קאסטומערס אריינגערעכנט די NHS, מיט עטלעכע סערוויסעס נישט פאראן פאר ביז 284 טעג. לויט ברייטע ריפּאָרץ אין דער צייַט, איז געווען א גרויסע שטערונג צום קריטישן NHS 111 סערוויס, און דאקטוירים האבן געצוואונגען צו ניצן פעדער און פאפיר.

אויסמיידן דעם זעלבן גורל

"היינטיקע באַשלוס איז אַ קלאָרע דערמאָנונג אַז אָרגאַניזאַציעס ריזיקירן צו ווערן די נעקסטע ציל אָן שטאַרקע זיכערהייט מיטלען אין פּלאַץ," האָט געזאָגט אינפֿאָרמאַציע קאָמיסאַר דזשאַן עדוואַרדס ווען די קנס איז געוואָרן אַנאָנסירט. אַלזאָ, וואָס ציילט זיך ווי "ראָבוסט" אין דער מיינונג פון דער ICO? די שטראָף נאָטיץ ציטירט NCSC עצה, Cyber ​​Essentials און ISO 27002 – די לעצטע גיט שליסל גיידאַנס וועגן ימפּלאַמענטינג די קאָנטראָלס פארלאנגט דורך ISO 27001.

ספעציפיש, ציטירט עס ISO 27002:2017 ווי עס זאגט אז: "אינפארמאציע וועגן טעכנישע שוואכקייטן פון אינפארמאציע סיסטעמען וואס ווערן גענוצט זאל באקומען ווערן אין א צייטיקן אופן, די ארגאניזאציע'ס אויסשטעלונג צו אזעלכע שוואכקייטן זאל עוואלוירט ווערן און צוגעפאסטע מיטלען גענומען ווערן צו אדרעסירן דעם פארבונדענעם ריזיקע."

די NCSC דרינגט צו שוואכקייט סקענס כאטש איין מאל א חודש, וואס אדוואנסט האט לכאורה געטאן אין איר קארפאראט סביבה. די ICO האט אויך געמאכט א מי צו ווייזן אז דורכדרינגונג טעסטן אליין איז נישט גענוג, ספעציעל ווען עס ווערט דורכגעפירט אויף אן אד-האק אופן ווי AHC.

דערצו, ISO 27001:2022 רעקאמענדירט אויסדריקליך MFA אין אירע אַנעקס א צו דערגרייכן זיכערע אויטענטיפיקאציע, דעפּענדינג אויף די "טיפּ און סענסיטיוויטי פון די דאַטן און נעץ."

דאָס אַלץ ווײַזט אויף ISO 27001 ווי אַ גוט אָרט צו אָנהייבן פֿאַר אָרגאַניזאַציעס וואָס זוכן צו באַרויקן רעגולאַטאָרן אַז זיי האָבן די אינטערעסן פון זייערע קאַסטאַמערז אין האַרצן און זיכערהייט דורך פּלאַן ווי אַ פירנדיק פּרינציפּ. אין פאַקט, עס גייט ווײַט ווײַטער פֿון די דריי געביטן וואָס זענען אויבן דערמאָנט געוואָרן, וואָס האָבן געפֿירט צום AHC בריטש.

קריטיש, עס ערמעגליכט פירמעס צו באַזײַטיקן זיך מיט אַד-האָק מיטלען און נעמען אַ סיסטעמישן צוגאַנג צו פאַרוואַלטן אינפֿאָרמאַציע זיכערהייט ריזיקע אויף אַלע לעוועלס פון אַן אָרגאַניזאַציע. דאָס איז גוטע נייַעס פֿאַר יעדער אָרגאַניזאַציע וואָס וויל ויסמיידן ווערן דער ווייַטער אַדוואַנסט אַליין, אָדער נעמען אויף אַ סאַפּלייער ווי AHC מיט אַ נידעריגער זיכערהייט שטעלונג. דער סטאַנדאַרט העלפט צו אויפשטעלן קלאָרע אינפֿאָרמאַציע זיכערהייט פֿאַרפליכטונגען צו פֿאַרמינערן סאַפּליי קייט ריסקס.

אין אַ וועלט פון וואַקסנדיקן ריזיקע און צושטעל קייט קאָמפּלעקסיטעט, דאָס קען זיין פון גרויס ווערט.