ข้ามไปที่เนื้อหาหลัก

ทรัพยากร

ข่าวกรองย่อย

Healthcare Havoc: การละเมิดข้อมูลโจมตีโรงพยาบาลและคลินิกหลายสิบแห่ง

อุตสาหกรรมการดูแลสุขภาพได้รับผลกระทบจากการละเมิดข้อมูลจํานวนมหาศาลที่ส่งผลกระทบต่อเหยื่อหลายล้านคน

โดย Rodman Ramezanian - Global Cloud Threat Lead

วันที่ 16 สิงหาคม 2566 อ่าน 7 นาที

HCA Healthcare ผู้ให้บริการด้านการดูแลสุขภาพที่มีชื่อเสียงซึ่งมีสาขาอย่างแพร่หลายในฟลอริดาและอีก 19 รัฐ เพิ่งตกเป็นเหยื่อของการละเมิดข้อมูลอย่างรุนแรงซึ่งอาจส่งผลกระทบต่อผู้คนมากถึง 11 ล้านคน เหตุการณ์ที่ไม่สงบเกิดขึ้นเมื่อข้อมูลส่วนบุคคลของผู้ป่วยปรากฏบนฟอรัมออนไลน์

โดยเฉพาะอย่างยิ่ง ชุดข้อมูลที่ถูกละเมิดรวมถึงข้อมูลระบุตัวบุคคล (PII) ที่ละเอียดอ่อน ซึ่งประกอบด้วย:

  • ชื่อ เมือง รัฐ และรหัสไปรษณีย์ของผู้ป่วย
  • รายละเอียดการติดต่อ เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล พร้อมด้วยเพศและวันเดือนปีเกิด
  • วันที่ให้บริการ สถานที่ และวันนัดหมายที่จะมาถึง

ตามคําแถลงของ HCA ผู้คุกคามขโมยข้อมูล 27 ล้านแถวจาก "สถานที่จัดเก็บข้อมูลภายนอก" แต่ตรวจไม่พบ "กิจกรรมที่เป็นอันตรายใด ๆ " บนเครือข่ายหรือระบบของ HCA

ด้วยค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลด้านการดูแลสุขภาพที่เพิ่มขึ้นเป็น 11 ล้านดอลลาร์ ตามรายงานต้นทุนการละเมิดข้อมูลปี 2023 ของ IBM Security จึงทําหน้าที่เป็นเครื่องเตือนใจอย่างชัดเจนถึงความสําคัญที่เพิ่มขึ้นเรื่อยๆ ของแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในอุตสาหกรรมการดูแลสุขภาพ

อุตสาหกรรมสุขภาพพบการละเมิดข้อมูลจํานวนมากขึ้นเมื่อเทียบกับภาคส่วนอื่นๆ ทั้งหมด ตามที่รายงานอย่างต่อเนื่องโดย Ponemon Institute และ Verizon Data Breach Investigations Reports

ทําไมเหตุการณ์เหล่านี้จึงเกิดขึ้น?

ในกรณีนี้ การเข้าถึง "สถานที่จัดเก็บข้อมูลภายนอก" โดยไม่ได้รับอนุญาตช่วยอํานวยความสะดวกในการขโมยข้อมูลจํานวนมาก ตามเนื้อผ้าสถานที่จัดเก็บจะได้รับการปกป้องอย่างเข้มงวดจากภายใน Data Loss Prevention การควบคุมหรือเทคโนโลยีการตรวจสอบกิจกรรมฐานข้อมูลที่ฝังอยู่ภายในโครงสร้างพื้นฐานภายใน

อย่างไรก็ตามน่าเสียดายที่ความเป็นจริงของการดําเนินธุรกิจและไอทีสมัยใหม่เกี่ยวข้องกับผู้ใช้อุปกรณ์สถานที่บริบทและวัตถุประสงค์ทางธุรกิจที่หลากหลายเพื่อเชื่อมต่อกับข้อมูลที่เก็บไว้ ตัวแปรเหล่านี้นําเสนอความท้าทายที่ไม่เหมือนใครเกี่ยวกับวิธีการปกป้องข้อมูล โดยเฉพาะอย่างยิ่งในกรณีของการเข้าถึง "สถานที่จัดเก็บข้อมูลภายนอก" นอกขอบเขตเครือข่ายแบบเดิม

ด้วยลักษณะที่เชื่อมโยงถึงกันของระบบการดูแลสุขภาพการประนีประนอมของเป้าหมายเดียวอาจส่งผลให้เกิดผลกระทบในวงกว้าง

จากข้อมูลของ Center for Internet Security (CIS) "ข้อมูลสุขภาพส่วนบุคคล (PHI) มีค่าในตลาดมืดมากกว่าข้อมูลรับรองบัตรเครดิตหรือข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ดังนั้นจึงมีแรงจูงใจที่สูงขึ้นสําหรับอาชญากรไซเบอร์ในการกําหนดเป้าหมายฐานข้อมูลทางการแพทย์"

การโจมตีทางไซเบอร์ก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กร ซึ่งครอบคลุมถึงอันตรายที่อาจเกิดขึ้นกับการดําเนินธุรกิจ ทรัพย์สินทางปัญญา ข้อมูลที่ละเอียดอ่อน และชื่อเสียง อย่างไรก็ตาม ในแวดวงการดูแลสุขภาพ เงินเดิมพันจะเพิ่มขึ้นไปอีก การสูญเสียข้อมูลอาจนําไปสู่ผลกระทบที่คุกคามชีวิตในขณะที่การขโมยบันทึกผู้ป่วยถือเป็นการละเมิดความเป็นส่วนตัวโดยมีผลกระทบที่ยั่งยืนต่อบุคคลที่ได้รับผลกระทบ

โดยเฉพาะอย่างยิ่งภาคการดูแลสุขภาพต้องต่อสู้กับความท้าทายด้านความปลอดภัยทางไซเบอร์หลายประการ:

  • การลงทุนที่ไม่เพียงพอในโครงสร้างพื้นฐานดิจิทัลที่ปลอดภัย
  • การฝึกอบรมไม่เพียงพอ
  • โครงสร้างพื้นฐานที่ล้าสมัยและมีช่องโหว่
  • แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ต่ํากว่ามาตรฐาน
  • ความซับซ้อนที่เกิดจากการพึ่งพาหลายหน่วยงาน
  • ค่าใช้จ่ายสูงที่เกี่ยวข้องกับการใช้งานความปลอดภัยทางไซเบอร์
  • การขาดความรู้ด้านไซเบอร์ในหมู่แรงงาน

การสะสมของปัญหาเหล่านี้สร้างช่องโหว่มากมายและจุดเริ่มต้นที่ได้รับการป้องกันไม่เพียงพอซึ่งสุกงอมสําหรับการแสวงหาผลประโยชน์จากผู้คุกคาม เมื่อจุดอ่อนเหล่านี้ได้รับการพึ่งพาเพื่อปกป้องข้อมูลที่ละเอียดอ่อนและมีค่าสูงผลกระทบที่อาจเกิดขึ้นจะกลายเป็นใหญ่หลวงนําไปสู่ความเสียหายอย่างกว้างขวาง

สิ่งที่สามารถทําได้?

น่าเสียดายที่การละเมิดข้อมูลเหล่านี้อยู่นอกเหนือการควบคุมของบุคคลทั่วไป ผู้ให้บริการด้านการดูแลสุขภาพมักใช้ข้อมูลที่รวบรวมจากคุณสําหรับการรักษาของคุณดังนั้นคุณจึงไม่สามารถระงับรายละเอียดบางอย่างจากโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพได้

ในยุคสมัยใหม่ของเครือข่ายที่เชื่อมต่อถึงกัน เช่น เครือข่ายที่ใช้โดยโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ องค์กรต่างๆ มักจะพึ่งพาสถานที่จัดเก็บข้อมูลภายนอก เช่น ศูนย์ข้อมูลของบุคคลที่สาม แม้ว่าโซลูชันการจัดเก็บข้อมูลภายนอกเหล่านี้จะมอบความสะดวก ปรับขนาดได้ และความคุ้มค่า แต่ก็มีความเสี่ยงด้านความปลอดภัยที่สําคัญเช่นกัน นี่คือที่มาของแนวคิดของ Zero Trust Network Access (ZTNA) เข้ามามีบทบาท

ZTNA ถือว่าทุกคําขอ (ใช้: คําขอเข้าถึงสถานที่จัดเก็บข้อมูลภายนอก เป็นต้น) ว่าอาจเป็นอันตรายและต้องมีการตรวจสอบและการอนุญาตในทุกขั้นตอนของกระบวนการ นี่เป็นสิ่งสําคัญอย่างยิ่งเมื่อต้องจัดการกับสถานที่จัดเก็บข้อมูลภายนอกด้วยเหตุผลดังต่อไปนี้:

  • การเปิดเผยข้อมูลและการรั่วไหล: สถานที่จัดเก็บข้อมูลภายนอก โดยเฉพาะบริการพื้นที่เก็บข้อมูลบนคลาวด์ อาจเข้าถึงได้โดยหลายฝ่าย รวมถึงพนักงานของผู้ให้บริการและผู้ใช้รายอื่น หากไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมข้อมูลที่ละเอียดอ่อนอาจถูกเปิดเผยรั่วไหลหรือเข้าถึงโดยไม่ได้ตั้งใจโดยบุคคลที่ไม่ได้รับอนุญาต
  • การประนีประนอมข้อมูลประจําตัว: หากผู้โจมตีสามารถเข้าถึงข้อมูลประจําตัวที่ถูกต้องผ่านฟิชชิงวิศวกรรมสังคมหรือวิธีการอื่น ๆ พวกเขาสามารถใช้ประโยชน์จากข้อมูลประจําตัวเหล่านี้เพื่อเข้าถึงตําแหน่งที่จัดเก็บข้อมูลภายนอกและข้อมูลภายใน ZTNA ลดผลกระทบของข้อมูลประจําตัวที่ถูกบุกรุกโดยกําหนดให้มีปัจจัยการตรวจสอบสิทธิ์เพิ่มเติมและประเมินระดับความน่าเชื่อถือของฝ่ายที่ร้องขอใหม่อย่างต่อเนื่อง
  • ภัยคุกคามจากภายใน: แม้ว่าองค์กรจะไว้วางใจพนักงานของตน แต่ภัยคุกคามจากภายในยังคงมีความเป็นไปได้ พนักงานที่มีสิทธิ์เข้าถึงสถานที่จัดเก็บข้อมูลภายนอกอย่างถูกต้องตามกฎหมายอาจใช้สิทธิ์ของตนในทางที่ผิดหรือตกเป็นเหยื่อของการโจรกรรมข้อมูลประจําตัวซึ่งนําไปสู่การละเมิดข้อมูลที่อาจเกิดขึ้น ZTNA ลดความเสี่ยงนี้โดยการประเมินท่าทางบริบทและพฤติกรรมของผู้ใช้อย่างต่อเนื่อง
  • การเคลื่อนไหวด้านข้าง: หากผู้โจมตีแทรกซึมเครือข่ายขององค์กรได้สําเร็จพวกเขาอาจพยายามย้ายด้านข้างและเข้าถึงตําแหน่งที่เก็บข้อมูลไม่ว่าจะเชื่อมต่อภายในหรือภายนอก ZTNA จํากัดโอกาสในการเคลื่อนที่ด้านข้าง ลดพื้นผิวการโจมตี และจํากัดความเสียหายที่อาจเกิดขึ้น
  • การปกป้องข้อมูลแบบบูรณาการ: ฝัง ตัว Data Loss Prevention ความสามารถ (DLP) ป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตอัปโหลด ดาวน์โหลด และแม้แต่ดูข้อมูลที่ละเอียดอ่อนจากตําแหน่งหรืออุปกรณ์ใดๆ การควบคุมการเข้าถึงแบบปรับได้สามารถบังคับใช้ได้ตามการประเมินท่าทางของอุปกรณ์อย่างต่อเนื่อง

เมื่อพูดถึงการปกป้องข้อมูลที่มีค่าใด ๆ - บันทึกสุขภาพส่วนบุคคลที่ละเอียดอ่อนน้อยกว่ามาก - จําเป็นต้องให้ความสําคัญกับวิธีการและสถานที่จัดเก็บข้อมูลเข้าถึงและใช้และโดยใครหรือทรัพย์สินใด

องค์กรไม่สามารถ "ล่าภัยคุกคาม" ย้อนหลังสําหรับข้อมูลที่รั่วไหลไปแล้วได้ ไม่มีผลิตภัณฑ์หรือเครื่องมือใดที่สามารถค้นหาข้อมูลที่รั่วไหลไปแล้วของคุณย้อนเวลากลับไปและนําทุกอย่างกลับมารวมกันอีกครั้ง! นั่นเป็นเหตุผลที่การปกป้องข้อมูลขึ้นอยู่กับระบบการค้นหาการระบุการจัดประเภทและการป้องกันข้อมูลเชิงรุกเพื่อป้องกันการละเมิดไม่ให้เกิดขึ้นตั้งแต่แรก

การจัดประเภทระบุและติดตามเนื้อหาที่ละเอียดอ่อนโดยใช้ลายนิ้วมือของเนื้อหาหรือแท็ก/คําจํากัดความกับไฟล์และเนื้อหา บางองค์กรอาจมีการจัดประเภทข้อมูลที่มีอยู่ซึ่งกําหนดโดยโซลูชัน เช่น Titus, Boldon James หรือ Azure Information Protection (AIP) ของ Microsoft โซลูชัน DLP บางตัวมีความสามารถในการผสานรวมและใช้ประโยชน์จากการจัดประเภทที่มีอยู่เพื่อติดตามกระบวนการโดยรวมอย่างรวดเร็ว

มีสองสามวิธีในการรวมการจัดประเภทข้อมูลเข้ากับแนวทางปฏิบัติด้านความปลอดภัยของคุณ ซึ่งรวมถึง (แต่ไม่จํากัดเพียง):

  • ลายนิ้วมือเนื้อหา: สร้างดัชนีของแฮชต่อเนื่องของข้อมูลของคุณเพื่อป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนหรือเป็นความลับออกจากองค์กรโดยการสร้างนโยบายการปฏิบัติตามกฎระเบียบรอบ ๆ
  • แอตทริบิวต์ไฟล์/ข้อมูล: ให้ความสามารถในการจัดประเภทไฟล์ตามคําหลักและพจนานุกรมข้อมูลเมตาของไฟล์หรือเนื้อหาภายในไฟล์ / เอกสารเอง
  • การรู้จําอักขระด้วยแสง (OCR): ขยายการป้องกัน DLP จากเอกสารภาษี หนังสือเดินทาง ข้อมูลบัตรเครดิต หรือข้อมูลส่วนบุคคลที่สามารถอัปโหลดหรือแชร์เป็นรูปภาพได้
  • การจับคู่เอกสารดัชนี (IDM): ช่วยให้คุณพิมพ์ลายนิ้วมือเนื้อหาของข้อมูลที่ละเอียดอ่อนขององค์กรในเอกสาร เช่น เอกสาร Word, PDF, PowerPoint หรือ CAD ปรับปรุงความแม่นยําในการตรวจจับข้อมูลที่ละเอียดอ่อนซึ่งหาได้ยาก
  • การจับคู่ข้อมูลที่แน่นอน (EDM): ดําเนินการพิมพ์ลายนิ้วมือของข้อมูลที่ละเอียดอ่อนที่มีโครงสร้าง ซึ่งออกแบบมาเพื่อตรวจจับ PII และข้อมูลที่เป็นความลับอื่นๆ ที่จัดเก็บไว้ในไฟล์ข้อมูลที่มีโครงสร้าง เช่น สเปรดชีตหรือ CSV โดยมีความแม่นยําในการตรวจจับสูงมากและอัตราผลบวกลวงต่ํา

โดยเฉพาะอย่างยิ่งในกรณีของ EDM Skyhigh Security ใช้เพื่อสร้างลายนิ้วมือ – มากถึง 6 พันล้านเซลล์ – ที่ปกป้องบันทึกฐานข้อมูลผู้ใช้ที่ละเอียดอ่อนในรูปแบบแถวและคอลัมน์ (โดยทั่วไปจะดึงมาจากฐานข้อมูลในรูปแบบ CSV) สร้างดัชนีที่มีโครงสร้างของข้อมูลนั้น และใช้นโยบาย DLP เพื่อป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนออกจากองค์กร

ในกรณีนี้เวชระเบียนของผู้ป่วย (และแบบองค์รวมมากขึ้นบันทึกพนักงานและ / หรือลูกค้า ฯลฯ ) เป็นตัวอย่างทั่วไปของกลุ่มข้อมูลขนาดใหญ่และละเอียดอ่อนที่ต้องการการป้องกัน แม้ว่าคุณจะสามารถปกป้องบันทึกดังกล่าวได้ด้วยการจับคู่รูปแบบและคําศัพท์ในพจนานุกรม แต่วิธีการจับคู่ข้อมูลเหล่านี้ต้องการเงื่อนไขที่ซับซ้อนและตรรกะของกฎ ซึ่งมีแนวโน้มที่จะจับคู่เท็จ

การจับคู่แต่ละฟิลด์ของเรกคอร์ดที่ละเอียดอ่อน เช่น ชื่อ วันเดือนปีเกิด ตัวระบุผู้ป่วยที่ไม่ซ้ํากัน และหมายเลขโทรศัพท์อาจไม่มีประโยชน์ และอาจส่งผลให้เกิดการจับคู่ที่ผิดพลาดได้อย่างง่ายดาย แต่การจับคู่สองฟิลด์ขึ้นไปของระเบียนที่ละเอียดอ่อนเดียวกัน (เช่น ทั้งชื่อและหมายเลขประกันสังคม) ภายในข้อความเดียวกัน (เช่น อีเมลหรือเอกสาร) บ่งชี้ว่ามีข้อมูลที่เกี่ยวข้องที่มีความหมายอยู่ ลายนิ้วมือ EDM (Enhanced) จะจับคู่คําจริงในคอลัมน์ที่กําหนดภายในระยะใกล้ที่กําหนดในระเบียน (บรรทัดหรือแถว) กับเรกคอร์ดผู้ใช้ต้นฉบับ ซึ่งจะป้องกันการจับคู่ที่ผิดพลาด

โดยพื้นฐานแล้วสิ่งเหล่านี้ควรเป็นความสามารถขั้นต่ําที่รวมอยู่ในโซลูชันและระบอบการปกครอง DLP ระดับองค์กร

สําหรับลูกค้าปัจจุบัน Skyhigh Securityการปกป้องข้อมูลแบบรวมศูนย์นําเสนอภาพของข้อมูลที่ละเอียดอ่อนซึ่งแสดงให้เห็นว่ามีการแจกจ่ายที่ใดใช้งานอย่างไรและถูกกรองไปยังแอปพลิเคชันระบบคลาวด์เว็บแอปส่วนตัวอีเมลและปลายทางทั้งหมดโดยเน้นความเสี่ยงในการปฏิบัติตามข้อกําหนดของข้อมูล Skyhigh Security ป้องกันการสูญหายของข้อมูลโดยใช้การจัดประเภทกับนโยบายการปกป้องข้อมูลที่ทริกเกอร์การดําเนินการสร้างเหตุการณ์เมื่อมีการระบุข้อมูลที่ละเอียดอ่อน

โดยกําเนิด Skyhigh Securityของ Cloud Access Security Broker แพลตฟอร์ม (CASB) รองรับคําจํากัดความ การตรวจสอบความถูกต้อง และข้อมูลคําหลักในตัวสําหรับตัวระบุข้อมูลด้านการดูแลสุขภาพ รวมถึง Australian Medicare Numbers, DEA Registration Numbers, National Drug Codes (NDC), National Provider Identifications (NPI), UK National Health Service (NHS) Numbers และอื่นๆ

ตลาดการปกป้องข้อมูลแบบครบวงจร

ความจริงก็คือ การค้นพบ กําหนด จําแนก และปกป้องข้อมูลของคุณอย่างต่อเนื่องไม่ใช่งาน "ตั้งค่าและลืม" ง่ายๆ และไม่ใช่แบบฝึกหัดที่เร็วมากหากทําอย่างละเอียดและถูกต้อง

การจัดประเภทข้อมูลเป็นหนึ่งในปัจจัยสําคัญของการปกป้องข้อมูลและความเป็นส่วนตัวของข้อมูล ดังนั้นด้วยการวางรากฐานที่แข็งแกร่งของแนวทางปฏิบัติทั่วไปสําหรับการค้นหาข้อมูลคําจํากัดความและการจัดประเภทองค์กรสามารถใช้การปกป้องข้อมูลที่กว้างขวางและเป็นรูปธรรมมากขึ้นในช่องทางการรั่วไหลที่อาจเกิดขึ้นไม่ว่าจะอยู่ที่ใด

 

ใช้ Skyhigh Security?

ร็อดแมน ราเมซาเนียน

เกี่ยวกับผู้เขียน

ร็อดแมน ราเมซาเนียน

ผู้นําภัยคุกคามระบบคลาวด์ระดับโลก

ด้วยประสบการณ์ในอุตสาหกรรมความปลอดภัยทางไซเบอร์ที่ยาวนานกว่า 11 ปี Rodman Ramezanian เป็นที่ปรึกษาด้านความปลอดภัยบนคลาวด์ระดับองค์กร ซึ่งรับผิดชอบด้านการให้คําปรึกษาด้านเทคนิค Skyhigh Security. ในบทบาทนี้ Rodman มุ่งเน้นไปที่รัฐบาลกลางออสเตรเลียกลาโหมและองค์กรองค์กรเป็นหลัก

Rodman เชี่ยวชาญในด้าน Adversarial Threat Intelligence, Cyber Crime, Data Protection และ Cloud Security เขาเป็นผู้ประเมิน IRAP ที่ได้รับการรับรองจาก Australian Signals Directorate (ASD) ซึ่งปัจจุบันถือใบรับรอง CISSP, CCSP, CISA, CDPSE, Microsoft Azure และ MITRE ATT&CK CTI

ตรงไปตรงมา Rodman มีความหลงใหลอย่างแรงกล้าในการอธิบายเรื่องที่ซับซ้อนในแง่ง่ายๆ ช่วยให้คนทั่วไปและผู้เชี่ยวชาญด้านความปลอดภัยรายใหม่เข้าใจว่าอะไร ทําไม และอย่างไรของการรักษาความปลอดภัยทางไซเบอร์

ไฮไลท์การโจมตี

  • HCA Healthcare รายงานว่าผู้กระทําการที่ไม่ได้รับอนุญาตขโมยข้อมูลในผู้ป่วย ~ 11 ล้านคนใน 20 รัฐรวมถึงฟลอริดาและโพสต์บนฟอรัมออนไลน์ รายการที่โพสต์บนฟอรัมมีข้อมูล 27 ล้านแถว
  • จากข้อมูลของ HCA ข้อมูลประกอบด้วยชื่อผู้ป่วยข้อมูลที่อยู่ (รวมถึงเมืองรัฐและรหัสไปรษณีย์) ที่อยู่อีเมลของผู้ป่วยหมายเลขโทรศัพท์วันเดือนปีเกิดเพศและวันที่ให้บริการผู้ป่วยรวมถึงรายละเอียดเกี่ยวกับสถานที่และข้อมูลที่เกี่ยวข้องกับการนัดหมายที่จะเกิดขึ้น
  • HCA เชื่อว่าข้อมูลถูกขโมยจากตําแหน่งที่จัดเก็บข้อมูลภายนอกที่ใช้ในการทําให้ข้อความอีเมลเป็นแบบอัตโนมัติ
  • HCA ไม่ได้เปิดเผยวันที่แน่นอนที่ทราบถึงการโจรกรรมข้อมูล