пятница, 27 марта 2015 г.

Взлом крупнейшей американской компании в сфере медицинского страхования Premera: Компания накануне успешно прошла государственный аудит


Статья Иана Томсона (Iain Thomson – на фото) была опубликована 23 марта 2015 года на сайте британского издания «The Register».

Судя по всему, закон HIPAA оказался в этой ситуации не слишком эффективен.

Мой комментарий: Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. В ряде положений части II закона HIPAA рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни.

Серьезные сомнения в эффективности введенных правительством США правил защиты персональных данных возникли после того, как выяснилось, что компания Premera Blue Cross – крупный игрок в области медицинского страхования - была признана «дядей Сэмом» надлежащим образом защищённой буквально за несколько месяцев до того, как этот гигант здравоохранения был взломан хакерами с целью получения доступа к финансовой и медицинской информации.

Мой комментарий: Дополнительную информацию об инциденте можно найти здесь: http://www.theregister.co.uk/2015/03/19/premera_blue_cross_is_sick_after_hackers_plunder_their_servers/ . Были скомпрометированы более 11 миллионов документов, содержащих финансовые и медицинские сведения, в том числе имена, даты рождения, адреса электронной почты и физические адреса, телефонные номера, номера социального страхования, банковские реквизиты, сведения о компенсации расходов на лечение, в том числе клинические данные. Хакерам досталось практически всё, что нужно для «кражи личности» и совершения мошеннических операций.

Компания прошла аудит компьютерной безопасности, который провёл федеральный контролирующий орган в январе 2014 года. В апреле 2014 года компании было сообщено о необходимость улучшений в ряде областей, и в июне она начала вносить нужные изменения. В конце года Premera получила официальный знак, показывающий её соответствие установленным законом HIPAA базовым национальным требованиям, обеспечивающие безопасное использование электронных медицинских документов.

На прошлой неделе стало известно, что на фоне всех этих событий Premera в мае 2014 года была незаметно взломана преступниками. Изменения в системе безопасности, сделанные после апреля-мая, возможно, уже опоздали.

Поскольку базирующаяся в Вашингтоне компания Premera является поставщиком медицинских услуг для персонала государственных органов и подпадает под положения федерального «Закона о медицинском страховании федеральных государственных служащих» (Federal Employees Health Benefits Act), то её аудит проводил Департамент управления персоналом (Office of Personnel Management, OPM). По итогам двухмесячного обследования были выявлены несколько требующих внимания областей:
  • Сотрудники компании несвоевременно устанавливали обновления для используемого ими программного обеспечения, что делало их компьютеры уязвимыми для атак;

  • Системные администраторы не договорились о «базовом» наборе конфигурационных установок, который бы обеспечивал безопасность систем не ниже определенного стандартного уровня.
В своём заключительном отчете, датированном 28-м ноября 2014 года, аудиторы отметили следующее:
  • У компании Premera имелись документированные политики и процедуры управления обновлениями программного обеспечения. Тем не менее, результаты сканирования уязвимостей показали, что критически-важные исправления, пакеты обновлений и срочные исправления не всегда устанавливались своевременно. Ненадлежащая установка важных обновлений увеличивает риск того, что уязвимости не будут закрыты и станет возможной утечка конфиденциальных данных;

  • Компания не в состоянии проводить эффективный аудит настроек безопасности своих серверов и баз данных, не имея утвержденной базовой конфигурации в качестве основы для сравнения. Неспособность установить и регулярно контролировать утвержденные параметры конфигурации системы увеличивает риск того, что система может не отвечать установленным организацией требованиям к производительности и безопасности.
Несмотря на все это, Premera была объявлена соответствующей требования закона HIPAA.
В заключительном отчет аудиторов отмечается, что «Мы не заметили ничего такого, что заставило бы нас усомниться в соответствии компании требования HIPAA в отношении обеспечения безопасности и защиты неприкосновенности частной жизни».

В отчете отмечено ещё несколько вызывающих озабоченность моментов. Для доступа к центру обработки данных компании использовалась ключ-карта, однако не использовался второй фактор аутентификации, такой, как биометрические данные. Также не было направленных на входы в серверные помещения камеры наблюдения, которые могли бы заметить одновременный вход в дверь двух человек при предъявлении только одного набора идентификационных данных.

Были отмечены недостатки, связанные с возможностью повторного использования паролей. Что касается планирования действий на случай катастроф, то аудиторы отметили наличие у компании Premera хорошего плана действий по восстановлению после катастроф. В то же время отсутствие базовой конфигурации для наиболее важных приложений могло бы не позволить быстро восстановить информацию.

Premera была ознакомлена с проектом отчета об аудите в апреле 2014 года, а в июне дала свой ответ, пообещав устранить все замечания до конца года, если не раньше. Но уже было слишком поздно - 5 мая хакеры успешно получили доступ к серверам, и взлом был замечен лишь в январе 2015 года.

Как сказал представитель Premera в интервью изданию «The Register», «Важно отметить, что проведенный OPM аудит не выявил у компании каких-то проблем с управлением безопасностью и с соблюдением стандартов безопасности HIPAA».

Сотрудники Premera, похоже, уверены, что выявленные аудиторами OPM в апреле недостатки не были использованы хакерами в мае; однако они признали, что расследование обстоятельств взлома продолжается. Либо преступники использовали уязвимости, также выявленные аудиторами, либо нет – но, как нам кажется, в таком случае уровень требований HIPAA является настолько низким, что они не в силах предотвратить сетевые вторжения.

«Мы не обнаружили свидетельств или указаний на то, что кибератака на компанию Premera стала следствием какого-то из выявленных аудиторами OPM недостатков. С тех пор мы реализовали корректирующие меры, которые обещали выполнить в нашем ответе. Установление источника атаки пока что остается частью продолжающегося расследования, которое проводит ФБР», - отметил пресс-секретарь компании.

Иан Томсон (Iain Thomson)

Источник: сайт издания «The Register»
http://www.theregister.co.uk/2015/03/23/premera_healthcare_hipaa/ 

Комментариев нет:

Отправить комментарий