211service.com
Kryptering skulle inte ha stoppat Anthems dataintrång
Det senaste dataintrånget hos sjukförsäkringsbolaget Anthem såg att brottslingar fick tillgång till personliga uppgifter och personnummer för mer än 80 miljoner människor – den hittills största datastölden inom sjukvården. Medicinska data och betalningsdata komprometterades inte, men namn, adresser, födelsedagar och personnummer kan användas av brottslingar för att begå olika typer av bedrägerier.
Många människor har blivit förvånade över att höra att denna känsliga information inte var krypterad och att det federala mandatet för att säkra hälsorelaterad data, HIPAA, inte kräver att det är det. Faktum är att HIPAA endast starkt uppmuntrar kryptering. Organisationer som väljer att inte använda kryptering ska dokumentera skälen till varför inte och implementera en likvärdig alternativ åtgärd om det är rimligt och lämpligt. Det vaga i detta krav är kärnan i grupptalan och andra stämningar som lämnas in mot Anthem.
Men även om Anthem hade använt kryptering, kunde data fortfarande ha äventyrats. Kryptering är bara en del av den arsenal som organisationer behöver distribuera för att säkra känslig data. Kryptering är utmärkt för att säkra data under överföring och vila, men om autentiseringsuppgifterna och nycklarna äventyras gör det inte mycket för att skydda data.
Det större problemet i många överträdelser är att organisationer inte har implementerat säkerhetskontroller för dataåtkomst korrekt. De måste ha säkerhetsåtgärder på plats i fall angripare kan kringgå perimeterförsvar och äventyra administratörsuppgifter.
Detta är precis vad som hände med Anthem, som säger att dess angripare fick tillgång till minst fem uppsättningar av anställningsuppgifter .
Det är löjligt lätt för cyberbrottslingar att hitta den information de behöver för att äventyra nästan vilken organisation som helst. En snabb titt på Anthems jobbannonser och LinkedIn-profiler räckte för mig för att identifiera programvaran Anthem använder för sitt datalager.
Därifrån kunde jag enkelt identifiera mer än 100 personer, såsom systemarkitekter och databasadministratörer, som skulle ha privilegierad tillgång till datalagret som lagrar tiotals miljoner känsliga personuppgifter. Detta var förmodligen det första som Anthems angripare undersökte innan de genomförde en nätfiskekampanj för att distribuera skadlig programvara som användes för att samla in personalens autentiseringsuppgifter.
En angripare som kan kompromettera ett system via autentiseringsuppgifterna för en användare med åtkomst på administratörsnivå till datalagret kan enkelt stjäla fler autentiseringsuppgifter, hitta intäktsbar information och exfiltrera okrypterad data.
Så vad ska organisationer göra för att säkra känslig kunddata? Sofistikerade angripare med tillräckligt med tid och resurser kan ta sig in några organisation så småningom. Cyberkriminella är fullt medvetna om de ständiga avvägningar som organisationer gör för att balansera säkerhet med operativ effektivitet, och de har upprepade gånger visat att de är fullt kapabla att utnyttja även små säkerhetsbrister.
Anthem kommer inte att vara den sista hälsovårdsorganisationen som drabbas av ett massivt brott. Precis som med detaljhandeln kommer många organisationer att riktas mot, eftersom säkerhetssvagheter ofta delas över en hel bransch. Hälsovårdsorganisationer måste omvärdera sina säkerhetspraxis i ljuset av Anthem-intrånget för att säkerställa att de har lämpliga säkerhetskontroller på plats för att skydda sina nätverk.
Ken Westin är en senior säkerhetsanalytiker specialiserad på cyberbrott och hotintelligens för datasäkerhetsföretag Tripwire Inc .