ΑρχικήsecurityΠαραβίαση Premera: Είναι τα HIPAA standards πολύ χαμηλά ;

Παραβίαση Premera: Είναι τα HIPAA standards πολύ χαμηλά ;

Premera

Υπάρχει μία ενδιαφέρουσα τροπή όσον αφορά την παραβίαση δεδομένων στην Premera, εταιρία υγειονομικής περίθαλψης, που ανακοινώθηκε την προηγούμενη εβδομάδα. Η εν λόγω εταιρία είχε κριθεί συμβατή με τα Health Insurance Portability και Accountability (HIPAA) στα τέλη Νοεμβρίου του 2014. Η γενική δοκιμή των συστημάτων καθώς και ο απαραίτητος έλεγχος εφαρμογών είχαν πραγματοποιηθεί το Ιανουάριο του 2014 από το US Office of Personnel Management, μια ανεξάρτητη κυβερνητική υπηρεσία που διαχειρίζεται την δημόσια υπηρεσία της ομοσπονδιακής κυβέρνησης, επειδή η Premera παρέχει υγειονομική περίθαλψη και στο προσωπικό της κυβέρνησης.

Ο έλεγχος λοιπόν αποκάλυψε μερικά προβλήματα:

• Η Premera στερείται κάποιων φυσικών ελέγχων ασφαλείας που θα προλαμβάνουν την πρόσβαση στα δεδομένα.

• Η εταιρία διέθετε patch management policy, αλλά κάποια patches δεν εφαρμόζονταν έγκαιρα.

• Δεν υπήρχε καμία μεθοδολογία για την αποτροπή της χρήσης του μη υποστηριζόμενου ή του out-of-date software.

• Vulnerability scan εντόπισε ανασφαλείς ρυθμίσεις παραμέτρων του διακομιστή

• Δεν διέθεταν καταγεγραμμένη τη baseline του λογισμικού συστήματος, πράγμα που καθιστά μη αποτελεσματικό τον έλεγχο των ρυθμίσεων διαμόρφωσης της ασφάλειάς του.

• Δεν είχαν εκτελέσει προληπτικά ένα disaster recovery test, για όλα τα πληροφοριακά συστήματα.

Παρόλα αυτά η έκθεση αναφέρει πως «Δεν υπάρχει τίποτα που θα μας έκανε να πιστέψουμε πως η Premera, δεν είναι συμμορφώνεται με την ασφάλεια, την προστασία των ιδιωτικών δεδομένων και τους εθνικούς κανονισμούς του HIPAA». Κάποια απ’ αυτά τα θέματα έχουν ήδη διορθωθεί, από τον προκαταρκτικό έλεγχο του τον Απρίλιο του 2014, και όπως αναφέρει ο εκπρόσωπος της εταιρίας, δεν υπάρχουν στοιχεία που να συνδέουν τα προβλήματα με την παραβίαση τον Μάϊο του 2014.

Όπως επισημαίνει όμως ο Iain Thomson, τα παραπάνω θα μπορούσαν να αποτελέσουν τελικά απόδειξη ότι τα HIPAA standards είναι απλώς πολύ χαμηλά για να παρέχουν ασφάλεια με βάση τις σημερινές ανάγκες. Διαφορετικά απλώς θα αποκαλυφθεί εν τέλει ότι οι επιτιθέμενοι όντως χρησιμοποίησαν μια κάποια απ’ τις παραπάνω τρύπες για την επίθεσή τους.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS