1200 páciens adata vált kiszolgáltatottá egy ellopott pendrive miatt

Egy biztonsági rés következtében a University of Miami 1200 páciensének adata került veszélybe. 2011 novemberében feltörték a Miller School of Medicine egyik orvosának autóját, ahonnan egy aktatását loptak el, melyben többek között egy titkosítatlan pendrive is volt.

Az usb flash meghajtó a 2005 és 2011 között kezelt páciensek adatait tartalamzta (nevek, születési dátumok, diagnózisok stb.), de pénzügyi adatok vagy társadalombiztosítási számok szerencsére nem voltak tárolva a meghajtón, közölte a University of Miami egy sajtóközleményben.

A szövetségi törvényeknek megfelelően a University of Miami tájékoztatja az érintett pácienseket az esetről, habár “az adatokkal való visszaélésről nincs bizonyíték”

Az egyetem megígérte, hogy átnézi és módosítja a fizikai és digitális biztonságra vonatkozó előírásokat, biztosítván ezáltal a betegek személyes adatainak integritását. Ez azonban nem az első adatbiztonsági incidens az egyetem történelmében. 4 évvel ezelőtt 2.1 millió páciens személyes adata vált kiszolgáltatottá, miután a számítógépes mágnesszalagokat szállító furgont kirabolták. Az adatszállítás terén tehát az egyetem semmit sem változtatott az elmúlt 4 évben. Reméljük, hogy nem kell sor kerüljön egy újabb biztonsági incidensre míg végre titkosítani fogják  a hordozható adattárolókon lévő információkat.

Nőnek az adatbiztonsági rések az egészségügyben

Az egészségügyi intézmények által bejelentett számos biztonsági rés és adatszivárgási eset alapján nem nehéz megállapítani, hogy ebben az ágazatban az adatbiztonság még gyerekcipőben jár. Az amerikai egészségügyi szektor biztonsági kihívásairól a Ponemon Institute publikált egy újabb jelentést, mely szerint az adatbiztonsági incidensek száma 30%-al nőtt, míg az ezekkel járó átlagos éves költségek elérték a 6,5 milliárd dollárt.

A biztonsági rések fő okának továbbra is az alkalmazottakat tekintik. A jelentés szerint a kórházak és más egészségügyi intézmények átlagosan 4 adatvesztési esettel néztek szembe az elmúlt év során, ennek következménye pedig az esetek 30%-ában személyazonosság lopás lett, ami 2010-hez képest több mint 25%-os növekedést jelent. Ez viszont nem jelenti feltétlenül azt, hogy a tavalyhoz képest nőtt az incidensek száma, hanem a magyarázatot inkább az intézmények észlelési képességének a növelésében kell kereseni, mondta Larry Ponemon, a Ponemon Institute vezetője.

Az egészségügyben használt mobil eszközök használata is igencsak fontos tényező. Az alkalmazottak 80%-a adatgyűjtésre, továbbításra és tárolásra használja ezeket az eszközöket, viszont 50%-uk nem használ semmiféle védelmi megoldást, ezáltal a betegek adatai bármikor kiszolgáltatottá válhatnak, ami árnyékot vet a személyzet által nyújtott szolgáltatásokra.

Az egészségügyi intézményekben történő adatvesztési incidensek majdnem felét a lopott vagy elvesztett eszközök okozzák, 46%-át pedig a különböző folyamatokban résztvevő harmadik fél. Az adatokkal dolgozó személyek 61%-a nem tudja hol tárolja az összes páciens adatát, míg a személyzet több mint fele nem képes felismerni az adatvesztési incidenseket.

A teljes jelentés letölthető innen.

Egy vírus miatt került veszélybe 3000 páciens adata

A wisconsini Living Healthy klinikán folyó vizsgálat során egy olyan vírust találtak a klinika egy számítógépén, mely már 3000 páciens adatát szivárogtatta ki.

A szakemberek szerint a támadás nem kimondottan az egészségügyi központot célozta, mivel ugyanez a vírus más amerikai egységek számítógépein is felbukkant.

A kártevő neveket, címeket, biztosítási számokat és egészségügyi adatokat szivárogtatott ki az intézményből.

A klinika hivatalos szervei értesíteni fogják az érintett személyeket a biztonsági résről és informálni fogják őket a megefelelő védelmi intézkedésekről.

Az RBS alvállalkozóinak fizetése feltárva

A Hays munkarő-közvetítő cég egy illetéktelen e-mailt küldött az RBS (Royal Bank of Scotland) 800 alkalmazottjának, melyben feltárta a részmunkaidőben dolgozó munkavállalók fizetését.

Annak ellenére, hogy az e-mail csak a bank alkalmazottjaihoz jutott el, akik kötelesek a bizalmas információkat megvédeni, az RBS vezetősége kifejezte sajnálatát az eseménnyel szemben és szorosan együttműködik Hays céggel az adatok visszaszerzése érdekében.  A munkaerő-közvetítő cég vizsgálatot indított, hogy felfedezze a biztonsági rés okát.

Mivel a többségben állami tulajdonban lévő bank magas béreket fizet a munkatársainak, az incidens következtében heves vita alakult az ügy körül.

Hackerek és lopott adatok

A hackerek nem a vállalatok nagysága szerint válasszák ki a célpontokat. Mindenhol jelen vannak, könnyen megtalálják a biztonsági réseket és ki is használják ezeket. 3 fontosabb incidensről értesültünk a múlt héten.

Az első támadás a kolumbiai rendőrséget érta, ahol a hackerek valóságos “spam bombákat” használtak az adatok megszerzésére. A sikeres támadás után közzétették a rendőrségi alkalmazottak személyes adatait, többek között a fizetéseiket is, és zsarolásra bíztatták az ország népességét.

A második adatvesztési incidens, mely napfényre került az elmúlt héten a BET24.com weboldalt érinti. A szerencsjátékokat szolgáltató weboldal csak 19 hónappal az adatvesztés után tudatta az érintettekkel, hogy adataikat ellopták. A hackerek eladták az ellopott adatokat (nevek, címek, e-mail címek, felhasználónevek, jelszavak és bankkártyaszámok), így ezeket egy harmadik félnél fedezték fel.

“Köztudott, hogy néhány BET24 felhasználói adattal már visszaéltek a tolvajok. Több ügyfelünk jelezte, hogy engedélyük nélkül tünt el pénz a felhasználói fiokból, viszont a veszteségeket teljes egészében kárpótoltuk.”, írja a BET24 által közzétett biztonsági jelentés.

A tazmániai kormányt is hacker támadás érte a közelmúltban. A támadók azt állítják, hogy összesen 1800 miniszterelnöki, egészségügyi, kincstári, stb. alkalmazottak felhasználónevét, e-mail címét és jelszavát szerezték meg.

Egészségügyben dolgozó alkalmazott 9.000 kollégája adatát lopta el

A kaliforniai Egészségügyi Minisztérium egyik alkalmazottja úgy gondolta, hogy nagyszerű ötlet lenne egy hordozható merevlemezre másolni a volt és jelenlegi kollégái személyes adatait. 9.000 személy nevét, születési dátumát és lakcímét érinti a biztonsági incidens.

Az egészségügyi Minisztérium vizsgálatot indított a biztonsági rés okának és nagyságának felfdezését illetően.

Időközben a tettest felfüggesztették és a vizsgálat során felmerült kérdésekre kell válaszolnia.

A rést egy biztonsági rendszer segítségével fedezték fel, mely még áprilisban jelezte a veszélyes eseményt a titsztvislőknek. A minisztérium azt állítja, hogy az incidens következtében javítottak a biztonsági rendszeren a hasonló események elkerülése érdekében.

Az adatlopás, -szivárgás vagy adatvesztés megelőzése nem is olyan nehéz, mint gondolnánk. Egy végpont-biztonsági DLP megoldás, mely követni tudja az adatáramlást (ki milyen adatokat másolt egy hordozható eszközre vagy az eszközről a számítógépre) minimumra csökkenti a belső adatlopással kapcsolatos veszélyeket.

Az egézszségügyben történő biztonsági rések nagy részét a hordozható eszközök elvesztése vagy lopása okozza

Habár számos megoldás létezik már az adatszivárgások megelőzésére, az egészségügyben történő emberi hibák okozta biztonsági rések száma egyre növekszik. Laptopok, merevlemezek, pendriveok és egyéb hordozható tárolóeszközök elvesztése, lopása vagy illetéktelen kezekbe való kerülése által emberek ezrei esnek jól megtervezett csalások áldozataivá.

Például, 20.000 bejegyzést tartalmazó notebookot loptak el a múlt hónapban a Reid Kórház egyik alkalmazottjától. A laptop azon páciensek adatait tárolta, akik 1999 és 2008 között vették igénybe a kórház szolgáltatásait.

A phoenixi fogorovosoktól ellopott titkosítatlan pendrive 10.000 pácienst érint, akik most könnyen identitáslopás vagy más csalások áldozataivá válhatnak.

Phoenixi fogorvosok miatt került veszélybe 10.000 páciens adata

Brian J. Daniels és Paul R. Daniels phoenixi fogorvosok a honlapukon keresztül közölték az adatszivárgást. A biztonsági rést egy ellopott pendrive okozta, melyen 10.000 páciens személyes adata volt tárolva.

A tudosítás rövid és kevés releváns információt tartalmaz:

2011 Március 2-án értesítettük a HIPAA-t, hogy egy biztonsági rés következtében pácienseink elektronikusan tárolt adatait ellopták. Ha bármilyen kérdése van, hívja a 602-265-8751 telefonszámot.

Mivel a honlap tartalma szegényes  és egyelőre a média se verte nagy dobra az ügyet, több információt csak az Egészségügyi és Humán erőforrások osztályától kaphatunk az incidens kivizsgálása után.

A kiberbűnőzés felülmúlja a rendszer meghibásodás okozta károkat

A Ponemon Institute szokása szerint idén is elkészítette IT biztonsági felmérését. Ezúttal angol és amerikai vállalatok szerepeltek a felmérésben.

Egyes it szakemberek szerint a biztonsági résekkel járó költségeknek csökkeniük kell, mivel az emberek lassan hozzászoknak a biztonsági incidensekről kapott hírekhez. 2010-ben viszont ez mégsem következett be, sőt, mi több, ha 2009-ben az ugyanilyen felmérés 6,8 millió dolláros károkat számlált, 2010-ben a károk elérték 7,2 millió dollárt. Az utolsó felmérés az egy rekord elvesztéséből származó károkat 214 $-ra becsülte. Az összeg a közvetlen költségeken kívül tartalmazza a értesítésekkel, ügyfelek elvesztésével, rossz hírnévvel, stb. kapcsolatos költségeket is.

Az adatvesztések fő oka továbbra is a hanyagság és nemtörömdömség (41%). 2010-ben a kiberbűnőzés felülmúlja a rendszer meghibásodás okozta károkat 31%-os részesedéssel. Ezen rosszindulatú támadások nem csak kívülről, hanem belülről is érkezhetnek (pl. bizalmas adatok lopása usb pendriveon) és sokkal több költséggel járnak mint például a gondatlanság miatt bekövetkező incidensek.

A felmérés azt is kimutatta, hogy azokban az intézményekben, ahol IT-Security vezető van, a bizontásgi incidensek bekövetkeztének valószínűsége kisebb. Egy másik említésre méltó  tendencia, hogy a vállalatok próbálnak a lehető legrövidebb idő alatt reagálni a biztonsági incidensekre. Ez kétélű fegyver, mivel a Ponemon Institute felmérése szerint az adatbiztonsági incidensekre gyorsan reagáló vállalatok 54%-al fizetnek többet.

A felmérésről részeltesebben a következő linken lehet olvasni: http://www.ponemon.org/blog/post/cost-of-a-data-breach-climbs-higher

Az Egyesült Államok katonasága betiltotta a cserélehtő adathordozó eszközök használatát, hogy megelőzze az adatszivárgást

Az amerikai katonákat bírósági tárgyalásokkal fenyegetik, ha cserélhető adathordozó eszközöket használnak.

Az Air Force Network Operations parancsnoka, Richard Webber vezérőrnagy, betiltotta az Air Force-al kapcsolatban álló szervezeteknek, hogy cserélhető adathordozó eszközöket (CD, DVD, pendrive, stb.) használjanak a SIPRNET (Secret Internet Protocol Router Network) bármilyen rendszerén, szerverén vagy önálló számítógépén. Ezen intézkedés által próbálják megelőzni és elkerülni a biztonsági réseket, melyek nagymértékű adatszivárgásokhoz vezethetnek, mint például a WikiLeaks. Bradley Manning azt mondta, hogy mielőtt elküldte volna az adatokat a WikiLeaksnek, több százezer fájlt töltött le egy CD-re, melyet elnevezett Lady Gaganak.

A szervezetek vezetői tudatában vannak annak, hogy a biztonságra vonatkozó új előírás megnehezíti az adatok használatát, mivel az érzékeny adatokat tároló számítógépeket sok esetben lecsatlakoztatják a hálózatról vagy alacsony sávszélességű területeken üzemeltetik. Azonban, ha az előírások ellenére is lesznek olyan személyek, akik továbbra is használnak USB alapon működő hordozható eszközöket, a katonai bíróság gondoskodni fog büntetésükről.

A cserélhető adathordozó eszközök használatának betiltásáról itt lehet bővebben olvasni: http://www.wired.com/dangerroom/2010/12/military-bans-disks-threatens-courts-martials-to-stop-new-leaks/