LOL. No tengo experiencia en infosec, por lo que esperaba obtener alguna información sobre algo muy extraño que haya surgido en relación con mi proveedor de servicios de salud local.
¡Cualquier entrada sería hinchada!
-
Un estudio de caso sobre cómo arruinar a lo grande
Considere el siguiente escenario:
- Un proveedor de servicios de salud ha estado operando en un entorno de no producción poblado con más de 5 millones de registros de pacientes identificables.
-
Utilizan el entorno de no producción para la capacitación y son el único proveedor en su estado que no tiene un entorno de capacitación dedicado para estos fines.
-
Utilizaron el entorno de no producción para capacitar a unas 25,000 personas sobre cómo utilizar su eMR. La capacitación incluyó aprender cómo buscar registros de pacientes.
-
Durante la capacitación, entregaron credenciales de inicio de sesión desechables, por ejemplo. usuario101: contraseña101 que no estaba vinculada a ningún usuario.
-
Todos sus registros de acceso antes de decir, 2015, faltan porque accidentalmente habían deshabilitado la funcionalidad de registro.
-
Nunca auditaron el sistema. Esto es una vergüenza, porque si se hubieran molestado en hacerlo de vez en cuando, tendrían la monumentalidad en que se habían equivocado.
Lo más gracioso es que el Director Ejecutivo de la agencia alega que ha cumplido con la legislación de privacidad.
1. ¿Cuál es la cosa más seria que se ha hecho?
Creo que deshabilitar los registros de acceso es lo peor en tándem con el uso de credenciales de inicio de sesión desechables.
2. Si esto sucediera, ¿qué buscarías si tuvieras la oportunidad de buscar en el espacio de rastreo?
Como sé muy poco acerca de infosec, estos son mis pensamientos. El siguiente paso sería determinar si el entorno de no producción era accesible de forma remota, si se requería 2FA y si los registros de estado se podían exportar de forma remota. Mi pensamiento es que si esto ha sucedido, alguien podría acceder al entorno de forma remota y crear un volcado de la información de salud, sin que haya rastro de que esto haya ocurrido debido a la ausencia de registros.
También creo que si entregaron user101: password101, esto es algo que también hizo el Departamento de TI.
3. ¿Qué tan grave es esto en términos de frecuencia?
Le pregunté a un amigo que trabaja en el sector financiero y me dijo que nunca había oído hablar de algo así, pero que no había trabajado en la industria tanto tiempo. ¿Es esto algo de lo que podría escuchar una vez a la semana, una vez al mes o tal vez una vez al año? Y cuando digo hablar, me refiero a tu lugar de trabajo?