Виктория общественной системы здравоохранения является “чрезвычайно уязвимы” к нападению подобного тому, который произошел в Сингапуре в прошлом году, где 1,5 миллиона пациентов медицинских записей были эксфильтрацию.

Аудитор-общем докладе, опубликованном в среду вскрыла серьезные недостатки безопасности и уязвимостей, которые он сказал левые данные пациента в группу риска.

“Виктории здравоохранения система весьма уязвима к кибератакам недавно переживала Национальная служба здравоохранения (НСЗ) в Англии, в Сингапуре, и в Мельбурне кардиологии поставщика, что повлекло за украденные или непригодные данные пациента и сорвали больничных услуг,” генерального аудитора говорится в докладе. [формат PDF]

“Есть несколько ключевых слабых мест в физической безопасности медицинских услуг, а в их логической безопасности, которая охватывает Управление паролями и другими управляет доступом пользователей.

“Осведомленность сотрудников в вопросах безопасности данных является низкой, что повышает вероятность успеха методы социальной инженерии, такие как фишинг или впритык в корпоративных районах, где инфраструктура ИКТ и серверы могут быть расположены”.

Аудит включал в себя Баруон здравоохранения, Королевская Детская больница, Королевский Викторианский глаз и ухо больнице и две различные области Департамент здравоохранения и социальных служб США (dhhs).

Во всех четырех агентств, генеральный Ревизор команды сумел воспользоваться слабостями и получать доступ к данным пациента.

“Проверенные медицинские услуги недостаточно активной, а не брать весь госпиталь подход к безопасности, который признает, что защита данных пациент не просто задач для ИТ-персонала”, говорится в докладе.

Кроме того, медицинские услуги полагаются на внешних поставщиков услуг, но не были “полностью в курсе” элементы безопасности, что эти внешне размещением платформ выполнены.

“Из-за зависимость сектора от сторонних поставщиков услуг здравоохранения должны активно следить за деятельностью поставщиков, чтобы гарантировать, что данные пациента является безопасным,” в ходе проверки установлено.

Здравоохранение Виктории имеют доступ к набору 72 базовых механизмов кибербезопасности, разработанный ДСНС филиала цифрового здравоохранения.

Но, на сегодняшний день, “нет Викторианский услуги здравоохранения в полном объеме осуществляет все 72 управления”.

“Проверенные сервисы в области здравоохранения советуют, что основные препятствия на пути осуществления контроля являются отсутствие целевого финансирования для проектов в области кибербезопасности и ограниченная доступность сотрудников,” аудиторский отчет сказал.

Кроме того, нет никаких наказаний за несоблюдение правил, которая была, вероятно, пособничество медицинских услуг в медленно осуществления контроля.

Сектор здравоохранения в Австралии неизменно является одним из лучших отраслей промышленности, чтобы страдать отчетных данных нарушений, по данным статистики, опубликованным Управлением австралийского комиссара по информации (OAIC) в рамках тендера.

Слабый контроль доступа, пароли

Аудит выявил серьезные проблемы с тем, как контроль доступа осуществляется.

Его нашли неиспользованный и заблокированные учетные записи сотрудников, которые были по-прежнему включены, а также отсутствие каких-либо официальных или регулярный доступ пользователей комментарии “, чтобы обеспечить только сотрудники, которые нуждаются в доступе есть.”

Кроме того, медицинское обслуживание не держат формы доступа пользователей, чтобы доказать, что эти разрешения были фактически одобрил их проводить.

“Эти недостатки означают, что органы не могут быть уверены в том, что только авторизованный персонал пациенту доступ к записи”, – говорится в аудите.

Генеральный Ревизор нашел пароли, которые можно легко разломать, отчасти потому, что некоторые из них были в системе по умолчанию – даже на учетные записи администратора.

“Мы нашли персонал учетные записи пользователей на всех проверенных агентств со слабыми паролями, которые были доступны с помощью основных инструментов взлома,” в ходе проверки установлено.

“Нам удалось получить доступ к учетной записи администратора.

“Мы также обнаружили, что медицинские услуги редко используется многофакторная проверка подлинности (MFA), даже для сотрудников и администраторов в области ИКТ.

“Мы выявили примеры, когда проверенные турфирмы по-прежнему используют имена пользователей и пароли по умолчанию на ключевых устройств, включая серверы”.

Больше

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here