医療IT事業者CareCloudへの攻撃により、機密患者データが流出し、重要システムへのアクセスが一時的に中断され、デジタル医療インフラが直面する継続的なリスクが浮き彫りになりました。
「インシデントの性質と規模の調査を継続しています。影響を受けた環境には患者情報が保存されており、当社は患者情報またはその他のデータがアクセスまたは流出したかどうか、およびその程度、ならびにそのようなデータのカテゴリと量を引き続き評価しています」と、同社はSEC提出書類で述べています。
CareCloudインシデントについて我々が知っていること
電子健康記録(EHR)および医療施設管理ソリューションのSaaS事業者であるCareCloudは、患者健康データが含まれる環境への不正アクセスを確認しました。
同社はインシデントを限定的な範囲と説明していますが、この侵害は、第三者ベンダーリスクと共有医療プラットフォーム内での保護されている健康情報(PHI)の潜在的な流出に関する継続的な懸念を強調しています。
この時点で、CareCloudは何人の個人が影響を受けたか、またはどの特定のデータ要素がアクセスされたか流出した可能性があるかを特定していないため、インシデントの全体的な影響は不明です。
この侵入はCareCloudの内部IT基盤を対象としており、具体的には顧客が使用する6つのEHR環境の1つに影響を与えたようです。
同社は約8時間以内に機能を復旧しましたが、短時間の中断でも、患者記録への継続的なリアルタイムアクセスに依存する医療業務に影響を与える可能性があります。
責任を主張するランサムウェアグループが存在しないことは、これが恐喝主導の攻撃というより、データ重視の侵入である可能性を示唆しています。
CareCloudは初期の攻撃ベクトルを明かしていませんが、この性質のインシデントは、侵害された認証情報、パッチが当たっていない脆弱性、または設定ミスのあるシステムから発生する可能性があります。
ネットワーク内に侵入すると、攻撃者はEHRデータベースや機密データの他のリポジトリなどの高価値資産を特定してアクセスするために、ラテラルムーブメントを試みることがよくあります。
この場合、侵害は単一の環境に限定され、全体的な影響範囲の制限に役立ちました。
しかし、患者健康記録の関与はインシデントの重大性を高めます。医療データはその深さ、永続性、および詐欺の可能性により、アンダーグラウンドマーケットで高く評価され続けているためです。
医療SaaSリスクを低減する方法
医療SaaSプラットフォームに依存する組織は、リスクを低減し、潜在的な侵害の影響を制限するために、サイバーセキュリティに対してプロアクティブで多層的なアプローチを取る必要があります。
- 第三者リスク評価を実施し、第三者SaaSのセキュリティ態勢と統合を継続的に監視します。
- MFA、最小権限の原則、および特権アクセス管理を含む、強力なアイデンティティおよびアクセス制御を実施します。
- 集中ログ、SIEM、およびエンドポイント検出ツールを使用して、システムおよびネットワークの異常なアクティビティを監視します。
- すべてのシステム、アプリケーション、およびクラウド環境全体で、適切なパッチと安全な構成を維持します。
- 暗号化、データ最小化、およびDLPツールを使用した機密データの保護により、侵害の影響を制限します。
- データ侵害シナリオのインシデント対応計画をテストします。
- ゼロトラスト原則、ネットワークセグメンテーション、および堅牢なバックアップ戦略により、全体的なセキュリティアーキテクチャを強化します。
CareCloudは、インシデントを調査し防御を強化するために外部のサイバーセキュリティ専門家を従事させたと述べ、脅威アクターはもはやシステムにアクセスできないことを確認しました。
医療サプライチェーンのサイバーリスク
CareCloudインシデントは、個々の医療施設というより、医療技術SaaS事業者を対象とする攻撃へのより広い傾向の転換を浮き彫りにしています。
SaaSプラットフォームへの依存が増すにつれ、単一のインシデントがそれらのサービスに依存する複数の組織に影響を与える可能性があります。
これは、機密データを保護する際のベンダーと顧客間の強力なサプライチェーンセキュリティプラクティスと明確な責任分担の必要性を強化しています。
これらの進化するリスクに対応するために、組織はアクセス制御を強化し、侵害の潜在的な影響を低減するために、ゼロトラストソリューションを採用しています。
