Сократилось количество утечек данных в организациях здравоохранения США

Сократилось количество утечек данных в организациях здравоохранения США

В 2011 году самые громкие инциденты с утечками данных произошли в сфере здравоохранения, однако новое исследование США показало, что количество подобных инцидентов уменьшается год от года. В 2012 году общее количество крупных нарушений IT-безопасности в США возросло на 21,5% в сравнении с 2011 годом, в то время как инцидентов с утечками медицинских данных пациентов стало меньше на 77%.

Эта статистика  представлена в новом исследовании Redspin Breach 2012 американской общественной организации Open Security Foundation, согласно которому в 2012 году число глобальных нарушений безопасности данных по всем отраслям достигло 2644, более чем удвоив количество инцидентов позапрошлого года. Несмотря на рост числа нарушений, положительная динамика в сфере здравоохранения налицо – в 2012 году было скомпрометировано всего 267 млн медицинских данных по сравнению с 412 млн записей в 2011, сообщает infowatch.ru.

Согласно отчету Redspin Breach 2012, 67% всех нарушений в сфере здравоохранения США были результатом кражи или утери устройства, на котором хранилась информация, в то время как на случаи с хакерской атакой приходится лишь 6% инцидентов. В 38% случаях предметом утечки стала информация, хранящаяся в незашифрованном виде на ноутбуке или другом портативном электронном устройстве, что говорит о серьезном недочете в общепринятых практиках по защите данных внутри корпоративных сетей.

Redspin предупреждает, что со вступлением в силу правила, объединяющего различные требования HIPAA, организации могут столкнуться с необходимостью предоставлять данные о большем количестве утечек, поскольку это правило расширяет пределы правового регулирования и теперь также подразумевает проверку систем ИБ бизнес-партнеров медицинских учреждений.

Основываясь на статистике прошлых лет, Redspin заявляет, что уязвимости в системе информационной безопасности компании, являющейся деловым партнером медучреждения, в пять раз увеличивают риск утечки данных пациентов. В 2012 году более чем в половине (57%) инцидентов с утечками данных пациентов участвовали бизнес-партнеры медицинских организаций (подрядчики и поставщики).

"Мы рекомендуем больницам провести всесторонний анализ корпоративной сети в целях определения уровня зависимости информационной безопасности от десятка или даже сотни поставщиков, подрядчиков и консультантов, с которыми они работают", – отмечают эксперты Redspin.

По заявлению Redspin, существует ряд мер, которые помогут медицинским учреждениям обезопасить свою корпоративную сеть от утечек информации. В первую очередь, это анализ соответствия информационных систем нормам безопасности HIPAA и стандартный процесс поиска и устранения текущих уязвимостей. Далее следует интегрирование этих отчетов в систему оценки риска нарушений IT-безопасности. Кроме того, нельзя забывать о необходимости использовать шифрование данных на всех портативных устройствах. Потеря или кража незашифрованных электронных носителей информации составляет более трети всех крупных нарушений на сегодняшний день. Также немаловажным шагом на пути к усилению защиты информации компании является организация и проведение регулярных, частых тренингов по вопросам информационной безопасности для всех сотрудников.

Ставки остаются высокими, несмотря на уменьшение количества обнародованных медицинских данных в 2012 году. "В последние годы уровень IT-безопасности отдельной компании имеет значение в масштабах всей отрасли, - говорится в отчете Redspin. – Нарушения IT-безопасности могут привести к значительным финансовым потерям, нанести ущерб репутации и привести к потере доверия потребителей. В сфере здравоохранения этаугроза достигает глобальных размеров, так как оказывает влияние на всю систему ведения медицинских записей в электронном виде, которая уже стала основой для повышения эффективности затрат, оказания скорой медицинской помощи и, в целом, оказывает положительное влияние на результативность лечения пациентов в рамках системы здравоохранения США".

Комментирует главный аналитик InfoWatch Николай Федотов: «Следует пояснить, что медицинские данные пациентов и врачей в США являются ходовым товаром на чёрном рынке. Поскольку практически вся медицина в США - страховая, возможны различные виды мошенничества. Начиная от простейшего получения медицинской помощи за чужой счёт и заканчивая организацией виртуальной клиники с фиктивными врачами и фиктивными пациентами.

Страховые компании просто не имеют возможности проверить все случаи оказания медпомощи. Они ограничиваются сопоставлением персональных данных пациентов и врачей, да и то не всегда. Ни пациенты, ни врачи не заинтересованы в пресечении мошенничества, т.к. они от этого деньги не теряют. А страховым компаниям, видимо, и так живётся неплохо. В итоге ведётся некоторая борьба с последствиями, но саму систему учёта, которая стимулирует махинации с персональными данными, никто менять не собирается».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PoC-коды для атак на сайты через уязвимости публикуются раз в три дня

Согласно результатам исследования, каждый месяц в веб-приложениях суммарно объявляется около 1000 новых уязвимостей. Четверть из них получают оценку «высокой опасности» или «критическая» (по CVSS).

Как подсчитали специалисты BI.ZONE, в 4% случаев концепция эксплойта становится достоянием общественности, такие PoC выкладывают в паблик 2-3 раза в неделю. Статистика была получена на основе анализа данных о веб-уязвимостях, выявленных этой осенью.

Около половины находок составили XSS и SQLi (26 и 22% соответственно). Вместе с тем авторы атак отдают предпочтение RCE — на такие попытки эксплойта пришлось 60% вредоносного трафика, зафиксированного осенью экспертами.

Опасные уязвимости чаще всего объявляются в приложениях, написанных на PHP (73%). Вторую и третью строчки в этом списке заняли JavaScript (13%) и Java (12%).

«Не все компании готовы оперативно обновлять софт до последней версии: в ряде случаев это может привести к сбоям в работе приложения, — отметил Дмитрий Царев, возглавляющий направление облачных решений кибербезопасности BI.ZONE. — В такой ситуации можно использовать решения класса WAF, чтобы блокировать вредоносные запросы. Это позволяет оперативно защитить приложение, пока компания тестирует обновление».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru