Een waarschuwend verhaal: wat de casus over geavanceerde gezondheidszorg ons vertelt over cyberveerkracht

Eind maart heeft Advanced Computer Software Group kreeg een boete van ruim £3 miljoen Door de Britse toezichthouder op gegevensbescherming. Meerdere beveiligingsfouten bij de IT-dienstverlener leidden tot de lekken van persoonlijke gegevens van bijna 80,000 mensen en brachten de fysieke veiligheid van kwetsbare personen in gevaar.

De dochteronderneming in kwestie, Advanced Health and Care (AHC), had beter moeten weten. Maar haar tekortkomingen zijn niet ongewoon. Het was gewoon de pech dat ze ontdekt werd nadat ransomware-actoren de NHS-leverancier hadden aangevallen. De vraag is hoe andere organisaties hetzelfde lot kunnen ontlopen. Gelukkig zijn veel van de antwoorden te vinden in de gedetailleerde boete die onlangs is gepubliceerd door het Information Commissioner's Office (ICO).

Wat ging er mis?

AHC biedt diverse essentiële diensten aan cliënten in de gezondheidszorg, waaronder de National Health Service, waaronder software voor patiëntenbeheer, elektronische patiëntendossiers, klinische beslissingsondersteuning, zorgplanning en personeelsbeheer. Het ondersteunt ook de NHS 111-service voor dringend advies over de gezondheidszorg.

Hoewel een deel van de informatie in het boetebericht van de ICO is weggelaten, kunnen we wel een ruwe tijdlijn opstellen voor de ransomware-aanval.

1. Op 2 augustus 2022 logde een cybercrimineel in op het Staffplan-systeem van AHC via een Citrix-account met een gehackte wachtwoord-/gebruikersnaamcombinatie. Het is onduidelijk hoe deze inloggegevens zijn verkregen.
2. Eenmaal binnen voerden ze een bestand uit om de twee jaar oude “ZeroLogon” te exploiteren kwetsbaarheid die niet gepatcht was. Hierdoor konden ze de rechten opvoeren tot een domeinbeheerdersaccount.
3. De aanvaller gebruikte deze privileges vervolgens om zich lateraal door domeinen te verplaatsen, antivirusbescherming uit te schakelen en aanvullende verkenningen uit te voeren. Ze maakten ook gebruik van de cloudopslag- en bestandshostingservices van AHC en downloadden 'Infrastructure management utilities' om data-exfiltratie mogelijk te maken.
4. De aanvallers plaatsten ransomware op 395 eindpunten en namen 19 GB aan gegevens over, waardoor Advanced gedwongen werd negen belangrijke softwareaanbiedingen offline te halen, waarvan drie als voorzorgsmaatregel.

De belangrijkste beveiligingslekken

De drie belangrijkste beveiligingstekortkomingen die het ICO-onderzoek aan het licht bracht, zijn als volgt:

Scannen op kwetsbaarheden: De ICO vond geen bewijs dat AHC regelmatig kwetsbaarheidsscans uitvoerde – wat wel had gemoeten gezien de gevoeligheid van de diensten en data die het beheerde en het feit dat de gezondheidszorg door de overheid als kritieke nationale infrastructuur (CNI) wordt aangemerkt. Het bedrijf had eerder tools voor kwetsbaarheidsscans, webappscans en beleidsnaleving aangeschaft, maar had ten tijde van de inbreuk slechts twee scans uitgevoerd.

AHC voerde wel pentesten uit, maar volgde de resultaten niet op, omdat de dreigingsactoren later misbruik maakten van kwetsbaarheden die door de tests waren ontdekt, aldus de ICO. Conform de AVG oordeelde de ICO dat dit bewijs aantoonde dat AHC er niet in was geslaagd "passende technische en organisatorische maatregelen te nemen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen."

Patchbeheer: AHC heeft ZeroLogon wel gepatcht, maar niet op alle systemen, omdat er geen "volwassen patchvalidatieproces" bestond. Sterker nog, het bedrijf kon niet eens valideren of de bug op de getroffen server was gepatcht, omdat er geen nauwkeurige gegevens beschikbaar waren om te raadplegen.

Risicomanagement (MFA): Er was geen multifactorauthenticatie (MFA) beschikbaar voor de Citrix-omgeving van Staffplan. In de gehele AHC-omgeving hadden gebruikers slechts de mogelijkheid om in te loggen bij twee apps (Adastra en Carenotes) met MFA. Het bedrijf had een MFA-oplossing, getest in 2021, maar had deze nog niet uitgerold vanwege plannen om bepaalde oudere producten waartoe Citrix toegang bood, te vervangen. Volgens de ICO noemde AHC de onwil van klanten om de oplossing te implementeren als een andere barrière.

Wat was de impact?

Er is een reden waarom de ICO zo'n forse boete oplegde, die werd verlaagd van een nog hoger bedrag van £ 6.1 miljoen nadat Advanced "proactief" contact had opgenomen met de autoriteiten en akkoord ging met een vrijwillige schikking. Simpel gezegd: het lek bracht de digitale en fysieke veiligheid van veel onschuldige betrokkenen in gevaar en zorgde ervoor dat belangrijke diensten wekenlang offline waren. Meer specifiek:

• Dreigingsactoren hebben gegevens van 79,404 personen gehackt, van wie bijna de helft speciale gegevens had. Dit omvatte medische dossiers, NI-nummers, informatie over religieuze overtuigingen, werkgelegenheid en demografische gegevens.
• Deze speciale categoriegegevens bevatte informatie over hoe men toegang kon krijgen tot de woningen van 890 betrokkenen die thuiszorg ontvingen.
• Een daaropvolgende service-uitval had gevolgen voor 658 klanten, waaronder de NHS, waarbij sommige diensten tot 284 dagen niet beschikbaar waren. Volgens wijdverspreide rapporten destijdsEr ontstond een grote verstoring van de kritieke NHS 111-dienst en huisartsenpraktijken moesten pen en papier gebruiken.

Het vermijden van hetzelfde lot

"De beslissing van vandaag is een duidelijke waarschuwing dat organisaties het risico lopen het volgende doelwit te worden zonder robuuste beveiligingsmaatregelen", aldus Informatiecommissaris John Edwards toen de boete werd aangekondigd. Wat wordt er dan als "robuust" beschouwd in het advies van de ICO? De boete verwijst naar het advies van de NCSC, Cyber ​​Essentials en ISO 27002 – laatstgenoemde biedt belangrijke richtlijnen voor de implementatie van de door ISO 27001 vereiste controles.

Er wordt specifiek verwezen naar ISO 27002:2017, waarin staat dat: "informatie over technische kwetsbaarheden van gebruikte informatiesystemen tijdig moet worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten passende maatregelen worden genomen om de daarmee samenhangende risico's aan te pakken."

Het NCSC dringt aan op kwetsbaarheidsscans die minstens eenmaal per maand worden uitgevoerd, wat Advanced blijkbaar ook in zijn bedrijfsomgeving heeft gedaan. De ICO benadrukte ook dat penetratietests alleen niet voldoende zijn, vooral niet wanneer ze ad hoc worden uitgevoerd, zoals bij AHC.

Bovendien beveelt ISO 27001:2022 expliciet MFA aan in zijn bijlage A om veilige authenticatie te bereiken, afhankelijk van het “type en de gevoeligheid van de gegevens en het netwerk.”

Dit alles wijst erop dat ISO 27001 een goed startpunt is voor organisaties die toezichthouders willen geruststellen dat ze de belangen van hun klanten vooropstellen en security by design als leidraad nemen. Sterker nog, het gaat veel verder dan de drie hierboven genoemde gebieden, die tot de AHC-schending hebben geleid.

Cruciaal is dat het bedrijven in staat stelt om af te zien van ad-hocmaatregelen en een systematische aanpak te hanteren voor het beheer van informatiebeveiligingsrisico's op alle niveaus van een organisatie. Dat is goed nieuws voor elke organisatie die wil voorkomen dat ze zelf de volgende Advanced wordt, of een leverancier als AHC inschakelt met een ondermaatse beveiligingshouding. De standaard helpt bij het vaststellen duidelijke verplichtingen inzake informatiebeveiliging om risico's in de toeleveringsketen te beperken.

In een wereld waarin de risico's toenemen en de complexiteit van de toeleveringsketen toeneemt, kan dit van onschatbare waarde zijn.