Versleuteling zou Anthem's datalek niet hebben gestopt

Door het recente datalek bij zorgverzekeraar Anthem kregen criminelen toegang tot de persoonlijke gegevens en burgerservicenummers van meer dan 80 miljoen mensen - de grootste diefstal van gegevens in de gezondheidszorg tot nu toe. Medische en betalingsgegevens zijn niet in gevaar gebracht, maar de namen, adressen, verjaardagen en burgerservicenummers waartoe toegang is verkregen, kunnen door criminelen worden gebruikt om verschillende soorten fraude te plegen.





Veel mensen waren verrast om te horen dat deze gevoelige gegevens niet versleuteld waren en dat het federale mandaat voor het beveiligen van gezondheidsgerelateerde gegevens, HIPAA, dit niet vereist. In feite moedigt HIPAA encryptie alleen sterk aan. Organisaties die ervoor kiezen geen encryptie te gebruiken, worden geacht de redenen te documenteren waarom dit niet het geval is en een gelijkwaardige alternatieve maatregel te implementeren indien redelijk en passend. De vaagheid van deze vereiste is de kern van class action en andere rechtszaken die tegen Anthem worden aangespannen.

Maar zelfs als Anthem codering had gebruikt, konden de gegevens nog steeds zijn aangetast. Versleuteling is slechts een deel van het arsenaal dat organisaties moeten inzetten om gevoelige gegevens te beveiligen. Versleuteling is geweldig voor het beveiligen van gegevens in transit en in rust, maar als de inloggegevens en sleutels worden gecompromitteerd, helpt dit weinig om de gegevens te beschermen.

Het grotere probleem bij veel inbreuken is dat organisaties de beveiligingscontroles voor gegevenstoegang niet correct hebben geïmplementeerd. Ze moeten beveiligingen hebben voor het geval aanvallers de perimeterverdediging kunnen omzeilen en de referenties op beheerdersniveau in gevaar kunnen brengen.



Dit is precies wat er gebeurde met Anthem, dat zegt dat de aanvallers toegang hebben gekregen tot ten minste vijf sets van werknemersreferenties .

Het is belachelijk eenvoudig voor cybercriminelen om de informatie te vinden die ze nodig hebben om bijna elke organisatie te compromitteren. Een snelle blik op Anthem-vacatures en LinkedIn-profielen was genoeg voor mij om de software te identificeren die Anthem voor zijn datawarehouse gebruikt.

Van daaruit kon ik gemakkelijk meer dan 100 mensen identificeren, zoals systeemarchitecten en databasebeheerders, die bevoorrechte toegang zouden hebben tot het datawarehouse waar tientallen miljoenen gevoelige persoonlijke gegevens zijn opgeslagen. Dit was waarschijnlijk het eerste dat de aanvallers van Anthem onderzochten voordat ze een phishing-campagne voerden om de malware te verspreiden die werd gebruikt om de inloggegevens van werknemers te verzamelen.



Een aanvaller die een systeem kan binnendringen via de inloggegevens van een gebruiker met toegang op beheerdersniveau tot het datawarehouse, kan gemakkelijk meer inloggegevens stelen, informatie vinden waarmee inkomsten kunnen worden gegenereerd en niet-versleutelde gegevens exfiltreren.

Dus wat moeten organisaties doen om gevoelige klantgegevens te beveiligen? Geavanceerde aanvallers met voldoende tijd en middelen kunnen binnenkomen ieder organisatie uiteindelijk. Cybercriminelen zijn zich volledig bewust van de constante afwegingen die organisaties maken om beveiliging en operationele efficiëntie in evenwicht te brengen, en ze hebben herhaaldelijk aangetoond dat ze volledig in staat zijn om zelfs de kleinste zwakke punten in de beveiliging uit te buiten.

Anthem zal niet de laatste zorgorganisatie zijn die een enorme inbreuk zal ondergaan. Net als bij de detailhandel, zullen veel organisaties het doelwit zijn, omdat zwakke punten in de beveiliging vaak worden gedeeld door een hele branche. Zorgorganisaties moeten hun beveiligingspraktijken opnieuw evalueren in het licht van de Anthem-inbreuk om ervoor te zorgen dat ze over passende beveiligingscontroles beschikken om hun netwerken te beschermen.



Ken Westin is een senior beveiligingsanalist, gespecialiseerd in cybercriminaliteit en informatie over bedreigingen voor een computerbeveiligingsbedrijf Tripwire Inc .

zich verstoppen