Sérias dúvidas têm sido levantadas quanto as regras de segurança de dados do governo os EUA, seguindo palavra que médico Premera Cruz Azul servidores 's foram saqueados por informações financeiras e médicas por hackers - apesar de ter sido declarada segura pelo Tio Sam.
A biz sob fui uma auditoria de segurança de computador por um cão de guarda federal em janeiro de 2014, foi dito em abril que precisava melhorar em algumas áreas, começou a fazer as mudanças necessárias em junho, e fechou o ano com uma marca oficial declarando-o compatível com Portabilidade de Seguro de Saúde e Accountability Act ( HIPAA ). HIPAA estabelece uma referência nacional para lidar com segurança registros eletrônicos de saúde.
Em meio a tudo isso, Premera foi secretamente comprometido maio por criminosos, como revelado na semana passada . O que quer que as mudanças foram feitas depois de abril pode ter sido tarde demais.
Premera foi auditado pela do Tio Sam Escritório de Gestão de Pessoal , porque a biz, com sede em Washington, é um profissional de saúde para os funcionários do governo sob o Federal Trabalhadores da Saúde Benefícios Act. A avaliação de dois meses [PDF] avistou um par de áreas que precisavam de endereçamento:
- Funcionários Premera não estavam mantendo-se atualizado com patches de segurança para o seu software, deixando os computadores vulneráveis a ataques.
- Sysadmins não tivesse concordado em um conjunto de "base" de definições de configuração para garantir que todos os seus sistemas estavam seguros com o mesmo padrão, ou melhor.
Os auditores referiu no seu relatório final, datado de 28 de novembro de 2014:
Premera documentou políticas e procedimentos de gerenciamento de patch. No entanto, os resultados das verificações de vulnerabilidade indicam que patches críticos, service packs e hot fixes nem sempre são implementadas em tempo hábil. A não instalação imediatamente atualizações importantes aumenta o risco de que as vulnerabilidades não vai ser corrigido e os dados sensíveis que poderão ser violados.
Premera não pode efetivamente auditar suas configurações do servidor e de segurança de banco de dados, sem uma linha de base aprovado, como uma configuração básica é a referência para comparação. Deixar de estabelecer e monitorar rotineiramente a configuração do sistema aprovados aumenta o risco o sistema pode não atender aos requisitos de desempenho e de segurança definidos pela organização.
Apesar de tudo isso, Premera foi declarado conforme com a Portabilidade de Seguro de Saúde e Accountability Act (HIPAA).
"Nada chegou ao nosso conhecimento que nos fez acreditar que Premera não está em conformidade com a segurança HIPAA, privacidade e regulamentos nacionais identificador provedor", afirmou o relatório final.
O relatório constatou algumas outras áreas de preocupação. O acesso ao centro de dados da empresa era de cartão-chave controlada, mas faltava um segundo fator de autenticação, como a biometria, e não havia câmeras apontando para as entradas para as salas de servidores, o que poderia ter manchado duas pessoas entrando em uma porta ao mesmo tempo com apenas um conjunto de credenciais.
Falhas na capacidade de reutilização de senhas também foram anotados. Quanto ao planejamento da catástrofe, os auditores constataram Premera tinha um bom plano de recuperação no lugar, mas não tinha uma configuração básica para os seus aplicativos mais importantes que permitiriam que a informação a ser reconstruído após um colapso.
O profissional de saúde se apoderou de um projecto de relatório de auditoria do OPM, em abril, e respondeu em junho, dizendo que todas as questões levantadas seriam abordados até o final do ano, se não mais cedo. Até então, no entanto, já era tarde demais - em 05 de maio hackers conseguiu sucesso em servidores, e não foi até janeiro do ano seguinte que o corte foi notado.
"É importante notar que a auditoria da OPM não encontrou preocupações com a gestão da segurança da Premera ou o cumprimento das normas de segurança HIPAA", um porta-voz da empresa disse ao The Register.
O povo de Premera parecem certeza as insuficiências evidenciadas pela OPM em abril não foram exploradas por hackers em maio, mas admitiu que a investigação sobre o compromisso ainda está em curso. Ou os Crims fez uso das vulnerabilidades também encontrados pelos auditores, ou eles não o fizeram e as normas da HIPAA são tão baixos que eles não foram capazes de impedir a intrusão de rede, ele aparece para nós.
"Descobrimos que não há elementos de prova ou indício de que o cyber-ataque a Premera foi o resultado de qualquer um dos itens identificados no relatório de OPM. Temos desde implementado as medidas que o compromisso de levar em nossa resposta. A origem do ataque ainda é parte de uma investigação do FBI em curso ", disse o porta-voz observou. ®
Hey,
ResponderExcluirThanks for sharing this blog its very helpful to implement in our work
Regards.
Hire A Whatsapp Hacker For Yourself