Una historia con moraleja: Lo que el caso de Advanced Health and Care nos dice sobre la ciberresiliencia

A finales de marzo, Advanced Computer Software Group fue multado con poco más de 3 millones de libras Por el regulador de protección de datos del Reino Unido. Múltiples fallos de seguridad en el proveedor de servicios informáticos provocaron la vulneración de la información personal de casi 80,000 personas y pusieron en riesgo la seguridad física de personas vulnerables.

La filial en cuestión, Advanced Health and Care (AHC), debería haberlo sabido. Pero sus fallos no son infrecuentes. Simplemente tuvo la mala suerte de ser descubierta después de que los ciberdelincuentes atacaran al proveedor del NHS. La pregunta es cómo otras organizaciones pueden evitar correr la misma suerte. Afortunadamente, muchas de las respuestas se encuentran en el detallado aviso de sanción publicado recientemente por la Oficina del Comisionado de Información (ICO).

¿Qué salió mal?

AHC ofrece diversos servicios esenciales a clientes del sector sanitario, incluido el Servicio Nacional de Salud (NHS), incluyendo software para la gestión de pacientes, historiales clínicos electrónicos, apoyo a la toma de decisiones clínicas, planificación de la atención y gestión del personal. También presta apoyo al servicio NHS 111 para asesoramiento sanitario urgente.

Aunque parte de la información contenida en el aviso de sanción de la ICO ha sido redactada, podemos reconstruir una cronología aproximada del ataque de ransomware.

1. El 2 de agosto de 2022, un atacante accedió al sistema Staffplan de AHC a través de una cuenta de Citrix con una combinación de contraseña y nombre de usuario comprometida. No se sabe con certeza cómo obtuvo estas credenciales.
2. Una vez dentro, ejecutaron un archivo para explotar el “ZeroLogon” de dos años de antigüedad. vulnerabilidad que no había sido parcheado. Esto les permitió escalar privilegios hasta una cuenta de administrador de dominio.
3. El atacante utilizó esos privilegios para desplazarse lateralmente por los dominios, desactivar la protección antivirus y realizar tareas de reconocimiento adicionales. También accedió a los servicios de almacenamiento en la nube y alojamiento de archivos de AHC y descargó las "Utilidades de gestión de infraestructura" para permitir la exfiltración de datos.
4. Los adversarios implementaron ransomware en 395 puntos finales y exfiltraron 19 GB de datos, lo que obligó a Advanced a desconectar nueve ofertas de software clave, tres de ellas como medida de precaución.

Las principales brechas de seguridad

Las tres principales fallas de seguridad descubiertas por la investigación de la ICO fueron las siguientes:

Escaneo de vulnerabilidades: La ICO no encontró evidencia de que AHC estuviera realizando análisis de vulnerabilidades con regularidad, como debería haber hecho dada la sensibilidad de los servicios y datos que gestionaba, y dado que el sector sanitario está clasificado como infraestructura nacional crítica (INC) por el gobierno. La empresa había adquirido previamente herramientas de análisis de vulnerabilidades, análisis de aplicaciones web y cumplimiento de políticas, pero solo había realizado dos análisis en el momento de la filtración.

AHC realizó pruebas de penetración, pero no dio seguimiento a los resultados, ya que los actores de amenazas explotaron posteriormente las vulnerabilidades descubiertas en las pruebas, según la ICO. De acuerdo con el RGPD, la ICO consideró que estas pruebas demostraban que AHC no implementó las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y servicios de procesamiento.

Gestión de parches: AHC sí implementó el parche de ZeroLogon, pero no en todos los sistemas porque no contaba con un proceso de validación de parches consolidado. De hecho, la empresa ni siquiera pudo validar si el error se había corregido en el servidor afectado porque no contaba con registros precisos de referencia.

Gestión de riesgos (MFA): No se implementaba la autenticación multifactor (MFA) en el entorno Staffplan Citrix. En todo el entorno AHC, los usuarios solo contaban con la MFA como opción para iniciar sesión en dos aplicaciones (Adastra y Carenotes). La empresa contaba con una solución de MFA, probada en 2021, pero no la había implementado debido a los planes de reemplazar ciertos productos antiguos a los que Citrix daba acceso. La ICO indicó que AHC mencionó la reticencia de los clientes a adoptar la solución como otro obstáculo.

¿Cuál fue el impacto?

Hay una razón por la que la ICO impuso una multa tan considerable, que se redujo de 6.1 millones de libras esterlinas tras la "compromiso proactivo" de Advanced con las autoridades y su acuerdo de acuerdo voluntario. En resumen, la filtración puso en peligro la seguridad digital y física de muchos titulares de datos inocentes y dejó fuera de servicio servicios clave durante semanas. En concreto:

• Los actores de amenazas extrajeron datos de 79,404 personas, de las cuales casi la mitad tenían datos de categorías especiales. Esto incluía historiales médicos, números de la Seguridad Social, información sobre creencias religiosas, empleo y datos demográficos.
• Esta categoría especial de datos incluía detalles sobre cómo acceder a los hogares de 890 interesados ​​que recibían atención domiciliaria.
• Una interrupción posterior del servicio afectó a 658 clientes, incluido el NHS, y algunos servicios estuvieron indisponibles hasta por 284 días. Según información generalizada informes en el momentoSe produjo una interrupción importante en el servicio crítico NHS 111 y los consultorios médicos se vieron obligados a utilizar lápiz y papel.

Evitando el mismo destino

“La decisión de hoy es un duro recordatorio de que las organizaciones corren el riesgo de convertirse en el próximo objetivo sin medidas de seguridad robustas”, declaró el Comisionado de Información, John Edwards, al anunciarse la multa. Entonces, ¿qué se considera “robusto” en opinión de la ICO? La notificación de la sanción cita el asesoramiento del NCSC, Cyber ​​Essentials y la norma ISO 27002; esta última proporciona orientación clave para la implementación de los controles exigidos por la norma ISO 27001.

En concreto, cita la norma ISO 27002:2017, que establece que: “se debe obtener de manera oportuna información sobre las vulnerabilidades técnicas de los sistemas de información utilizados, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las medidas apropiadas para abordar el riesgo asociado”.

El NCSC recomienda realizar análisis de vulnerabilidades al menos una vez al mes, algo que aparentemente Advanced realizó en su entorno corporativo. La ICO también se esforzó en señalar que las pruebas de penetración por sí solas no son suficientes, especialmente cuando se realizan de forma improvisada como AHC.

Además, la norma ISO 27001:2022 recomienda explícitamente MFA en su anexo A para lograr una autenticación segura, dependiendo del “tipo y sensibilidad de los datos y la red”.

Todo esto indica que la norma ISO 27001 es un buen punto de partida para las organizaciones que buscan garantizar a los reguladores que priorizan los intereses de sus clientes y que la seguridad desde el diseño es un principio rector. De hecho, va mucho más allá de las tres áreas mencionadas anteriormente, que provocaron la filtración de AHC.

Fundamentalmente, permite a las empresas prescindir de medidas puntuales y adoptar un enfoque sistémico para gestionar los riesgos de seguridad de la información en todos los niveles de la organización. Esto es una buena noticia para cualquier organización que desee evitar convertirse en la próxima Advanced o contratar a un proveedor como AHC con una estrategia de seguridad deficiente. El estándar ayuda a establecer obligaciones claras de seguridad de la información para mitigar los riesgos de la cadena de suministro.

En un mundo de creciente riesgo y complejidad en la cadena de suministro, esto podría resultar invaluable.