Bericht: Gesundheitswesen wird von Kontosicherheit heimgesucht

Cyber Security News

Ein Medizintechniker in der Bates Memorial Baptist Church in Louisville, Kentucky. Eine neue Studie ergab, dass im Gesundheitswesen jede fünfte Akte für alle Mitarbeiter sichtbar ist. (Jon Cherry/Getty Images)

Die Informationssicherheit des Gesundheitswesens könnte einen Check-up gebrauchen.

Laut einer neuen Studie von Varonis, die 3 Milliarden Dateien in 58 Firmen des Gesundheitswesens untersuchte, war jede fünfte Datei für alle Mitarbeiter sichtbar – darunter jede achte, die sensible Informationen enthielt. Mehr als drei Viertel der Unternehmen in diesem Sektor hatten mindestens 500 Konten, die abgelaufen sind, und noch mehr hatten mindestens tausend “Geisterkonten” von ehemaligen Mitarbeitern, die nie geschlossen wurden.

“Eine der Grundlagen des Vertrauens ist, dass, wenn Sie jemandem wie einem Gesundheitsdienstleister Informationen zur Verfügung stellen, diese sicher aufbewahrt werden”, sagte David Gibson, Chief Marketing Officer von Varonis, ein ehemaliger Ingenieur und CISSP.

“Wenn so sensible Informationen für jeden Mitarbeiter oder für zu viele Konten oder zu viele Benutzer zugänglich sind. Es ist nicht wirklich mit diesem Vertrauen zu halten.”

Während es erhebliche Unterschiede nach Unternehmensgröße gab, waren riskante Account-Praktiken in Unternehmen aller Formen und Größen weit verbreitet. Bei kleinen Unternehmen – mit 500 oder weniger Mitarbeitern – waren 22 % der Dateien mit sensiblen Informationen für jeden mit einem Konto zugänglich. Bei mittelgroßen Unternehmen mit maximal 1500 Mitarbeitern waren 14 % der Dateien mit sensiblen Informationen in der gesamten Organisation zugänglich. Bei Unternehmen, die größer sind, waren immerhin noch 11 % der Dateien für alle Mitarbeiter zugänglich – das ist immer noch jeder Zehnte.

Etwa 70 % der sensiblen Dateien, die für alle Mitarbeiter zugänglich waren, waren “veraltet”, d. h. Dateien, die seit Monaten oder Jahren inaktiv waren.

“Veraltete Dateien stellen ein Risiko und Kosten dar, aber sie bringen keinen großen Mehrwert”, so Gibson. “Sie sind eine Chance für Unternehmen, das Risiko wirklich schnell zu reduzieren. Wenn niemand diese Daten nutzt, müssen sie dann wirklich für jeden im Unternehmen zugänglich sein? Kann ich sie abschließen? Diese Möglichkeiten zur Risikominderung zu identifizieren, ist eine wichtige Sache.”

Laut der Studie haben Unternehmen eher 10.000 oder mehr Geisterkonten als weniger als 1.000 (22 % der Unternehmen gegenüber 21 % der Unternehmen). Und es war etwa doppelt so wahrscheinlich, dass sie 1.500 Konten haben, die nie ablaufen, im Vergleich zu weniger als 500 (43 % zu 23 %).

Konten, die nie ablaufen, insbesondere Service-Konten, können “saftige” Ziele für Hacker sein, sagte Gibson, der auf Ransomware-Banden verwies, die dafür bekannt sind, dies auszunutzen.

Gibson sagte, dass die diesjährigen Statistiken im Einklang mit dem sind, was das Unternehmen zuvor gesehen hat.

“Ungefähr einer von fünf Ordnern ist für jeden Mitarbeiter offen, das ist so etwas wie ein Standard, den wir gesehen haben”, sagte er. “Das einzige Delta ist, dass die Leute immer schneller und an immer mehr Stellen Daten anlegen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com