Medtronic تؤكد الاختراق بعد مزاعم ShinyHunters
أكدت Medtronic وجود وصول غير مصرح به إلى أجزاء من بيئة corporate IT الخاصة بها بعد أن زعمت مجموعة ShinyHunters أنها سرقت ملايين السجلات. وقالت الشركة في 28 أبريل إنها لم تجد حتى الآن أي أثر لتعطل المنتجات أو سلامة المرضى أو التصنيع أو التوزيع أو الأنظمة المتصلة بالعملاء، لكنها ما زالت تحقق فيما إذا كانت أي معلومات شخصية قد تم الوصول إليها.
هذه النقطة مهمة جداً. فـ Medtronic ليست شركة برمجيات عادية، بل لاعب أساسي في البنية التحتية الصحية مع منتجات تشمل أجهزة تنظيم ضربات القلب وأنظمة السكري وأدوات جراحية. وعندما تؤكد شركة بهذا الحجم وقوع breach، فإن السؤال لا يتعلق فقط بالبيانات المحتملة، بل أيضاً بما إذا كان عزل الشبكات كافياً لمنع أي تأثير سريري أو تشغيلي.
وبحسب SecurityWeek، كانت ShinyHunters قد أدرجت Medtronic على leak site في وقت سابق من هذا الشهر وزعمت أنها تمتلك أكثر من 9 ملايين سجل إلى جانب تيرابايتات من بيانات الشركة. ولم تؤكد Medtronic هذا الرقم، لكنها قالت إنها تعمل على تحديد نوع المعلومات الشخصية التي ربما تم الوصول إليها. كما شددت الشركة على أن الشبكات التي تدعم corporate IT والمنتجات وعمليات التصنيع منفصلة عن بعضها، وأن شبكات المستشفيات التابعة للعملاء تُدار بشكل مستقل.
هذه network segmentation هي أهم تفصيل تقني في القصة. ففي قطاع الرعاية الصحية، يختلف اختراق أنظمة back-office عن التأثير على البيئات التي ترتبط بالمنتجات أو التشغيل السريري. وتقول Medtronic عملياً إن الحادث يبدو محصوراً في الأنظمة المؤسسية لا البيئات التشغيلية. كما أوضحت MiniMed التابعة لها في إفصاح لدى SEC أن أنظمتها الخاصة لم تتأثر.
الأهمية الأوسع هي أن المهاجمين يواصلون استهداف الشركات التي تتجاوز قيمتها مجرد إعادة بيع البيانات الشخصية. فشركات healthcare وmedical-device تحمل حساسية تنظيمية وثقلاً تشغيلياً ومخاطر سمعة عالية، ما يجعلها أهدافاً مغرية للابتزاز حتى عندما تبقى الخدمات المرتبطة بالمرضى تعمل. وحتى مع تجنب السيناريو الأسوأ حتى الآن، يبقى هذا incident الأمني مفتوحاً مع أسئلة مهمة حول انكشاف البيانات وشفافية الاستجابة.
Originally reported by SecurityWeek. Read the original article for additional details.
View original source