Gerentes de sistemas y CEO son despedidos y demandados después de robo masivo de datos de salud

Dos directivos fueron despedidos y un gerente general fue multado por el robo masivo de datos del sistema de salud de Singapur

Los Sistemas Integrados de Información de la Salud de Singapur (IHIS) despidieron a dos gerentes, además de multar a cinco empleados de alto nivel, entre ellos Bruce Liang, CEO de la compañía, por su responsabilidad en el robo masivo de datos del sistema SingHeatlh el año pasado, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética.

Se calcula que el incidente afectó a cerca de un millón 500 mil personas, casi la tercera parte de la población total en Singapur. Acorde a especialistas en seguridad en redes, los atacantes accedieron a detalles personales como:

  • Nombre de los pacientes
  • Fechas de nacimiento
  • Números de identificación personal NRIC (National Registration Identity Card)
  • Detalles étnicos y raciales

Además, detalles referentes a la salud de más de 150 mil pacientes (como diagnósticos o tratamientos) también fueron robados; entre las personas afectadas por este incidente se encuentra Lee Hsien Loong, Primer Ministro de Singapur.  

Los Ministerios de Salud y Comunicaciones de Singapur definieron este incidente como “una campaña de ciberataque deliberada, bien definida y planificada”, aunque posteriores investigaciones de expertos en seguridad en redes confirmaron que un error humano fue fundamental para que este incidente se concretara: “si bien SingHealth implementa los controles técnicos necesarios, dos empleados de alto nivel resultaron ser “negligentes en sus labores”.

Los investigadores criticaron la pobre configuración de servidor de Lum Yuan Woh, líder del equipo de Citriz, pues consideraron que “se introdujeron riesgos innecesarios para el sistema”. Por otra parte, Ernest Tan, gernete del equipo de Respuesta a Incidentes de SingHealth, fue criticado por “ignorar el debido proceso de notificación de incidentes”.

Otros cinco empleados superiores también fueron señalados como responsables por el robo de datos, pero sus errores no fueron considerados lo suficientemente serios como para ameritar el despido. Cuatro de estos empleados fueron multados, mientras el empleado restante fue transferido a un puesto con menores responsabilidades.

Acorde a los expertos, los empleados de SingHealth cometieron tres errores fundamentales:

  • No fueron capaces de instalar los parches de software en sus sistemas, lo que permitió a los atacantes explotar una vulnerabilidad de Office y obtener acceso a la PC de uno de los empleados
  • Al equipo de SingHealth le tomó al menos un año identificar la violación de datos. Los hackers accedieron al sistema por primera vez en agosto de 2017 y, a lo largo de un año, lograron distribuir malware e infectar otros equipos de la red sin ser detectados
  • Los empleados utilizaban contraseñas débiles (p@ssw0rd, por ejemplo). Este es uno de los errores más graves que puede cometer un encargado de sistemas, pues la simple configuración de una contraseña fuerte puede prevenir múltiples ataques

Desafortunadamente estos problemas no son exclusivos del equipo de SingHealth; los errores humanos son una de las principales causas de robo de datos, y todas las organizaciones deben adoptar las políticas pertinentes para mitigar los riesgos derivados de estas fallas.

(Visited 258,1 times)