Vuotta myöhemmin, mitä olemme oppineet UnitedHealthiltä?
Sisällysluettelo:
Viime kuussa sairausvakuutusjätti UnitedHealth Group (UHG) lähes kaksinkertaisti uhrien määrän, jonka se alun perin arvioi viime vuoden tietomurron seurauksena. Lokakuussa yritys oli kertonut, että lunnasohjelmahyökkäys vaikutti 100 miljoonaan. Tammikuussa se kasvoi 190 metriin. Tämä näyttää olevan hyvä aika esittää kysymys: mitä olemme oppineet?
UHG-rikkomukseen tutustuminen
ALPHV/BlackCat lunnasohjelmaryhmä varasti tiedot UHG:n tytäryhtiöltä Change Healthcarelta 21. Venäjään sidoksissa oleva jengi oli jo varoittanut kohdistuvansa terveydenhuoltoalan yrityksiin, kun oikeusministeriö häiritsi toimintaansa joulukuussa.
Change Healthcaren mukaan rikkomisesta kertova sivu, varastettu henkilökohtainen tunniste sisälsi nimet, osoitteet, syntymäajat, puhelinnumerot ja sähköpostiosoitteet. Muita tietoja olivat sairausvakuutustiedot, mukaan lukien jäsen-/ryhmätunnusnumerot ja Medicaid/Medicare-tunnusnumerot.
Kyberrikolliset suodattivat myös henkilökohtaisia terveystietoja, kuten potilastietojen numeroita, diagnooseja, lääkkeitä, testituloksia ja kuvia sekä hoito- ja hoitotietoja. Lopuksi ransomware-jengi ryösti laskutus- ja vaatimustietoja, mukaan lukien vaatimusnumerot, tilinumerot, laskutuskoodit, suoritetut maksut ja erääntyvät saldot.
Onneksi Change Healthcare sanoi, että sosiaaliturvatunnukset ja pankkitilitiedot eivät olleet varastettujen tietojen joukossa.
Miten ja miksi se tapahtui?
Raportointi paljasti, että hyökkääjät olivat päässeet Change Healthcare Citrix -portaaliin, joka mahdollisti etäkäytön työpöytiin 12. helmikuuta käyttämällä vaarantuneita tunnistetietoja. Portaalia ei suojattu monitekijätodennuksella (MFA).
Mukaan Kongressin todistus Toimitusjohtaja Andrew Witty kertoi viime toukokuussa, että tunkeilijat siirtyivät sivusuunnassa yrityksen järjestelmän läpi ja pääsivät useille alueille, mukaan lukien sen Active Directory -palvelimelle, ja suodattivat tiedot. Nokkela myös hyväksytty maksamaan 22 miljoonan dollarin lunnaat rikollisjoukolle.
Rikkomuksen käsitteleminen
UHG kertoi rakentavansa Change Healthcare -teknologiainfrastruktuurin uudelleen tyhjästä saadakseen sen jälleen toimimaan turvallisesti, ja se tarjosi myös miljardeja taloudellisia apua niille, joiden terveydenhuolto häiritsi hyökkäystä. Witty selitti, että se palkkasi myös kolmannet osapuolet, mukaan lukien Mandiant ja Palo Alto Networks, vahvistamaan sisäisiä turvatarkistuksiaan omillaan ja on myös ostanut Mandiantin hallituksen neuvonantajaksi.
Mitä voimme oppia rikkomuksesta?
Senaattori Ron Wyden hahmotteli, mitä hänen mielestään olisi pitänyt tehdä paremmin a kirjain Federal Trade Commissionille ja Securities and Exchange Commissionille kuukausi kongressin kuulemisten jälkeen. Hän esitteli useita kysymyksiä.
Miksi MFA-järjestelmää ei otettu käyttöön? Witty puolustaa sitä, että Change Healthcare – jonka UHG osti loppuvuodesta 2022 – oli täynnä pirstoutuneita vanhoja järjestelmiä ja että kesti aikaa saada ne yhdenmukaisiksi UHG:n sisäisen turvallisuuspolitiikan kanssa. Yhtiö salli muita korvaavia turvatarkastuksia, joissa järjestelmät eivät vielä olleet naarmuuntuneita. On selvää, että ne eivät riittäneet.
"UHG:n ilmeisen päätöksen luopua MFA-käytännöstään vanhoja ohjelmistoja käyttävien palvelimien seuraukset ovat nyt tuskallisen selvät", Wyden sanoi. "Mutta UHG:n johdon olisi pitänyt tietää jo kauan ennen tapausta, että tämä oli huono idea."
Wydenin muut huolenaiheet keskittyvät hyökkääjien kykyyn liikkua niin helposti koko organisaatiossa. Kun joku hyppää työpöytäportaalista saadakseen etuoikeutetun pääsyn yrityksen Active Directory -palvelimeen, jokin on vialla. Se viittaa joihinkin nollaluottamusmenetelmiin liittyvien perusperiaatteiden puutteeseen, kuten mikrosegmentointiin ja kaikkialla läsnä olevaan identiteetin ja pääsynhallinnan valvontaan koko järjestelmään, sen sijaan, että lukittaisiin vain ulkopuolisiin kohteisiin.
Wyden otti myös UHG:n tehtävään liiketoiminnan jatkuvuuden puutteen vuoksi. "Herra Witty paljasti talossaan lausunnossaan, että yritys pystyi palauttamaan pilvipohjaiset järjestelmänsä muutamassa päivässä. Mutta, herra Witty lisäsi, monia yrityksen keskeisiä järjestelmiä ei ollut vielä suunniteltu toimimaan pilvessä", kirjeessä todettiin. "Sen sijaan nämä palvelut toimivat yrityksen omilla palvelimilla, joiden palauttaminen kesti paljon kauemmin."
Kyberturvallisuus ei ole ainoa ongelma
Nämä ovat kyberhallinnan perusperiaatteet, joiden ei pitäisi yllättää ketään – vähiten niitä, jotka allekirjoittavat kyberturvallisuustarkistuksia UHG:ssa. Mutta toinen on paheksuttavampi; UHG tiesi hyvin, että se kokoaisi vakavia määriä arkaluonteista tietoa ostaessaan Change Healthcaren.
Helmikuussa 2022 DoJ haastoi UHG:n oikeuteen yrittää estää sitä ostamasta Change Healthcarea.
"Ehdotettu kauppa uhkaa käännekohtaa terveydenhuoltoalalla antamalla Unitedille kriittisen datan valtatien, jonka kautta noin puolet kaikista amerikkalaisten sairausvakuutuskorvauksista kulkee vuosittain", sanoi oikeusministeriön kilpailunvastaisen osaston johtava apulaissyyttäjä Doha Mekki. Tämä oli kilpailunrajoitusvalitus, mutta huolet tietojen yhdistämisestä näyttävät nyt erityisen ennakoivilta.
Tästä huolimatta yritys ei toiminut tarpeeksi nopeasti suojellakseen näitä tietoja - eikä se johtunut varojen puutteesta. Vuonna 2023, Change Healthcaren ostoa seuraavana vuonna, UHG teki kaikkien aikojen suurimman voiton – 22.4 miljardin dollarin nettotulot – 371.6 miljardin dollarin tuloilla.
Vaikka meillä ei ole prosenttilukua vakuutusjättiläisen turvallisuusbudjetista, enemmän tuosta rahasta olisi luultavasti pitänyt käyttää Change Healthcaren vanhojen järjestelmien hunajakennon korvaamiseen turvallisuuden ja kestävyyden parantamiseksi.
UHG-rikkomus johtui hyvin ymmärretyistä teknisistä virheistä, mutta ylivoimainen syy on kliseisin kaikista: Yhdysvaltojen suurimman terveydenhuoltoyhtiön ohjaajilla oli yksinkertaisesti muita prioriteetteja.
