Fidye yazılımı saldırısı ABD sağlık sigortası devini yuttu Birleşik Sağlık Grubu ve teknoloji yan kuruluşu Sağlık Hizmetini Değiştir Milyonlarca ABD’li hasta için veri gizliliği kabusu olan bu durum, CEO Andrew Witty’nin bu hafta ülkenin üçte birini etkileyebileceğini doğruladı.
Ancak bu aynı zamanda UnitedHealth’in yakın zamanda milyonlarca NHS (Ulusal Sağlık Hizmeti) hastasına ait verileri yöneten bir şirketin satın alınması yoluyla ticaretini yürüttüğü Birleşik Krallık da dahil olmak üzere her yerdeki ülkeler için bir uyandırma çağrısı görevi görmelidir.
Biri olarak ABD’nin en büyük sağlık şirketleriUnitedHealth yurt içinde iyi tanınıyor, sigortadan faturalandırmaya, doktor ve eczane ağlarına kadar sağlık sektörünün her yönüyle kesişiyor – 500 milyar dolarlık devasa bir dev ve dünya çapında 11. en büyük şirket. gelire göre. Ancak Birleşik Krallık’ta UnitedHealth pratikte bilinmiyor, bunun nedeni çoğunlukla altı ay öncesine kadar gölet üzerinde pek işi olmamasıydı.
bir süre sonra 16 aylık düzenleme süreci Ekim ayında sona eren UnitedHealth yan kuruluşu Optum UK, Bordeaux UK Holdings II Limited adlı bir bağlı kuruluş aracılığıyla nihayet 1,5 milyar dolarlık bir anlaşmayla EMIS Health’in mülkiyetini aldı. EMIS Health, doktorları hastalarla buluşturan, randevu almalarına, tekrar reçete yazmalarına ve daha fazlasına olanak tanıyan bir yazılım sağlar. Bu hizmetlerden biri de Hasta ErişimiHangi iddialar Geçen yıl uygulama aracılığıyla toplu olarak 1,4 milyon aile doktoru randevusu alan ve 19 milyon tekrar reçete siparişi veren yaklaşık 17 milyon kayıtlı kullanıcı.
Birleşik Krallık’taki hasta verilerinin burada risk altında olduğunu düşündürecek hiçbir şey yok; bunlar farklı yetki alanları kapsamında, farklı kurulumlara sahip farklı yan kuruluşlardır. Ancak çarşamba günkü senato ifadesine göre Witty, hacklenmeyi UnitedHealth’ten beri suçladı. 2022’de Change Healthcare’i satın aldısistemlerini güncellememişti ve bu sistemlerin içinde çok faktörlü kimlik doğrulamanın (MFA) etkin olmadığı bir sunucu vardı.
Bilgisayar korsanlarının, çalışanların dahili ağlara uzaktan erişmesini amaçlayan Change Healthcare Citrix portalına erişmek için “güvenliği aşılmış kimlik bilgileri” kullanarak sağlık verilerini çaldığını biliyoruz. İnanılmaz bir şekilde Witty, şirketin saldırıdan iki ay sonra bile MFA’nın neden etkinleştirilmediğini anlamak için hâlâ çalıştığını söyledi. Bu, Birleşik Krallık’taki sağlık uzmanları ve EMIS Health’i yeni sahiplerinin himayesinde kullanan hastalar için pek fazla güven uyandırmıyor.
Bu münferit bir durum değil.
Bu haftanın ayrı bir gelişmesinde, 25 yaşındaki hacker Aleksanteri Kivimäki altı yıldan fazla hapis cezasına çarptırıldı 2020 yılında Vastaamo adlı bir şirkete sızmak, binlerce Finlandiyalı hastaya ait sağlık verileri çalmak ve hem şirkete hem de etkilenen hastalara şantaj ve şantaj yapmaya teşebbüs etmekle suçlanıyor.
Fidye saldırıları başarılı olsa da olmasa da sonuçta kazançlıdır; faillere yapılan ödemelerin, birçok hesaba göre rekor kıran 2023’te ikiye katlanarak 1 milyar doların üzerine çıktığı bildiriliyor. Witty, ifadesi sırasında onaylanmış Önceki raporlar UnitedHealth’in bilgisayar korsanlarına 22 milyon dolarlık fidye ödemesi yaptığını bildirmişti.
Değerli bir ürün olarak sağlık verileri
Ancak tüm bunlardan çıkan en büyük çıkarım, kişisel verilerin, özellikle de sağlık verilerinin, çok büyük bir küresel meta olduğu ve buna göre korunması gerektiğidir. Ancak siber güvenlik hijyeninin inanılmaz derecede zayıf olduğunu görmeye devam ediyoruz ki bu herkes için endişe verici bir durum.
TechCrunch’ın birkaç ay önce yazdığı gibi, ister milyar dolarlık çok uluslu bir şirket, ister bir girişim olsun, özel şirketlerin verilerinize erişmesine izin vermeden, devlet tarafından finanse edilen NHS’deki en temel sağlık hizmetlerine bile erişmek giderek zorlaşıyor -destekli başlangıç.
Özel sektörle çalışmanın mantıklı olmasının meşru operasyonel ve pratik nedenleri olabilir, ancak gerçek şu ki, bu tür ortaklıklar, bir şirketin yürürlükteki yükümlülükleri, politikaları ve vaatleri ne olursa olsun, kötü aktörlerin hedef alabileceği saldırı yüzeyini artırır.
Birleşik Krallık’taki birçok aile hekimi ameliyatı artık hastaların randevu almak için üçüncü taraf önceliklendirme yazılımını kullanmasını gerektiriyor ve gizlilik politikalarının ayrıntılı metnini ince dişli bir tarakla okumadığınız sürece, hastanın gerçekte kiminle iş yaptığı genellikle belli olmuyor.
İçine kazmak Gizlilik Politikası denilen bir önceliklendirme servis sağlayıcısının Yama SağlığıNHS genelinde 10 milyondan fazla hastayı desteklediğini söyleyen şirket, yazılımın geliştirilmesinden ve sürdürülmesinden yalnızca veri “alt işlemcisi” sorumlu olduğunu ortaya koyuyor. Hizmeti sunmak üzere sözleşme imzalanan ana veri işleyicisi aslında özel sermaye destekli şirket aradı Gelişmişhangisiydi fidye yazılımı saldırısına uğradı iki yıl önce NHS hizmetlerini çevrimdışı olmaya zorladı. UnitedHealth saldırısına benzer şekilde, Citrix sunucusuna erişmek için meşru kimlik bilgileri kullanıldı.
UnitedHealth’te olanlar ile Birleşik Krallık’ta NHS ile ortaklık kuran sayısız özel şirket arasında olabilecekler arasındaki paralellikleri görmek için gözlerinizi kısmanıza gerek yok.
Finlandiya aynı zamanda NHS’nin özel alana daha da derinlemesine nüfuz etmesi konusunda ileri görüşlü bir hatırlatma görevi görüyor. Bir tanesinin dublajı ülkenin şimdiye kadarki en büyük suçlarıVastaamo veri ihlali, artık faaliyet göstermeyen özel bir psikoterapi şirketinin Finlandiya’nın kamu sağlık sistemi tarafından taşerona verilmesinden sonra meydana geldi. Aleksanteri Kivimäki, güvenli olmayan bir Vastaamo veritabanına sızdı ve Vastaamo’nun bildirilen 450.000 € Bitcoin fidyesini ödemeyi reddetmesinin ardından Kivimäki, özel terapi notlarını yayınlamakla tehdit ederek binlerce hastaya şantaj yapmaya çalıştı.
Ardından gelen soruşturmada Vastaamo’nun güvenlik süreçlerinin tamamen yetersiz olduğu ortaya çıktı. Hasta veri tabanı, iletişim bilgileri, sosyal güvenlik numaraları ve terapist notları gibi şifrelenmemiş hassas veriler de dahil olmak üzere açık internete maruz kaldı. Finlandiya veri koruma ombudsmanı dikkat İhlalin en olası nedeni, kök kullanıcı hesabının parola korumalı olmadığı “veritabanındaki korumasız MySQL bağlantı noktası” idi. Bu hesap, herhangi bir IP adresinden dizginsiz veritabanı erişimini mümkün kılıyordu ve sunucuda herhangi bir güvenlik duvarı yoktu.
Birleşik Krallık’ta NHS’nin verilere erişimi nasıl açtığına dair iyi dile getirilen endişeler var. En yüksek profilli ortaklık, geçen yıl Peter Thiel’in desteklediği büyük veri analitiği şirketi Palantir’in kurulmasıyla gerçekleşti. büyük sözleşmeler imzaladı NHS İngiltere tarafından yeni bir Birleşik Veri Platformuna geçişe yardımcı olmak için (FDP) – çok fazla doktorların ve veri gizliliği savunucularının üzüntüsü ülke genelinde.
Yine de her şey bir şekilde kaçınılmaz görünüyor. Gizlilik savunucuları bağırıyor ve çığlık atıyor, ancak çok fazla parası olan büyük şirketler milyonlarca insana ait hassas verilerin anahtarlarını almaya devam ediyor. Sözler verilir, güvenceler verilir, süreçler uygulanır; sonra birisi temel MFA’yı kurmayı unutur veya paspasın altına bir şifreleme anahtarı bırakır ve her şey havaya uçar.
Durulayın ve tekrarlayın.