Et år senere, hvad har vi lært af UnitedHealth?
Indholdsfortegnelse:
I sidste måned fordoblede sygeforsikringsgiganten UnitedHealth Group (UHG) næsten antallet af ofre, som den oprindeligt estimerede efter sidste års databrud. I oktober havde virksomheden sagt, at 100 mio. var berørt af ransomware-angrebet. I januar voksede den til 190m. Det virker som et godt tidspunkt at stille spørgsmålet: hvad har vi lært?
Genbesøger UHG Breach
ALPHV/BlackCat ransomware-gruppen stjal data fra UHG-datterselskabet Change Healthcare den 21. februar 2024. Den russisk-tilknyttede bande havde allerede advaret om, at den ville målrette mod virksomheder i sundhedssektoren, efter at justitsministeriet forstyrrede dets drift i december før.
Ifølge Change Healthcare's side med råd om brud, omfattede den stjålne PII navne, adresser, fødselsdatoer, telefonnumre og e-mailadresser. Andre oplysninger omfattede sygesikringsdata, herunder medlems-/gruppe-id-numre og Medicaid/Medicare-id-numre.
De cyberkriminelle eksfiltrerede også personlige helbredsdata, herunder lægejournalnumre, diagnoser, medicin, testresultater og billeder sammen med pleje- og behandlingsoplysninger. Endelig stjal ransomware-banden fakturerings- og kravdata, herunder kravnumre, kontonumre, faktureringskoder, foretagne betalinger og forfaldne saldi.
Heldigvis sagde Change Healthcare, at personnumre og bankkontooplysninger ikke var i mængden af stjålne oplysninger.
Hvordan og hvorfor skete det?
Rapportering afslørede, at angriberne havde fået adgang til en Change Healthcare Citrix-portal, der muliggjorde fjernadgang til desktops den 12. februar ved at bruge kompromitterede legitimationsoplysninger. Portalen var ikke beskyttet af multi-factor authentication (MFA).
Ifølge Kongressens vidnesbyrd fra administrerende direktør Andrew Witty i maj sidste år bevægede de ubudne gæster sig sideværts gennem virksomhedens system og fik adgang til flere områder – inklusive Active Directory-serveren – og eksfiltrerede dataene. Vigtig også indrømmede til at betale en løsesum på 22 millioner dollars til den kriminelle bande.
Håndtering af bruddet
UHG sagde, at det genopbyggede Change Healthcare-teknologiens infrastruktur fra bunden for at få det til at fungere sikkert igen, og det gav også milliarder i økonomisk støtte til dem, hvis sundhedspleje blev forstyrret af angrebet. Witty forklarede, at det også hyrede tredjeparter, herunder Mandiant og Palo Alto Networks, til at forstærke sine interne sikkerhedsscanninger med deres egne og har også købt Mandiant ind som bestyrelsesrådgiver.
Hvad kan vi lære af bruddet?
Senator Ron Wyden skitserede, hvad han mente burde være blevet gjort bedre i en brev til Federal Trade Commission og Securities and Exchange Commission en måned efter Kongressens høringer. Han skitserede flere problemer.
Hvorfor blev MFA-systemet ikke implementeret? Wittys forsvar er, at Change Healthcare – som UHG købte i slutningen af 2022 – var fyldt med fragmenterede ældre systemer, og at det tog tid at bringe dem i overensstemmelse med UHGs interne sikkerhedspolitikker. Virksomheden tillod andre kompenserende sikkerhedskontroller, hvor systemerne endnu ikke var i orden. Det var tydeligvis ikke nok.
"Konsekvenserne af UHG's tilsyneladende beslutning om at give afkald på sin MFA-politik for servere, der kører ældre software, er nu smerteligt klare," sagde Wyden. "Men UHG's ledelse burde have vidst, længe før hændelsen, at dette var en dårlig idé."
Wydens andre bekymringer fokuserer på angribernes evne til at bevæge sig så let gennem resten af organisationen. Når nogen springer fra en desktop-adgangsportal for at få privilegeret adgang til en virksomheds Active Directory-server, er der noget galt. Det tyder på en mangel på nogle kerneprincipper involveret i nul-tillid tilgange, såsom mikro-segmentering og allestedsnærværende identitet og adgangsstyringskontrol gennem hele systemet, snarere end blot låse på eksternt vendte aktiver.
Wyden tog også UHG til opgave på grund af manglende forretningskontinuitet. "I sit Hus-vidnesbyrd afslørede Mr. Witty, at virksomheden var i stand til at gendanne sine cloud-baserede systemer i løbet af få dage. Men, tilføjede hr. Witty, mange af virksomhedens nøglesystemer var endnu ikke blevet konstrueret til at køre i skyen,” stod der i brevet. "I stedet kørte disse tjenester på virksomhedens egne servere, hvilket tog meget længere tid at gendanne".
Cybersikkerhed er ikke det eneste problem
Disse er grundlæggende cyber-governance-principper, der ikke burde overraske nogen – mindst af alt dem, der underskriver cybersikkerhedskontrollen hos UHG. Men en anden er mere fordømmende; UHG vidste godt, at det ville samle alvorlige mængder følsomme data, når det erhvervede Change Healthcare.
I februar 2022 blev DoJ sagsøgte UHG at forsøge at forhindre det i at erhverve Change Healthcare.
"Den foreslåede transaktion truer et omdrejningspunkt i sundhedssektoren ved at give United kontrol over en kritisk datamotorvej, hvorigennem omkring halvdelen af alle amerikaneres sygeforsikringskrav passerer hvert år," sagde viceadministrerende statsadvokat Doha Mekki fra justitsministeriets antitrustafdeling. Dette var en antitrust-klage, men bekymringerne over dataaggregering virker særligt forudseende nu.
På trods af dette bevægede virksomheden sig ikke hurtigt nok til at beskytte disse data - og det var ikke på grund af mangel på midler. I 2023, året efter opkøbet af Change Healthcare, opnåede UHG sit højeste overskud nogensinde - 22.4 mia. USD i nettoindkomst - med en omsætning på 371.6 mia.
Selvom vi ikke har et procenttal for forsikringsgigantens sikkerhedsbudget, burde flere af disse penge formodentlig være gået til at erstatte Change Healthcares honeycomb af ældre systemer for bedre sikkerhed og modstandsdygtighed.
UHG-bruddet stammede fra velforståede tekniske fejltrin, men den altoverskyggende årsag er den mest klichefyldte af alle: dem, der stod i spidsen for den største sundhedsvirksomhed i USA, havde simpelthen andre prioriteter.
