'n Jaar later, wat het ons by UnitedHealth geleer?
INHOUDSOPGAWE:
Verlede maand het die gesondheidsversekeringsreus UnitedHealth Group (UHG) die aantal slagoffers wat hy oorspronklik geskat het ná verlede jaar se data-oortreding amper verdubbel. In Oktober het die maatskappy gesê dat 100 miljoen deur die losprysware-aanval geraak is. In Januarie het dit tot 190m gegroei. Dit lyk na 'n goeie tyd om die vraag te vra: wat het ons geleer?
Herbesoek die UHG-oortreding
Die ALPHV/BlackCat ransomware-groep het die data van UHG-filiaal Change Healthcare op 21 Februarie 2024 gesteel. Die Rusland-gekoppelde bende het reeds gewaarsku dat hulle maatskappye in die gesondheidsorgsektor sal teiken nadat die Departement van Justisie sy bedrywighede die vorige Desember ontwrig het.
Volgens Change Healthcare's oortredingsadviesbladsy, het die gesteelde PII name, adresse, geboortedatums, telefoonnommers en e-posadresse ingesluit. Ander inligting het gesondheidsversekeringsdata ingesluit, insluitend lid-/groep-ID-nommers en Medicaid/Medicare-ID-nommers.
Die kubermisdadigers het ook persoonlike gesondheidsdata, insluitend mediese rekordnommers, diagnoses, medisyne, toetsuitslae en beelde, saam met sorg- en behandelingsinligting uitgesoek. Laastens het die losprysware-bende rekening- en eisdata gesteel, insluitend eisnommers, rekeningnommers, rekeningkodes, betalings gemaak en verskuldigde saldo's.
Gelukkig het Change Healthcare gesê dat sosiale sekerheidsnommers en bankrekeningbesonderhede nie in die skat van gesteelde inligting was nie.
Hoe en hoekom het dit gebeur?
Verslaggewing het aan die lig gebring dat die aanvallers toegang verkry het tot 'n Change Healthcare Citrix-portaal wat afstandtoegang tot rekenaars op 12 Februarie moontlik gemaak het, met behulp van gekompromitteerde geloofsbriewe. Die portaal is nie deur multi-faktor-verifikasie (MFA) beskerm nie.
Volgens Kongresgetuienis van uitvoerende hoof, Andrew Witty, verlede Mei, het die indringers sywaarts deur die maatskappy se stelsel beweeg, toegang verkry tot verskeie gebiede—insluitend sy Active Directory-bediener—en die data uitgefiltreer. Geestig ook toegelaat om 'n losprys van $22 miljoen aan die kriminele bende te betaal.
Die hantering van die oortreding
UHG het gesê dat dit die Change Healthcare-tegnologie-infrastruktuur van nuuts af herbou het om dit weer veilig te laat funksioneer, en dit het ook miljarde in finansiële hulp verskaf aan diegene wie se gesondheidsorg deur die aanval ontwrig is. Witty het verduidelik dat hy ook derde partye, insluitend Mandiant en Palo Alto Networks, ingeroep het om sy interne sekuriteitskanderings met hul eie te versterk en het ook Mandiant as 'n raadsadviseur ingekoop.
Wat kan ons uit die oortreding leer?
Senator Ron Wyden het uiteengesit wat hy dink beter gedoen moes word in 'n brief aan die Federal Trade Commission en die Securities and Exchange Commission 'n maand na die Kongresverhore. Hy het verskeie kwessies uiteengesit.
Hoekom is die MFA-stelsel nie geïmplementeer nie? Witty se verweer is dat Change Healthcare – wat UHG laat in 2022 verkry het – besaai was met gefragmenteerde nalatenskapstelsels, en dat dit tyd geneem het om dit in lyn te bring met UHG se interne veiligheidsbeleide. Die maatskappy het toegelaat vir ander kompenserende sekuriteitskontroles waar stelsels nog nie op datum was nie. Dit was duidelik nie genoeg nie.
"Die gevolge van UHG se oënskynlike besluit om afstand te doen van sy MFA-beleid vir bedieners wat ouer sagteware gebruik, is nou pynlik duidelik," het Wyden gesê. “Maar UHG se leierskap moes lank voor die voorval geweet het dat dit ’n slegte idee was.”
Wyden se ander bekommernisse fokus op die aanvallers se vermoë om so maklik deur die res van die organisasie te beweeg. Wanneer iemand van 'n rekenaartoegangsportaal af spring om bevoorregte toegang tot 'n maatskappy se Active Directory-bediener te kry, is iets verkeerd. Dit dui op 'n gebrek aan 'n paar kernbeginsels betrokke by nul-trust benaderings, soos mikro-segmentering en alomteenwoordige identiteit en toegang bestuur kontroles deur die hele stelsel, eerder as net slotte op eksterne-gerig bates.
Wyden het UHG ook op die been gebring weens 'n gebrek aan besigheidskontinuïteit. “Mnr. Witty het in sy Huisgetuienis onthul dat die maatskappy sy wolkgebaseerde stelsels binne 'n kwessie van dae kon herstel. Maar, het mnr. Witty bygevoeg, baie van die maatskappy se sleutelstelsels is nog nie ontwerp om in die wolk te werk nie,” lui die brief. “In plaas daarvan het hierdie dienste op die maatskappy se eie bedieners gehardloop, wat baie langer geneem het om te herstel”.
Kuberveiligheid is nie die enigste probleem nie
Dit is basiese kuberbestuursbeginsels wat niemand behoort te verras nie – allermins diegene wat die kuberveiligheidskontroles by UHG onderteken. Maar 'n ander is meer verdoemend; UHG het goed geweet dat dit ernstige hoeveelhede sensitiewe data sou versamel wanneer dit Change Healthcare verkry het.
In Februarie 2022 het die DoJ UHG gedagvaar om te probeer keer dat dit Change Healthcare bekom.
"Die voorgestelde transaksie bedreig 'n keerpunt in die gesondheidsorgbedryf deur aan United beheer te gee van 'n kritieke data-hoofweg waardeur ongeveer die helfte van alle Amerikaners se gesondheidsversekeringseise elke jaar gaan," het hoofadjunk-assistent-prokureur-generaal Doha Mekki van die departement van justisie se antitrustafdeling gesê. Dit was 'n antitrust-klag, maar die bekommernisse oor data-aggregasie lyk nou veral vooruitstrewend.
Ten spyte hiervan het die maatskappy nie vinnig genoeg beweeg om daardie data te beskerm nie - en dit was nie weens 'n gebrek aan fondse nie. In 2023, die jaar ná sy verkryging van Change Healthcare, het UHG sy hoogste wins ooit gemaak—$22.4 miljard in netto inkomste—met inkomste van $371.6 miljard.
Alhoewel ons nie 'n persentasiesyfer vir die versekeringsreus se sekuriteitsbegroting het nie, moes meer van daardie geld vermoedelik gegaan het om Change Healthcare se heuningkoek van nalatenskapstelsels te vervang vir beter sekuriteit en veerkragtigheid.
Die UHG-oortreding het gespruit uit goed verstaanbare tegniese misstappe, maar die oorheersende rede is die mees cliché van almal: diegene aan die stuur van die grootste gesondheidsorgmaatskappy in die VSA het eenvoudig ander prioriteite gehad.
