Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Yasa koyucular, UnitedHealth Group CEO’su Andrew Witty’yi Çarşamba günkü iki Kongre oturumunda alt kuruluşu Change Healthcare’e yapılan siber saldırı nedeniyle eleştirdi ve teknoloji firmasının siber güvenlik eksikliği ve Amerikalıların sağlık verilerinin potansiyel olarak büyük ihlali hakkındaki endişeleri artırdı.
Senato Maliye Komitesindeki duruşma sırasında D-Ore’dan Senatör Ron Wyden, “Bu saldırı siber güvenlik 101 ile durdurulabilirdi” dedi.
Şubat ayı sonlarında gerçekleşen saldırı, sağlık sektörünü aylarca sarstı; taleplerin işlenmesini, sağlayıcılara yapılan ödemeleri, ön izin taleplerini ve uygunluk kontrollerini sekteye uğrattı.
Senato finans komitesi ve Temsilciler Meclisi Enerji ve Ticaret alt komitesi önündeki ifadesinde Witty, ihlalden etkilenen kişi sayısına ilişkin bir tahmin ve siber suçluların Change’in sistemlerine nasıl eriştiği de dahil olmak üzere olayla ilgili yeni ayrıntıları tartıştı.
Witty, Change’e saldırmak için kullanılan portal korsanlarının çok faktörlü kimlik doğrulamasına sahip olmadığını, bunun da kullanıcının kimliğini doğrulamak için parolanın ötesinde ikinci bir yöntem gerektirdiğini söyledi.
Witty, saldırının ABD’li bireylerin üçte birinin verilerini tehlikeye attığını tahmin ediyor, ancak şirket hâlâ bu saldırının kapsamını belirlemek için çalışıyor.
DN.J’den Temsilci Frank Pallone şunları söyledi: “Dünyanın en büyük şirketlerinden birinin, en hassas kişisel bilgilerimizden bazılarını yeterince korumak için mevcut yasalar kapsamındaki yükümlülüklerini yerine getirememesi son derece sinir bozucu.” “[…] Bay Witty, bunun asla olmaması gerekirdi ve bir daha da olamaz.”
Eksik siber korumalar
Duruşmalarda Witty, bilgisayar korsanlarının Change’in sistemlerine nasıl erişebildiğine dair daha fazla ayrıntı verdi.
Yazılı ifadeye göre, 12 Şubat’ta siber suçlular, masaüstü bilgisayarlara uzaktan erişim sağlamak amacıyla bir portala erişmek için ele geçirilen kimlik bilgilerini kullandı.
Portalda çok faktörlü kimlik doğrulama açık değildi; bir uzman, Cybersecurity Dive’a bu korumanın muhtemelen ihlali önleyeceğini söyledi. İfadeye göre saldırgan, Change’in sistemlerine ilk erişimden dokuz gün sonra fidye yazılımını dağıttı.
Duruşmalarda Witty, Change’i yaklaşık bir buçuk yıl önce satın alan UnitedHealth’in saldırı sırasında hâlâ teknoloji firmasının korumalarını en üst düzeye çıkarmak için çalıştığını söyledi. UnitedHealth’in politikasının dışarıya bakan sistemlerde çok faktörlü kimlik doğrulamayı kullanmak olduğunu söyledi.
Ancak bazı yasa koyucular UnitedHealth kadar büyük bir şirketin siber korumaları bu kadar hızlı benimseyemeyeceği konusunda şüpheci görünüyordu.
R-Wyo’dan Senatör John Barrasso, kendi eyaletindeki küçük bir kırsal hastanenin bile çok faktörlü kimlik doğrulamasına sahip olduğunu söyledi. Tesis kırmızı renkte çalışıyor ve 1960’larda, siber güvenliğin önemli bir sorun haline gelmesinden çok önce ve 2007’de kurulan Change’den çok daha önce kuruldu.
“Yaptı sen yoksun Çok faktörlü bir kimlik doğrulama sistemini uygulamak için mali kaynaklar? Bunu neden henüz uygulamaya koymadığınızdan emin değilim” dedi.
Witty ayrıca UnitedHealth’in saldırının ardından kişisel bilgileri korumak amacıyla Bitcoin olarak 22 milyon dolar fidye ödediğini doğruladı ve bunu “şimdiye kadar vermek zorunda kaldığım en zor kararlardan biri” olarak nitelendirdi.
R-Wash’tan Temsilci Cathy McMorris Rodgers, fidye ödemenin zor bir seçim olduğunu ancak bunun suçluları ödüllendiren kötü bir emsal teşkil ettiğini söyledi.
“İşte sorun. Veri sızıntısını durdurmadı. Amerikalıların kişisel ve özel sağlık bilgileri karanlık ağda yer alıyor. Bu, korumakla sorumlu olduğunuz özel sağlık verileridir” dedi. “Bay. Esprili, bu kararın önümüzdeki on yıllar boyunca kötü kriz yönetimi konusunda bir örnek olay çalışması olacağından şüpheleniyorum.”
UnitedHealth başarısız olamayacak kadar büyük mü?
Bazı yasa koyucular UnitedHealth’in çok büyüdüğünü ve sağlık hizmetleri devini siber suçlular için yüksek riskli bir hedef haline getirdiğini savundu.
Şirket, ülkenin en büyük sigorta şirketini ve önemli bir eczane sosyal yardım yöneticisini işletmektedir ve binlerce doktoru istihdam etmektedir. Duruşmalarda Witty, UnitedHealth’in şu anda 10.000’den az çalışan doktoruna sahip olduğunu, ancak 80.000 doktorla sözleşme yaptığını ve üye olduğunu söyledi.
“Şunu sormamız gerekiyor: United’ın baskın rolü çok mu baskın? Çünkü her şeyde United’ı mahvetmek herkesi mahveder mi?” dedi Senatör Bill Cassidy, R-La.
Federal hükümet daha önce UnitedHealth’in pazar gücüne meydan okumuş ve şirketin Change’i satın almasına itiraz etmişti.
Adalet Bakanlığı, satın almanın UnitedHealth’e diğer ödeme yapanlara göre avantaj sağlayacağını ileri sürerek satın alma işleminin engellenmesi için dava açtı. Ancak federal bir yargıç, anlaşmanın Ekim 2022’de sonuçlanmasına izin verdi ve bu da kurum açısından büyük bir aksaklık yarattı.
Şu anda UnitedHealth’in, sigorta şirketi UnitedHealthcare ile sağlık hizmetleri kolu Optum arasındaki ilişki de dahil olmak üzere şirketin sağlık sektöründe oynadığı büyük rol nedeniyle düzenleyiciler tarafından soruşturma altında olduğu bildiriliyor. doktorlar çalıştırıyor.
Witty, Change’in ayak izinin satın alma öncesindekiyle siber saldırı gününde aynı olduğunu savundu. UnitedHealth’in büyüklüğü ve kaynaklarının firmanın toparlanmasına bile yardımcı olabileceğini söyledi.
Bazı milletvekilleri ayrıca UnitedHealth’in siber saldırının neden olduğu mali çalkantıdan yararlanarak erişim alanını daha da genişletebileceğine dair endişelerini dile getirdi. zorlu hekimlik uygulamalarını edinin.
Witty, UnitedHealth’in saldırıdan önce müzakere edilen bir anlaşmayla Oregon’da bir muayenehane satın aldığını ve şirketin başka planlı satın almalarının olmadığını söyledi.
R-Ind’den Temsilci Larry Bucshon, “Taleplerini Change aracılığıyla iletemeyecekleri gerçeğine dayanarak klinikleri satın almayı düşünen herkesin yeniden düşünmesini şiddetle tavsiye ederim” dedi. “[…] Bunu neden yaptıklarını açıklayan bir Kongre duruşmasında oturuyor olabilirler.”