Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımları, Standartlar, Düzenlemeler ve Uyumluluk
UnitedHealth Grubu CEO’su Andrew Witty Şirketin Attığı Adımları Açıklıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
1 Mayıs 2024
Çarşamba günü milletvekilleri, UnitedHealth Group CEO’su Andrew Witty’yi, Change Healthcare siber saldırısına yol açan güvenlik açıkları ve şirketin, sektör çapında aksama ve milyonlarca bireyin hassas verilerinin tehlikeye atılması da dahil olmak üzere olayı ele alması nedeniyle eleştirdi.
Ayrıca bakınız: HIPAA Uyumluluğu: Sağlık Sektörünün Bilmesi Gerekenler
Senato Finans Komitesi başkanı Ron Wyden, D-Ore., olayla ilgili şunları söyledi: “Amerikalılar, hassas bilgilerinin ne kadarının çalındığı konusunda hala karanlıktalar ve UnitedHealth Group’un sunduğu kredi izleme hizmeti tam bir rahatlık.” “ABD tarihinde sağlık hizmetlerinde yaşanan en büyük aksama” olarak tanımlandı.
Witty, Çarşamba sabahı Senato Finans Komitesi tarafından yapılan duruşmada, 2022’nin sonlarında Change Healthcare’i satın alan UnitedHealth Group’un, saldırı meydana geldiğinde Change Healthcare’in BT sistemlerini güncelleme sürecinde olduğunu söyledi.
O öğleden sonra Witty, Temsilciler Meclisi Enerji ve Ticaret Komitesi’nin Gözetim ve Soruşturmalar Alt Komitesi önünde ifade verdi.
Witty yasa yapıcılara, Change Healthcare’in teknolojisinin eski sistemler üzerinde yoğun olduğunu ve saldırganların 21 Şubat’ta fidye yazılımını başlatmasından dokuz gün önce, saldırganların çok faktörlü kimlik doğrulaması olmayan harici bir Change sunucusuna eriştiğinde büyük ölçüde veri merkezlerinde ve şirket içinde çalıştırıldığını söyledi (bkz: UnitedHealth CEO’su: Fidye Ödemek Şimdiye Kadarki ‘En Zor Karar’dı).
Witty, Change Healthcare’in 2007 yılında kurulduğunu, ancak UnitedHealth Group tarafından satın alınmadan önce şirketin birden fazla satın almanın sonucu olduğunu ve geçmişi 40 yıl öncesine dayanan bazı eski sistemlere sahip olduğunu söyledi.
Saldırıdan bu yana Change’in BT ortamı sıfırdan yeniden oluşturuldu ve büyük bir kısmı “daha güvenli” olduğunu söylediği buluta taşındı. CEO, şirketin tüm Change Healthcare sistemlerini UHG’nin siber güvenlik standartlarına uygun hale getirmek için çalıştığını söyledi; buna harici sistemlerde MFA zorunluluğu da dahildir.
Witty, UnitedHealth Group’un sağlık sektörünün geri kalanı gibi sürekli saldırı altında olduğunu ve her dakika bir girişimde bulunulduğunu söyledi.
Söz konusu Change Healthcare sunucusunun neden MFA korumasından yoksun olduğunu ve bu eksikliğin önceki güvenlik denetimlerinde tespit edilip saldırıdan önce giderilip giderilmediğini bilmiyordu.
Witty, Change Healthcare’in birincil ve yedek sistemlerindeki geniş bir veri yelpazesinin saldırı tarafından şifrelendiğini ve saldırıya anında yanıt olarak Change Healthcare’in tüm BT sistemlerini çevrimdışına alma kararının, enfeksiyonun yayılmasının önlenmesine yardımcı olduğunu söyledi.
Yasa koyucular, etkilenen bireylere ve sağlık hizmeti sağlayıcılarına PHI ve PII’larını içeren bir uzlaşma konusunda neden henüz bildirimde bulunulmadığını sordu ve Witty, UnitedHealth Group’un etkilenen veri setini incelenmek üzere geri almasının Mart ortasına kadar sürdüğünü açıkladı.
Witty, şirketin olaydan hangi tür korunan sağlık bilgilerinin ve hangi bireylerin kişisel olarak tanımlanabilir bilgilerinin etkilendiğini spesifik olarak belirleyebilmesinin birkaç hafta daha sürebileceğini söyledi.
Bu arada şirket, verilerinin etkilenip etkilenmediğini kesin olarak bilseler de bilmeseler de tüm Amerikalılara 24 ay boyunca ücretsiz kredi ve kimlik izleme hizmetlerine kaydolma fırsatı sunuyor.
Wyden, etkilenen bireylere bu tür hizmetlerin sunulmasından yana olduğunu ancak kimlik ve kredi izlemeyi “veri ihlallerine yönelik düşünceler ve dualar” olarak gördüğünü söyledi.
Ulusal Güvenlik Endişeleri
Wyden, olayın son derece ulusal güvenlik endişeleri yarattığını söyledi. Wyden, “Bu hack olayına karıştıklarını iddia eden kişiler, aktif görevli ABD askeri üyeleri de dahil olmak üzere Amerikalı çalışanlara ilişkin verileri çaldıklarını iddia ettiler” dedi ve bu, 2015 yılında ABD Personel Yönetimi Ofisi’ne yapılan hacklemeyi anımsatıyor, dedi.
“Bu çok ciddi karşı istihbarat endişelerini beraberinde getirdi ve ben de bu hacklemenin ulusal güvenlik açısından yaratacağı sonuçlar konusunda oldukça endişeliyim.”
Witty ayrıca olayda “herhangi bir hastanın bilgisinin” tehlikeye atılmasından son derece endişe duyduğunu ve şirketin şu ana kadar “ülke çapındaki insanların önemli bir kısmının bu olaya karışmış olabileceğine” karar verdiğini söyledi. Witty, silahlı kuvvetler ve gaziler ile bağlantılı” dedi ve bu analize mümkün olan en kısa sürede “öncelik verme” sözü verdi.
Witty, her iki duruşmada da milletvekillerine UnitedHealth Group’un saldırgana bitcoin olarak 22 milyon dolarlık fidye ödediğini doğruladı.
Şu anda Kongre’de görev yapan 19 doktordan biri olan Temsilci Michael Burgess, R-TX, siber suçlulara olan öfkesini dile getirdi ve Witty’ye UnitedHealth Group’un soruşturmada Adalet Bakanlığı ve diğer devlet kurumlarıyla ne kadar yakın çalıştığını sordu.
Burgess, “Birinin tutuklandığını, zorla şehir merkezine gönderildiğini ve vurulduğunu görmek istiyorum” dedi. “Peki, kolluk kuvvetlerinin bu insanları bulmasına yardım ediyor musun?” Witty’ye sordu.
“Kesinlikle” diye yanıtladı Witty. “İlk saatlerde FBI’a ulaştık ve yolun her adımında FBI ile gerçekleştirdiğimiz olağanüstü etkileşimi takdir etmek isterim.
“Onlara yardımcı olacak her türlü bilgiyi sağlamaya devam edeceğiz ve umarım bu insanları bulup yakalarız” dedi. “Ben tamamen sizinle aynı fikirdeyim. Bu insanların adalet önüne çıkarılmasını çok isterim. Ve umarım saldıracakları son insanlar da biziz.”
Bazı milletvekilleri, olayın sağlık ekosistemi için minimum siber güvenlik standartlarına duyulan ihtiyacın altını çizdiğini söyledi ve Witty de bunu desteklediğini söyledi.
Senatör Mark Warner, D-Va., minimum siber güvenlik standartlarının sağlık ekosisteminin “besin zinciri boyunca” geniş çapta uygulanması gerektiğini söyledi.
R-Tenn’den Senatör Marsha Blackburn’ün de aralarında bulunduğu diğer milletvekilleri, Witty’ye, UnitedHealth Group’un tıbbi uygulamaların talep işleme için güvendiği sistemlerin tam işleyişini ve nihayetinde mali ödeme gücünü yeniden başlatmasının neden bu kadar uzun sürdüğü konusunda sorular sordu.
Witty, eczane, talep işleme ve yetkilendirme de dahil olmak üzere şirketin kritik sistemlerinin çoğunun tekrar çevrimiçi olduğunu ve normal şekilde çalıştığını, ancak daha yardımcı sistemlerden bazılarının hala geri yüklenmeye devam ettiğini söyledi. UHG’nin halihazırda etkilenen sağlayıcılara 6,5 milyon dolarlık faizsiz kredi sağladığını ve bu yardımı sunmaya devam edeceğini söyledi.
Blackburn ve diğerleri, Witty’ye, Change Healthcare’in BT’sinin kurtarma sırasında çalışmaya devam etmesine izin verebilecek yedeklilik eksikliğinin yanı sıra, kesinti devam ederken müşterilerin işlem ihtiyaçları için yedek tedarikçilere sahip olmalarını engelleyen şirketin münhasırlık hükümleri hakkında sorular sordu.
Witty, şirketin Change Healthcare’in sözleşmelerindeki münhasırlık maddelerini kaldırdığını ve tüm sağlayıcıları gelecekteki saldırılara karşı en az iki yedek plana sahip olmaya teşvik edeceğini söyledi.
Saldırıda Change Healthcare müşteri dosyalarının şifrelenmesi nedeniyle kriz sırasında bu müşterilerle iletişime geçmenin çok zor olduğunu söyledi.
UHG’nin kime bildirimde bulunacağını ve hangi bilgilerin etkileneceğini belirlemesi birkaç hafta daha sürecektir. Witty, şirketin bildirim ve raporlama görevlerini yerine getirdiğinden emin olmak için Sağlık ve İnsani Hizmetler Departmanı ile birlikte çalıştığını ve süreci basitleştirmek için bildirimin sorumluluğunu %100 almayı teklif ettiğini söyledi.
D-Mass.’dan Senatör Elizabeth Warren’ın da aralarında bulunduğu diğer milletvekilleri, UHG’yi birleşme ve satın almalar yoluyla çok büyümesine izin verilen bir şirket örneği olarak gösterdi. Warren, UHG’nin krizin neden olduğu mali yıkım nedeniyle strese giren doktor muayenehanelerini satın alarak siber saldırıyı daha da büyütmek için kullanacağı yönündeki endişesini dile getirdi.
Witty, Wyden tarafından önerilen ve UHG’nin bu durumu sorunlu uygulamaları silip süpürmek için kullanmasını önleyecek bir “güvenlik duvarı”nı kabul edeceğini söyledi.
Wyden, Change Healthcare saldırısının sağlık sektörünün karşılaştığı birçok zorluğu gösterdiğini ancak UnitedHealth Group kadar büyük bir şirketin daha iyi hazırlanmış olması gerektiğini söyledi.
“Bu kadar büyük şirketlerin müşterilerini koruma ve bu konuda öncülük yapma yükümlülükleri var. Sizin gözetiminizde olan şirketinizin ülkeyi yüzüstü bıraktığını düşünüyorum.”