“Ajanslarınızın, UnitedHealth Group’un (UHG) tüketicilere, yatırımcılara, sağlık sektörüne ve ABD ulusal güvenliğine önemli zararlar veren ihmalkar siber güvenlik uygulamalarını soruşturmasını talep etmek için yazıyorum. Şirket, üst düzey yöneticileri ve yönetim kurulu sorumlu tutulmalıdır,” diye açıkladı Senato Maliye Komitesi Başkanı Senatör Ron Wyden, 30 Mayıs’ta federal düzenleyicilere yazdığı bir mektupta.
Bu acil çağrı, UHG’nin bir yan kuruluşu olan Change Healthcare’e yapılan ve şirketin siber güvenlik bütünlüğü hakkında kritik soruları gündeme getiren yıkıcı siber saldırının ardından geliyor.
Dört sayfalık bir mektupta Senatör Wyden, Change Healthcare’e yapılan son siber saldırıyı kötü şöhretli SolarWinds veri ihlaliyle ilişkilendirdi ve bu trajik siber saldırıyla sonuçlanan bir dizi riskli karardan UHG liderliğini sorumlu tuttu.
Sağlık Hizmetlerinde Değişime Yönelik Siber Saldırının Daha Geniş Bağlamı
Eleştirilerin merkezinde, Haziran 2023’te bu görevi üstlenmeden önce siber güvenlik alanında tam zamanlı deneyimi olmayan bir Baş Bilgi Güvenliği Görevlisinin (CISO) atanması yer alıyor. Wyden’a göre bu, sayısız olaya yol açan kurumsal ihmalin somut bir örneği. paydaşlar risk altındadır.
Wyden, Martin’in atanmasının, şirketin siber güvenlik kusurlarından sorumlu tutulması gereken UHG’nin üst düzey yöneticileri ve yönetim kurulu tarafından alınan daha geniş bir kötü karar verme modelini örneklediğini savunuyor.
SolarWinds ile karşılaştırma özellikle anlamlıdır. SolarWinds olayı, yazılım tedarik zincirlerindeki güvenlik açıklarını açığa çıkardı ve birden fazla sektörde yaygın sonuçlara yol açtı. Benzer şekilde, UHG’nin veri ihlalinin önlenebilir hatalardan kaynaklandığı kanıtlanırsa, hassas kişisel ve tıbbi verileri işleyen bir sektör olan sağlık hizmetlerinde sıkı siber güvenlik uygulamalarına yönelik kritik ihtiyacın altını çizecektir.
Olay ve İlk Tepkiler
Söz konusu olay, bilgisayar korsanlarının Change Healthcare’deki çok faktörlü kimlik doğrulaması (MFA) olmayan bir uzaktan erişim sunucusunu istismar etmesini içeriyordu. Bu temel siber güvenlik açığı, saldırganların başlangıçta bir yer edinmesine olanak tanıdı ve bu da UHG’nin operasyonlarını sekteye uğratan bir fidye yazılımının bulaşmasına yol açtı.
UHG CEO’su Andrew Witty, 1 Mayıs 2024’te Senato Finans Komitesi önündeki ifadesinde, şirketin MFA politikasının tüm harici sunucularda aynı şekilde uygulanmadığını itiraf etti. Witty’nin açıklamaları, sektörün temel bir koruma aracı olarak MFA’ya güvenmesine rağmen, UHG’de yetersiz siber güvenlik savunması sorununun altını çizdi.
Endüstri Standartları ve Mevzuat Beklentileri
Wyden’in mektubunda, Federal Ticaret Komisyonu’nun (FTC), Koruma Kuralları kapsamında finansal hizmet şirketleri için MFA’yı zorunlu kıldığına ve bunun Drizly ve Chegg gibi şirketlere karşı davalarda kullanılmasını zorunlu kıldığına dikkat çekiliyor.
Bu emsaller, MFA’yı tüketici verilerinin korunmasına yönelik tartışılamaz bir standart olarak ortaya koymaktadır. UHG’nin bu temel güvenlik önlemini tüm sunucularında uygulamadaki başarısızlığı göze çarpan bir ihmaldir ve belirtilen politikaları ile gerçek uygulamaları arasında bir kopukluk olduğunu göstermektedir.
Ayrıca Wyden, siber güvenlikte çoklu savunma hattının gerekliliğini vurguluyor. Bilgisayar korsanlarının erişimini tehlikeye atılmış bir sunucudan tüm ağa yükseltebilmesi, ağ bölümlendirmesinin ve ihlalleri kontrol altına almak için tasarlanmış diğer en iyi uygulamaların eksikliğini gösterir. Bu eksiklik, uzaktan erişim noktalarının güvenliğini sağlama konusundaki başlangıçtaki başarısızlığı daha da kötüleştiriyor.
Sonuçlar ve Daha Geniş Etkiler
UHG’nin siber güvenlik başarısızlıklarının sonuçları derindir. Hemen ardından önemli kesintiler yaşandı ve UHG’nin bazı sistemlerinin onarılması haftalar sürdü.
Witty, bulut tabanlı sistemlerin hızla kurtarıldığını ancak UHG’nin kendi sunucularında çalışan birçok kritik hizmetin hızlı geri yükleme için tasarlanmadığını itiraf etti. UHG’nin altyapı planlamasındaki bu esneklik eksikliği, bilinen ve giderek artan bir tehdit olan fidye yazılımı saldırılarının öngörülmesi ve azaltılmasındaki başarısızlığın altını çiziyor.
Wyden’ın mektubu aynı zamanda finansal sonuçlara da değiniyor. UHG, siber saldırının önemli ekonomik etkisini yansıtacak şekilde ihlalin maliyetinin bir milyar doların üzerinde olduğunu tahmin etti. Bu mali yük, medyada olumsuz yer almayla birleştiğinde UHG’yi önemli siyasi ve piyasa risklerine maruz bırakıyor.
Bu dava, SEC’in siber güvenlik uygulamalarının yatırımcı kararları açısından hayati önem taşıdığı SolarWinds davasındaki tutumunu yansıtıyor. Büyük ihlallerin hisse senedi değerini ve şirket itibarını etkileme potansiyeli göz önüne alındığında, UHG yatırımcıları da benzer şekilde gelişmiş siber güvenlik uygulamalarının gerekli olduğunu düşünecektir.
Sorumluluk ve Düzenleyici Eylem
Senatör Wyden, herhangi bir federal yasanın ihlal edilip edilmediğini belirlemek ve üst düzey yetkilileri sorumlu tutmak amacıyla FTC ve SEC’i UHG’nin siber güvenlik ve teknoloji uygulamalarını araştırmaya çağırıyor. Hesap verebilirliğe yönelik bu baskı, kurumsal yönetimin siber güvenlikteki rolünü vurgulamaktadır.
UHG yönetim kurulunun siber güvenlik risklerini denetlemekten sorumlu Denetim ve Finans Komitesi, görevlerini açıkça yerine getirmediği için eleştiriliyor.
Wyden, kurulun siber güvenlik uzmanlığı eksikliğinin, siber güvenlik tehditlerinin giderek daha karmaşık ve yaygın hale geldiği bir çağda kritik bir nokta olan gözetim başarısızlıklarına muhtemelen katkıda bulunduğunu öne sürüyor.