UnitedHealth’in Change Healthcare yan kuruluşu, saldırganlara 22 milyon dolar fidye ödedi sistemlerine girdi Bugünkü Kongre ifadesine göre Şubat ayında. Her ne kadar fidye ödemesinin verilerin sonraki saldırılarda kullanılmasını güvence altına alıp almadığı belirsiz olsa da, ihlalin kapsamının herkesin hayal edebileceğinden çok daha büyük olabileceğini ortaya çıkardı.
UnitedHealth’in CEO’su Andrew Witty, ülkenin en büyük sağlık sigorta şirketinde haftalarca süren kesintinin ardından bugün ABD Temsilciler Meclisi Enerji ve Ticaret Komitesi önünde ifade verdi ve bu sırada ihlalle ilgili bir dizi endişe verici açıklama gün ışığına çıktı.
Zayıf Güvenlik: Çalınan Kimlik Bilgileri, MFA Yok
Örneğin, Şubat ayında Change’e sızan BlackCat/ALPHV fidye yazılımı bağlı bilgisayar korsanlarının başarıya ulaşmak için çok fazla çalışmaları gerekmedi. İfadeye göre, Change’in Citrix platformuna giriş yapmak için muhtemelen bir ilk erişim komisyoncusu aracılığıyla elde edilen daha önce güvenliği ihlal edilmiş kimlik bilgilerini kullanabildiler ve bu hesap çok faktörlü kimlik doğrulama (MFA) ile korunmuyordu.
Ayrıca saldırı, BlackCat’in 23 Şubat’ta fidye yazılımını dağıtmasıyla keşfedildi, ancak saldırganlar aslında bundan bir haftadan fazla bir süre boyunca ortama sınırsız erişime sahipti, bu da izinsiz giriş tespit cihazının ne yazık ki eksik olduğunu gösteriyor.
Witty’s’e göre “12 Şubat’ta suçlular, masaüstü bilgisayarlara uzaktan erişim sağlamak için kullanılan bir uygulama olan Change Healthcare Citrix portalına uzaktan erişmek için ele geçirilen kimlik bilgilerini kullandı.” hazırlanmış ifade, duruşma öncesinde serbest bırakıldı. “Portalda çok faktörlü kimlik doğrulama yoktu. Tehdit aktörü erişim sağladıktan sonra, sistemler içinde daha karmaşık yöntemlerle yanlara doğru hareket etti ve verileri sızdırdı. Dokuz gün sonra fidye yazılımı dağıtıldı.”
Witty, sözlü ifadesinde ayrıca, değiştirilmemiş Citrix kimlik bilgilerine (şirketin daha önceki ihlallerin bir parçası olabilecek tehlikeye atılmış kimlik bilgilerini takip edecek süreçlerinin bulunmadığı açıktır) ve MFA eksikliğine eklendiğinde, önemli olan ek ayrıntıları da açıkladı. genel olarak güvenlik olgunluğu eksikliğinden kaynaklanmaktadır. Örneğin şirket, dosyaların şifresini çözdükten sonra bile sistemlerini tamamen yeniden oluşturmak zorunda kaldı; ve yedekleri, ağ bölümlendirmesi veya altyapı boşlukları nedeniyle ele geçirilmediğinden, saldırganlar bunları da kilitleyerek ilk saldırıdan itibaren herhangi bir kurtarma yolunu engelleyebildi.
Piyush Pandey, “Bu saldırı, erişim yetkilerini düzenli olarak gözden geçirmek için kontrollere sahip olmanın neden önemli olduğunu gösteriyor. Kimlik bilgileri ele geçirilmiş olsun veya olmasın, saldırganlar, saldırılarını gerçekleştirmek için kendilerine erişim sağlayan bir hesaptan yararlanabildiler” dedi. Pathlock’un CEO’su, e-postayla gönderilen bir açıklamada. “Bu durumda MFA, bu saldırının yayılmasına karşı etkili bir kapı olabilirdi. Ek güvenlik katmanları ihlali daha zorlu hale getirecektir… daha geniş bir bakış açısıyla bu, katmanlama teknolojilerinin ve MFA gibi süreçler, güçlü uygulama erişim kontrolleri ve veri maskeleme gibi veri güvenliği teknolojileriyle bir araya gelerek yaygın veri ihlallerinin azaltılmasına yardımcı olabilir.”
PII ve PHI’nın Veri Güvenliği Üzerindeki Etkisi Belirsiz
Ayrıca bugünkü sözlü ifadede Witty, düşmanların bir saldırıyla kaçtığını doğruladı. büyük miktarda kişisel olarak tanımlanabilir bilgi (PII) ve kişisel sağlık bilgileri (PHI). Witty kesin rakamlardan bahsetmese de söz konusu verilerin “Amerika’daki insanların önemli bir bölümünü kapsayabileceğini” söyledi. Verilerin hâlâ risk altında olup olmadığına değinmedi.
Senatör Ron Wyden (D-Ore.), bu yorumu perspektife koymak için, “Change Healthcare yılda yaklaşık 15 milyar sağlık hizmeti işlemi gerçekleştiriyor ve Amerikalıların hasta kayıtlarının üçte biri dijital kapılardan geçiyor” dedi. Bir deyim duruşma öncesinde.
Senatör şunu ekledi: “Change, hasta verilerinin doktor muayenehanesinden doktorun muayenehanesine veya sigorta şirketinize taşınmasında uzmanlaşmıştır. Bu, hassas teşhisler, tedaviler ve kürtajdan zihinsel sağlık sorunlarına kadar her şeyi ortaya çıkaran tıbbi geçmişlerle dolu tıbbi faturalar anlamına gelir. Sağlık bozukluklarından kanser teşhislerine, cinsel yolla bulaşan enfeksiyonlara kadar askeri personel de bu verilere dahildir.”
Wyden ayrıca ihlalin açık bir ulusal güvenlik tehdidine dönüşebileceği konusunda da uyardı.
“Bunun bir uzatma olduğunu düşünmüyorum [that] Buradaki etki, 2015 yılında hükümet personel verilerinin hacklenmesiyle rekabet edebilecek düzeyde. Personel Yönetimi OfisiFBI’ın yabancı istihbarat servisleri için karşı istihbarat bilgilerinin ‘hazinesi’ olarak adlandırdığı” dedi.
UnitedHealth’in Sonraki Adımları Bilinmiyor
UnitedHealth, 324 milyar dolarlık geliri ve 152 milyon kişiye ilişkin konut verileriyle ülkenin en büyük sigorta şirketi ve ABD’nin beşinci büyük şirketidir. Bu ihlal, sağlık sektörünü şimdiye kadar etkileyen en büyük siber olaydır. Ancak Change ve UnitedHealth’in bundan sonra ne olacağı belli değil; Wyden, mevcut düzenlemelerin yalnızca “bileğe tokat” yaptırım tedbirleri içerdiğine dikkat çekti. Şirketler ayrıca siber savunma duruşlarını nasıl ve ne zaman iyileştirmeyi planladıklarını da ayrıntılı olarak açıklamadı (UnitedHealth’in yönetim kurulunda siber güvenlik yöneticisi yok).
Bu arada, ihlalin kamuya açıklanmasından sonraki haftalarda şirket şunu gördü: RansomHub’dan taklit aktivite Siber suç ekibi ve olay tüm dünyayı kasıp kavurduğu için sağlık tedarik zinciriSağlık ve İnsani Hizmetler Bakanlığı bir yanıt verdi: Sigorta şirketlerindeki siber riski ele almaya yönelik politika oyun planı (yine de sağlık kuruluşlarının minimum siber güvenlik standartlarını karşılamasını gerektirmemektedir). İlerleyen süreçte destanda başka gelişmelerin olacağı neredeyse kesin.