Wat hebben we een jaar later geleerd van UnitedHealth?
Inhoudsopgave:
Vorige maand verdubbelde de zorgverzekeraar UnitedHealth Group (UHG) bijna het aantal slachtoffers dat het oorspronkelijk had geschat na de datalek van vorig jaar. In oktober zei het bedrijf dat 100 miljoen mensen waren getroffen door de ransomware-aanval. In januari was dat gegroeid tot 190 miljoen. Dit lijkt een goed moment om de vraag te stellen: wat hebben we geleerd?
Herbezoek aan de UHG-inbreuk
De ransomwaregroep ALPHV/BlackCat stal op 21 februari 2024 gegevens van UHG-dochter Change Healthcare. De bende, die banden heeft met Rusland, had al gewaarschuwd dat ze bedrijven in de gezondheidszorgsector zou aanvallen nadat het ministerie van Justitie de activiteiten in december van het vorige jaar had verstoord.
Volgens Change Healthcare's pagina met advies over inbreuken, de gestolen PII bevatte namen, adressen, geboortedata, telefoonnummers en e-mailadressen. Andere informatie bevatte ziektekostenverzekeringsgegevens, waaronder lid-/groeps-ID-nummers en Medicaid/Medicare ID-nummers.
De cybercriminelen hebben ook persoonlijke gezondheidsgegevens gejat, waaronder medische dossiernummers, diagnoses, medicijnen, testresultaten en afbeeldingen, samen met zorg- en behandelingsinformatie. Tot slot heeft de ransomwarebende facturerings- en claimgegevens gestolen, waaronder claimnummers, rekeningnummers, factureringscodes, gedane betalingen en verschuldigde saldi.
Gelukkig meldde Change Healthcare dat de burgerservicenummers en bankrekeninggegevens niet tot de gestolen informatie behoorden.
Hoe en waarom is het gebeurd?
Rapportage onthulde dat de aanvallers toegang hadden gekregen tot een Change Healthcare Citrix-portal die op 12 februari externe toegang tot desktops mogelijk maakte, met behulp van gecompromitteerde inloggegevens. De portal was niet beschermd door multi-factor authenticatie (MFA).
Think congres getuigenis van CEO Andrew Witty afgelopen mei, de indringers bewogen zich lateraal door het systeem van het bedrijf, kregen toegang tot meerdere gebieden, waaronder de Active Directory-server, en exfiltreerden de data. Witty ook toegegeven om een losgeld van 22 miljoen dollar te betalen aan de criminele bende.
Omgaan met de inbreuk
UHG zei dat het de Change Healthcare-technologie-infrastructuur vanaf nul heeft herbouwd om het weer veilig te laten werken, en het heeft ook miljarden aan financiële hulp verstrekt aan degenen wiens gezondheidszorg door de aanval werd verstoord. Witty legde uit dat het ook derde partijen, waaronder Mandiant en Palo Alto Networks, heeft ingeschakeld om zijn interne beveiligingsscans te versterken met hun eigen scans en dat het ook Mandiant heeft ingekocht als adviseur van het bestuur.
Wat kunnen we leren van de inbreuk?
Senator Ron Wyden schetste wat hij vond dat beter had moeten gebeuren in een letter aan de Federal Trade Commission en de Securities and Exchange Commission een maand na de hoorzittingen van het Congres. Hij schetste verschillende kwesties.
Waarom werd het MFA-systeem niet geïmplementeerd? Witty's verdediging is dat Change Healthcare, dat UHG eind 2022 overnam, vol zat met gefragmenteerde legacysystemen en dat het tijd kostte om ze in lijn te brengen met het interne beveiligingsbeleid van UHG. Het bedrijf stond andere compenserende beveiligingscontroles toe waar systemen nog niet op orde waren. Het was duidelijk dat die niet genoeg waren.
"De gevolgen van UHG's ogenschijnlijke beslissing om af te zien van zijn MFA-beleid voor servers met oudere software zijn nu pijnlijk duidelijk", aldus Wyden. "Maar de leiding van UHG had lang voor het incident moeten weten dat dit een slecht idee was."
Wydens andere zorgen richten zich op het vermogen van de aanvallers om zich zo gemakkelijk door de rest van de organisatie te verplaatsen. Wanneer iemand van een desktoptoegangsportal springt om bevoorrechte toegang te krijgen tot de Active Directory-server van een bedrijf, is er iets mis. Het suggereert een gebrek aan enkele kernprincipes die betrokken zijn bij zero-trust-benaderingen, zoals microsegmentatie en alomtegenwoordige identiteits- en toegangsbeheercontroles door het hele systeem, in plaats van alleen vergrendelingen op extern gerichte activa.
Wyden nam UHG ook op de korrel vanwege het gebrek aan bedrijfscontinuïteit. "In zijn getuigenis voor het Huis onthulde de heer Witty dat het bedrijf in staat was om zijn cloudgebaseerde systemen binnen enkele dagen te herstellen. Maar, voegde de heer Witty toe, veel van de belangrijkste systemen van het bedrijf waren nog niet ontworpen om in de cloud te draaien", aldus de brief. "In plaats daarvan draaiden deze services op de eigen servers van het bedrijf, wat veel langer duurde om te herstellen".
Cybersecurity is niet het enige probleem
Dit zijn fundamentele cyber governance-principes die niemand zouden moeten verbazen, en al helemaal niet degenen die de cybersecurity checks bij UHG ondertekenen. Maar een andere is nog vernietigender: UHG wist heel goed dat het serieuze hoeveelheden gevoelige data zou verzamelen toen het Change Healthcare overnam.
In februari 2022 heeft het DoJ UHG aangeklaagd om te proberen te voorkomen dat Change Healthcare zou worden overgenomen.
"De voorgestelde transactie bedreigt een kantelpunt in de gezondheidszorgsector door United de controle te geven over een cruciale datasnelweg waar jaarlijks ongeveer de helft van alle Amerikaanse ziektekostenverzekeringsclaims doorheen gaat", aldus Principal Deputy Assistant Attorney General Doha Mekki van de Antitrust Division van het ministerie van Justitie. Dit was een antitrustklacht, maar de zorgen over data-aggregatie lijken nu bijzonder profetisch.
Desondanks handelde het bedrijf niet snel genoeg om die data te beschermen, en dat kwam niet door een gebrek aan fondsen. In 2023, het jaar na de overname van Change Healthcare, behaalde UHG de hoogste winst ooit: $ 22.4 miljard netto-inkomen, op een omzet van $ 371.6 miljard.
Hoewel we geen percentage hebben van het beveiligingsbudget van de verzekeringsgigant, hadden we vermoedelijk meer geld moeten besteden aan het vervangen van de verouderde systemen van Change Healthcare, om zo de beveiliging en veerkracht te verbeteren.
De inbreuk bij UHG was het gevolg van algemeen bekende technische misstappen, maar de belangrijkste reden is de meest clichématige van allemaal: de mensen aan het roer van het grootste Amerikaanse zorgbedrijf hadden simpelweg andere prioriteiten.
