שנה לאחר מכן, מה למדנו מ-UnitedHealth?

מאת דני ברדבורי • 25 פבואר 2025

בחודש שעבר, ענקית ביטוח הבריאות UnitedHealth Group (UHG) כמעט הכפילה את מספר הקורבנות שהעריכה במקור בעקבות פרצת הנתונים בשנה שעברה. באוקטובר, החברה אמרה כי 100 מיליון הושפעו ממתקפת תוכנת הכופר. בינואר זה גדל ל-190 מ'. זה נראה כמו זמן טוב לשאול את השאלה: מה למדנו?

ביקור מחדש ב-UHG Breach

קבוצת תוכנות הכופר ALPHV/BlackCat גנבה את הנתונים מחברת הבת של UHG Change Healthcare ב-21 בפברואר 2024. הכנופיה המקושרת לרוסיה כבר הזהירה שהיא תכוון לחברות במגזר הבריאות לאחר שמשרד המשפטים שיבש את פעילותה בדצמבר הקודם.

לפי Change Healthcare's דף ייעוץ להפרות, ה-PII הגנוב כלל שמות, כתובות, תאריכי לידה, מספרי טלפון וכתובות אימייל. מידע אחר כלל נתוני ביטוח בריאות, כולל מספרי חבר/קבוצה ומספרי זהות של Medicaid/Medicare.

פושעי הסייבר הסתננו גם נתונים בריאותיים אישיים, כולל מספרי רשומות רפואיות, אבחנות, תרופות, תוצאות בדיקות ותמונות, יחד עם מידע טיפול וטיפול. לבסוף, חבורת תוכנות הכופר גנבה נתוני חיוב ותביעות, כולל מספרי תביעה, מספרי חשבונות, קודי חיוב, תשלומים שבוצעו ויתרות.

למרבה המזל, Change Healthcare אמר שמספרי תעודת זהות ופרטי חשבון בנק לא היו בשפע של מידע גנוב.

איך ולמה זה קרה?

הדיווח חשף כי התוקפים קיבלו גישה לפורטל Change Healthcare Citrix שאיפשר גישה מרחוק למחשבים שולחניים ב-12 בפברואר, תוך שימוש באישורים שנפגעו. הפורטל לא היה מוגן על ידי אימות רב-גורמי (MFA).

לפי עדות הקונגרס מהמנכ"ל אנדרו וויטי במאי האחרון, הפולשים עברו לרוחב דרך המערכת של החברה, קיבלו גישה למספר אזורים - כולל שרת ה-Active Directory שלה - וחילצו את הנתונים. גם שנון הודה לתשלום כופר של 22 מיליון דולר לכנופיה הפושעת.

התמודדות עם ההפרה

UHG אמרה שהיא בנתה מחדש את תשתית הטכנולוגיה של Change Healthcare מאפס כדי להפעיל אותה שוב בצורה מאובטחת, והיא גם סיפקה מיליארדי סיוע כספי למי ששירותי הבריאות שלהם הופרעו על ידי המתקפה. ויטי הסבירה שהיא גם גייסה צדדים שלישיים, כולל Mandiant ו-Palo Alto Networks, כדי לחזק את סריקות האבטחה הפנימיות שלה בעצמם, וגם רכשה את Mandiant כיועץ לדירקטוריון.

מה אנחנו יכולים ללמוד מההפרה?

הסנאטור רון ווידן תיאר מה לדעתו היה צריך להיעשות טוב יותר ב מכתב לוועדת הסחר הפדרלית ולרשות ניירות ערך חודש לאחר הדיונים בקונגרס. הוא תיאר כמה נושאים.

מדוע לא יושמה מערכת MFA? ההגנה של Witty היא ש-Change Healthcare - ש-UHG רכשה בסוף 2022 - הייתה עמוסה במערכות עתיקות מפוצלות, ושלקח זמן להתאים אותן למדיניות האבטחה הפנימית של UHG. החברה אפשרה בקרות אבטחה מפצות אחרות שבהן המערכות עדיין לא התכוננו. ברור שאלו לא הספיקו.

"ההשלכות של ההחלטה לכאורה של UHG לוותר על מדיניות ה-MFA שלה עבור שרתים המריצים תוכנה ישנה יותר ברורות כעת עד כאב", אמר Wyden. "אבל ההנהגה של UHG הייתה צריכה לדעת, הרבה לפני התקרית, שזה רעיון רע".

חששותיו האחרים של ווידן מתמקדים ביכולתם של התוקפים לנוע בקלות רבה בכל שאר הארגון. כשמישהו מזנק מפורטל גישה למחשב שולחני כדי לקבל גישה מוסמכת לשרת Active Directory של חברה, משהו לא בסדר. זה מרמז על היעדר כמה עקרונות ליבה המעורבים בגישות אפס אמון, כגון מיקרו-פילוח ובקרות זהות וניהול גישה בכל מקום בכל המערכת, במקום רק נעילות על נכסים הפונים כלפי חוץ.

Wyden גם לקח את UHG למשימה בגלל חוסר המשכיות עסקית. "בעדות הבית שלו, מר ויטי חשף שהחברה הצליחה לשחזר את המערכות מבוססות הענן שלה תוך מספר ימים. אבל, הוסיף מר ויטי, רבות ממערכות המפתח של החברה עדיין לא הנדסו לפעול בענן", נכתב במכתב. "במקום זאת, השירותים הללו פעלו על השרתים של החברה עצמה, שלקח הרבה יותר זמן לשחזור".

אבטחת סייבר היא לא הבעיה היחידה

אלו הם עקרונות ממשל סייבר בסיסיים שאסור להפתיע אף אחד - לפחות מכל אלה החותמים על המחאות אבטחת הסייבר ב-UHG. אבל אחר הוא יותר מרשיע; UHG ידעה היטב שהיא תצבור כמויות רציניות של מידע רגיש כשתרכוש את Change Healthcare.

בפברואר 2022, משרד המשפטים תבע את UHG כדי לנסות למנוע ממנו לרכוש את Change Healthcare.

"העסקה המוצעת מאיימת על נקודת פיתול בתעשיית הבריאות בכך שהיא נותנת ליונייטד שליטה על כביש נתונים קריטיים שדרכו עוברות כמחצית מכל תביעות ביטוח הבריאות של האמריקאים מדי שנה", אמר סגן ראשי עוזר התובע הכללי, דוחה מקי, מחטיבת ההגבלים העסקיים של משרד המשפטים. זו הייתה תלונה על הגבלים עסקיים, אבל החששות לגבי צבירת נתונים נראות קדומות במיוחד כעת.

למרות זאת, החברה לא זזה מהר מספיק כדי להגן על הנתונים האלה - וזה לא היה מחוסר כספים. בשנת 2023, השנה שלאחר רכישת Change Healthcare, UHG השיגה את הרווח הגבוה ביותר אי פעם - 22.4 מיליארד דולר ברווח נקי - מהכנסות של 371.6 מיליארד דולר.

אמנם אין לנו נתון באחוזים של תקציב האבטחה של ענקית הביטוח, אבל יש להניח שיותר מהכסף הזה היה צריך ללכת להחלפת חלת הדבש של Change Healthcare של מערכות מדור קודם למען אבטחה וחוסן טובים יותר.

הפרת ה-UHG נבעה מטעויות טכניות מובנות היטב, אבל הסיבה העיקרית היא הקלישאה מכולן: לאלו שעומדים בראש חברת הבריאות הגדולה בארה"ב פשוט היו סדרי עדיפויות אחרים.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.