Кибератаката на Change Healthcare се дължи на липса на многофакторно удостоверяване, казва главният изпълнителен директор на UnitedHealth
Кибератаката на Change Healthcare, която наруши системите за здравеопазване в цялата страна по-рано тази година, започна, когато хакери влязоха в сървър, на който липсваше основна форма на сигурност: многофакторно удостоверяване .
Главният изпълнителен директор на UnitedHealth Андрю Уити каза в сряда по време на изслушване в Сената на САЩ, че неговата компания, която притежава Change Healthcare, все още се опитва да разбере защо сървърът не разполага с допълнителна защита.
Неговото признание не се хареса на членовете на финансовата комисия на Сената, които прекараха повече от два часа, разпитвайки главния изпълнителен директор относно атаката и по-широките проблеми със здравеопазването.
„Този хак можеше да бъде спрян с киберсигурност 101“, каза сенаторът от Демократическата партия от Орегон Рон Уайдън пред Witty.
Многофакторното удостоверяване добавя второ ниво на сигурност към защитените с парола акаунти, като кара потребителите да въвеждат автоматично генериран код. Това е често срещано в приложения, защитаващи чувствителни данни като банкови сметки и предназначени да предпазват от хакери, отгатващи пароли.
Хакери получиха достъп до Change Healthcare през февруари и отприщиха ransomware атака, която криптира и замрази големи части от системата на компанията, каза Witty. Атаката прекъсна плащанията и обработката на искове в цялата страна, поставяйки под напрежение лекарските кабинети и системите за здравеопазване, като се намесваше в способността им да подават искове и да получават заплащане.
Докато UnitedHealth бързо изключи засегнатите системи, за да ограничи щетите и плати откуп от 22 милиона долара, каза Уити. Компанията все още се възстановява.
„Ние буквално изградихме тази платформа от нулата, за да можем да уверим хората, че в новата технология няма елементи от старата атакувана среда“, каза Уити.
Уити каза на сенаторите, че компанията беше в процес на надграждане на технологията на Change и той беше „невероятно разочарован“ да научи за липсата на многофакторно удостоверяване, което е стандарт в UnitedHealth.
През март Службата за граждански права каза ще разследва дали защитена здравна информация е била разкрита и дали Change Healthcare е спазвала законите, защитаващи поверителността на пациентите. Компанията каза по-рано този месец, че лична информация, която може да покрие „значителна част от хората в Америка“, може да е взета при атаката. Но служители на компанията казаха, че не виждат признаци, че лекарски карти или пълни медицински истории са били публикувани след атаката.
Уити каза също на сенаторите, че „дълбоко, дълбоко съжалява“ и компанията няма да се успокои, докато проблемът не бъде отстранен.
Change Healthcare предоставя технология, използвана за подаване и обработка на застрахователни искове – около 14 милиарда транзакции годишно. UnitedHealth купи Change Healthcare в сделка за приблизително 8 милиарда долара, която приключи през 2022 г.
___
Отделът за здравеопазване и наука на Associated Press получава подкрепа от Научната и образователна медийна група на Медицинския институт Хауърд Хюз . AP е единствено отговорен за цялото съдържание.
