Кибератаката на Change Healthcare се дължи на липса на многофакторно удостоверяване, казва главният изпълнителен директор на UnitedHealth

Кибератаката на Change Healthcare, която наруши системите за опазване на здравето в цялата страна по-рано тази година, стартира, когато хакери влязоха в сървър, на който липсваше съществена форма на сигурност: многофакторно засвидетелствуване.

Главният изпълнителен шеф на UnitedHealth Андрю Уити сподели в сряда по време на чуване в Сената на Съединени американски щати, че неговата компания, която има Change Healthcare, към момента се пробва да разбере за какво сървърът не разполага с спомагателна отбрана.

Неговото самопризнание не се хареса на членовете на финансовата комисия на Сената, които прекараха повече от два часа, разпитвайки основния изпълнителен шеф по отношение на офанзивата и по-широките проблеми със опазването на здравето.

„ Този ​​хак можеше да бъде спрян с киберсигурност 101 “, сподели сенаторът от Демократическата партия от Орегон Рон Уайдън пред Witty.

Многофакторното засвидетелствуване прибавя второ равнище на сигурност към предпазените с ключова дума сметки, като кара потребителите да вкарват автоматизирано генериран код. Това е постоянно срещано в приложения, защитаващи чувствителни данни като банкови сметки и предопределени да защищават от хакери, отгатващи пароли.

Хакери получиха достъп до Change Healthcare през февруари и отприщиха ransomware офанзива, която криптира и замрази огромни елементи от системата на компанията, сподели Witty. Атаката прекъсна заплащанията и обработката на искове в цялата страна, поставяйки напрегнат лекарските кабинети и системите за опазване на здравето, като се намесваше в способността им да подават искове и да получават възнаграждение.

Докато UnitedHealth бързо изключи засегнатите системи, с цел да ограничи вредите и заплати откуп от 22 милиона $, сподели Уити. Компанията към момента се възвръща.

„ Ние безусловно изградихме тази платформа от нулата, с цел да можем да уверим хората, че в новата технология няма детайли от остарялата атакувана среда “, сподели Уити.

Уити сподели на сенаторите, че компанията беше в развой на надграждане на технологията на Change и той беше „ необикновено отчаян “ да научи за неналичието на многофакторно засвидетелствуване, което е стандарт в UnitedHealth.

През март Службата за цивилен права сподели ще проверява дали предпазена здравна информация е била разкрита и дали Change Healthcare е спазвала законите, защитаващи поверителността на пациентите. Компанията сподели по-рано този месец, че персонална информация, която може да покрие „ забележителна част от хората в Америка “, може да е взета при офанзивата. Но чиновници на компанията споделиха, че не виждат признаци, че лекарски карти или цялостни медицински истории са били оповестени след офанзивата.

Уити сподели също на сенаторите, че „ надълбоко, надълбоко съжалява “ и компанията няма да се успокои, до момента в който казусът не бъде отхвърлен.

Change Healthcare дава технология, употребена за подаване и обработка на застрахователни искове – към 14 милиарда транзакции годишно. UnitedHealth купи Change Healthcare в договорка за почти 8 милиарда $, която завърши през 2022 година

___

Отделът за опазване на здравето и просвета на Associated Press получава поддръжка от Научната и просветителна медийна група на Медицинския институт Хауърд Хюз. AP е само виновен за цялото наличие.