El ataque de ransomware que ha envuelto al titán estadounidense de seguros de salubridad UnitedHealth Group y su filial tecnológica Change Healthcare es una pesadilla en materia de privacidad de datos para millones de pacientes estadounidenses, y el director ejecutante Andrew Witty confirmó esta semana que puede afectar hasta a un tercio del país.
Pero incluso debería servir como una indicación de atención para países de todo el mundo, incluido el Reino Unido, donde UnitedHealth ahora ejerce su actividad mediante la nuevo adquisición de una empresa que gestiona datos pertenecientes a millones de pacientes del NHS (Servicio Doméstico de Lozanía).
Como una de las compañías de atención médica más grandes de los EE. UU., UnitedHealth es correctamente conocida a nivel doméstico y se cruza con todas las facetas de la industria de la salubridad, desde los seguros y la facturación hasta las redes de médicos y farmacias: es un titán de $500 mil millones, y el 11ª empresa más amplio a nivel mundial por ingresos. Pero en el Reino Unido, UnitedHealth es prácticamente desconocida, sobre todo porque no ha tenido muchos negocios al otro banda del charco, hasta hace seis meses.
Luego de un proceso regulatorio de 16 meses que finalizó en octubre, Optum UK, filial de UnitedHealth, a través de una filial indicación Bordeaux UK Holdings II Limited, finalmente tomó propiedad de EMIS Health en un acuerdo de 1.500 millones de dólares. EMIS Health proporciona software que conecta a los médicos con los pacientes, permitiéndoles reservar citas, solicitar recetas repetidas y más. Uno de estos servicios es Patient Access, que cuenta con unos 17 millones de usuarios registrados que en conjunto hicieron 1,4 millones de citas con el médico de grupo a través de la aplicación el año pasado y ordenaron más de 19 millones de recetas repetidas.
No hay nadie que sugiera que los datos de los pacientes del Reino Unido estén en aventura aquí: se proxenetismo de subsidiarias diferentes, con configuraciones diferentes, bajo jurisdicciones diferentes. Pero según su certificación en el Senado el miércoles, Witty culpó del ataque al hecho de que desde que UnitedHealth adquirió Change Healthcare en 2022, no había actualizado sus sistemas, y interiormente de esos sistemas había un servidor que no tenía autenticación multifactor ( MFA) cobrador.
Sabemos que los piratas informáticos robaron datos de salubridad utilizando «credenciales comprometidas» para ingresar a un portal de Change Healthcare Citrix que estaba destinado a que los empleados accedieran a las redes internas de forma remota. Increíblemente, Witty dijo que la empresa todavía estaba trabajando para comprender por qué no se habilitó MFA, dos meses posteriormente del ataque. Esto no inspira mucha confianza a los profesionales de la salubridad y a los pacientes del Reino Unido que utilizan EMIS Health bajo los auspicios de sus nuevos propietarios.
Este no es un caso eventual.
Por otra parte, esta semana, el hacker Aleksanteri Kivimäki, de 25 primaveras, fue encarcelado durante más de seis primaveras por infiltrarse en una empresa indicación Vastaamo en 2020, robar datos sanitarios pertenecientes a miles de pacientes finlandeses e intentar trastornar y chantajear tanto a la empresa como a los pacientes afectados. .
Independientemente de que los ataques de rescate tengan éxito o no, en última instancia son lucrativos: los pagos a los perpetradores supuestamente se duplicaron a más de mil millones de dólares en 2023, un año récord según muchos. Durante su certificación, Witty confirmó informes anteriores de que UnitedHealth pagó un rescate de 22 millones de dólares a sus piratas informáticos.
Los datos de salubridad como correctamente valioso
Pero la conclusión más importante de todo esto es que los datos personales –particularmente los datos de salubridad– son un enorme correctamente total y deben ampararse en consecuencia. Sin requisa, seguimos viendo una higiene de la ciberseguridad increíblemente deficiente, lo que debería ser una preocupación para todos.
Como escribió TechCrunch hace un par de meses, cada vez es más difícil ingresar incluso a la forma más básica de atención médica en el NHS financiado por el estado sin aceptar dar llegada a sus datos a empresas privadas, ya sea una multinacional de mil millones de dólares o una empresa de aventura. -startup respaldada.
Puede activo razones operativas y prácticas legítimas por las que tiene sentido trabajar con el sector privado, pero la sinceridad es que dichas asociaciones aumentan la superficie de ataque a la que los malos actores pueden atacar, independientemente de las obligaciones, políticas y promesas que una empresa pueda tener.
Muchas consultas de médicos de grupo en el Reino Unido ahora exigen que los pacientes utilicen software de clasificación de terceros para concertar citas y, a menos que se lea detenidamente la pagaré pequeña de las políticas de privacidad, a menudo no está claro con quién está haciendo efectivamente negocios el paciente.
Al profundizar en la política de privacidad de un proveedor de servicios de clasificación llamado Patchs Health, que dice que brinda soporte a más de 10 millones de pacientes en todo el NHS, se revela que es simplemente el “subprocesador” de datos responsable de desarrollar y permanecer el software. El principal procesador de datos contratado para dedicar el servicio es en sinceridad una empresa privada respaldada por haber indicación Advanced, que fue afectada por un ataque de ransomware hace dos primaveras, lo que obligó a desconectar los servicios del NHS. De forma similar al ataque a UnitedHealth, se utilizaron credenciales legítimas para ingresar a un servidor Citrix.
No es necesario entornar los luceros para ver los paralelos entre lo que ha sucedido con UnitedHealth y lo que podría suceder en el Reino Unido con las innumerables empresas privadas que se asocian con el NHS.
Finlandia incluso sirve como un recordatorio profético a medida que el NHS se adentra cada vez más en el ámbito privado. Calificada como uno de los crímenes más grandes nunca cometidos en el país, la filtración de datos de Vastaamo se produjo posteriormente de que el sistema de salubridad pública de Finlandia subcontratara una empresa privada de psicoterapia, ahora desaparecida. Aleksanteri Kivimäki se infiltró en una colchoneta de datos insegura de Vastaamo, y posteriormente de que Vastaamo se negara a fertilizar un rescate de 450.000 euros en Bitcoin, Kivimäki intentó chantajear a miles de pacientes, amenazando con propagar notas de terapia íntima.
En la investigación que siguió, se descubrió que Vastaamo contaba con procesos de seguridad totalmente inadecuados. Su colchoneta de datos de pacientes estuvo expuesta a la Internet abierta, incluidos datos confidenciales no cifrados, como información de contacto, números de seguro social y notas del terapeuta. El defensor del pueblo finlandés para la protección de datos señaló que la causa más probable de la violación fue un «puerto MySQL desprotegido en la colchoneta de datos», donde la cuenta del adjudicatario raíz no estaba protegida con contraseña. Esta cuenta permitía el llegada desenfrenado a la colchoneta de datos desde cualquier dirección IP y el servidor no tenía firewall.
En el Reino Unido, ha habido preocupaciones muy expresadas sobre cómo el NHS está abriendo el llegada a los datos. La asociación de más stop perfil se produjo al punto que el año pasado, cuando Palantir, la empresa de investigación de big data respaldada por Peter Thiel, recibió contratos masivos del NHS de Inglaterra para ayudarla en la transición a una nueva Plataforma de Datos Federados (FDP), para disgusto de los médicos y los datos. defensores de la privacidad en todo el país.
Aunque todo parece poco forzoso. Los defensores de la privacidad gritan y gritan, pero las grandes empresas con mucho cuartos siguen obteniendo las claves de datos confidenciales que pertenecen a millones de personas. Se hacen promesas, se dan garantías, se implementan procesos; luego, alguno se olvida de configurar la MFA básica o deja una esencia de criptográfico debajo de la puerta y todo explota.
Enjuague y repita.
————————————————– —————–
Esta página transcribe artículos de diversas fuentes de dominio divulgado, las ideas expresadas son responsabilidad de sus respectivos autores por lo cual no nos hacemos responsables del uso o la interpretación que se les dé. La información publicada nunca debe sustituir información profesional, médica, permitido o psicológica.
