يجب أن يكون خرق بيانات UnitedHealth بمثابة دعوة للاستيقاظ للمملكة المتحدة وهيئة الخدمات الصحية الوطنية
هجوم الفدية إن ما اجتاح شركة التأمين الصحي الأمريكية العملاقة UnitedHealth Group وفرعها التكنولوجي Change Healthcare يمثل كابوسًا لخصوصية البيانات لملايين المرضى الأمريكيين، حيث أكد الرئيس التنفيذي أندرو ويتي هذا الأسبوع أنه قد يؤثر على ما يصل إلى ثلث البلاد.
ولكن ينبغي له أيضا أن يكون بمثابة دعوة للاستيقاظ للدول في كل مكان، بما في ذلك المملكة المتحدة حيث تمارس شركة يونايتد هيلث تجارتها الآن من خلال الاستحواذ الأخير على شركة تدير بيانات تخص الملايين من مرضى هيئة الخدمات الصحية الوطنية.
باعتبارها واحدة من أكبر شركات الرعاية الصحية في الولايات المتحدة، فإن UnitedHealth معروفة جيدًا على المستوى المحلي، حيث تتقاطع مع كل جانب من جوانب صناعة الرعاية الصحية بدءًا من التأمين والفواتير والتصفية على طول الطريق عبر شبكات الأطباء والصيدليات – إنها قوة طاغية تبلغ قيمتها 500 مليار دولار، و 11 أكبر شركة على مستوى العالم من حيث الإيرادات. لكن في المملكة المتحدة، شركة UnitedHealth غير معروفة عمليًا، ويرجع ذلك في الغالب إلى أنها لم تكن لديها الكثير من الأعمال في جميع أنحاء البركة – حتى قبل ستة أشهر.
بعد عملية تنظيمية استمرت 16 شهرًا وانتهت في أكتوبر، حصلت شركة Optum UK التابعة لشركة UnitedHealth، عبر شركة تابعة تدعى Bordeaux UK Holdings II Limited، أخيرًا على ملكية EMIS Health في صفقة بقيمة 1.5 مليار دولار. توفر EMIS Health برنامجًا يربط الأطباء بالمرضى، مما يسمح لهم بحجز المواعيد وطلب الوصفات الطبية المتكررة والمزيد. إحدى هذه الخدمات هي وصول المريض، والتي المطالبات حوالي 17 مليون مستخدم مسجل قاموا بشكل جماعي بإجراء 1.4 مليون موعد مع طبيب الأسرة من خلال التطبيق العام الماضي وطلبوا شمال 19 مليون وصفة طبية متكررة.
لا يوجد ما يشير إلى أن بيانات المرضى في المملكة المتحدة معرضة للخطر هنا – فهذه شركات تابعة مختلفة، ذات إعدادات مختلفة، وتحت ولايات قضائية مختلفة. ولكن وفقًا لشهادته أمام مجلس الشيوخ يوم الأربعاء، ألقى ويتي باللوم في الاختراق على حقيقة أنه منذ استحواذ UnitedHealth على شركة Change Healthcare في عام 2022، لم تقم بتحديث أنظمتها – وكان داخل تلك الأنظمة خادمًا لا يحتوي على مصادقة متعددة العوامل ( وزارة الخارجية) ممكّنة.
نحن نعلم أن المتسللين سرقوا البيانات الصحية باستخدام “بيانات الاعتماد المخترقة” للوصول إلى بوابة Change Healthcare Citrix والتي كانت مخصصة للموظفين للوصول إلى الشبكات الداخلية عن بعد. وبشكل لا يصدق، قال ويتي إن الشركة لا تزال تعمل على فهم سبب عدم تمكين MFA، بعد شهرين من الهجوم. هذا لا يوحي بقدر كبير من الثقة لمتخصصي الرعاية الصحية في المملكة المتحدة والمرضى الذين يستخدمون EMIS Health تحت رعاية أصحابها الجدد.
هذه ليست حالة معزولة.
بشكل منفصل هذا الأسبوع، سُجن المتسلل ألكسانتيري كيفيماكي البالغ من العمر 25 عامًا لأكثر من ست سنوات بتهمة اختراق شركة تدعى فاستامو في عام 2020، وسرقة بيانات الرعاية الصحية الخاصة بآلاف المرضى الفنلنديين ومحاولة ابتزاز الشركة والمرضى المتضررين. .
وسواء أثبتت هجمات الفدية نجاحها أم لا، فهي مربحة في نهاية المطاف – حيث تفيد التقارير أن المدفوعات لمرتكبي الجرائم تضاعفت إلى أكثر من مليار دولار في عام 2023، وهو عام قياسي وفقًا للعديد من الحسابات. خلال شهادته، أكد ويتي التقارير السابقة التي تفيد بأن شركة UnitedHealth دفعت فدية قدرها 22 مليون دولار لقراصنةها.
البيانات الصحية كسلعة ثمينة
لكن أهم ما يمكن استخلاصه من كل هذا هو أن البيانات الشخصية – وخاصة البيانات الصحية – تمثل سلعة عالمية ضخمة، وينبغي حمايتها وفقا لذلك. ومع ذلك، فإننا نستمر في رؤية نظافة الأمن السيبراني السيئة بشكل لا يصدق، الأمر الذي ينبغي أن يكون مصدر قلق للجميع.
كما كتب موقع TechCrunch قبل شهرين، أصبح من الصعب بشكل متزايد الوصول حتى إلى أبسط أشكال الرعاية الصحية في هيئة الخدمات الصحية الوطنية التي تمولها الدولة دون الموافقة على منح الشركات الخاصة إمكانية الوصول إلى بياناتك – سواء كانت شركة متعددة الجنسيات بمليارات الدولارات، أو مشروعًا تجاريًا. -بدء التشغيل المدعوم.
قد تكون هناك أسباب تشغيلية وعملية مشروعة تجعل العمل مع القطاع الخاص منطقيًا، لكن الواقع هو أن مثل هذه الشراكات تزيد من مساحة الهجوم التي يمكن للجهات الفاعلة السيئة استهدافها – بغض النظر عن الالتزامات والسياسات والوعود التي قد تكون لدى الشركة.
تتطلب العديد من جراحات أطباء الأسرة في المملكة المتحدة الآن من المرضى استخدام برنامج فرز تابع لجهة خارجية لتحديد المواعيد، وما لم تقم بالاطلاع على التفاصيل الدقيقة لسياسات الخصوصية بمشط دقيق، غالبًا ما يكون من غير الواضح مع من يتعامل المريض بالفعل.
إن البحث في سياسة الخصوصية الخاصة بأحد مزودي خدمة الفرز الذي يدعى Patchs Health، والذي يقول إنه يدعم أكثر من 10 ملايين مريض عبر هيئة الخدمات الصحية الوطنية، يكشف أنه مجرد “معالج فرعي” للبيانات مسؤول عن تطوير البرنامج وصيانته. إن جهاز الكمبيوتر الرئيسي الذي تم التعاقد عليه لتقديم الخدمة هو في الواقع شركة خاصة مدعومة بالأسهم تسمى Advanced، والتي تعرضت لهجوم فدية قبل عامين، مما أجبر خدمات NHS على عدم الاتصال بالإنترنت. وعلى غرار هجوم UnitedHealth، تم استخدام بيانات الاعتماد الشرعية للوصول إلى خادم Citrix.
ليس عليك أن تغمض عينيك لترى أوجه التشابه بين ما حدث مع يونايتد هيلث، وما يمكن أن يحدث في المملكة المتحدة مع عدد لا يحصى من الشركات الخاصة التي أبرمت شراكات مع هيئة الخدمات الصحية الوطنية.
تعد فنلندا أيضًا بمثابة تذكير ثاقبة حيث تزحف هيئة الخدمات الصحية الوطنية بشكل أعمق إلى المجال الخاص. تم وصفها بأنها واحدة من أكبر الجرائم على الإطلاق في البلاد، وقد حدث خرق بيانات فاستامو بعد أن تم التعاقد من الباطن مع شركة علاج نفسي خاصة منتهية الصلاحية من قبل نظام الرعاية الصحية العامة في فنلندا. تسلل ألكسانتيري كيفيماكي إلى قاعدة بيانات فاستامو غير الآمنة، وبعد أن رفض فاستامو دفع فدية بيتكوين بقيمة 450 ألف يورو، حاول كيفيماكي ابتزاز آلاف المرضى، مهددًا بنشر مذكرات علاجية حميمة.
في التحقيق الذي أعقب ذلك، تبين أن فاستامو لديه إجراءات أمنية غير كافية على الإطلاق. تعرضت قاعدة بيانات المرضى الخاصة بها للإنترنت المفتوح، بما في ذلك البيانات الحساسة غير المشفرة مثل معلومات الاتصال وأرقام الضمان الاجتماعي وملاحظات المعالج. وأشار محقق شكاوى حماية البيانات الفنلندي إلى أن السبب الأكثر ترجيحًا للانتهاك هو “منفذ MySQL غير محمي في قاعدة البيانات”، حيث لم يكن حساب المستخدم الجذر محميًا بكلمة مرور. أتاح هذا الحساب الوصول غير المقيد إلى قاعدة البيانات من أي عنوان IP، ولم يكن لدى الخادم جدار حماية.
في المملكة المتحدة، كانت هناك مخاوف واضحة حول كيفية فتح هيئة الخدمات الصحية الوطنية الوصول إلى البيانات. جاءت الشراكة الأكثر شهرة في العام الماضي فقط، عندما حصلت شركة تحليل البيانات الضخمة Palantir المدعومة من بيتر ثيل على عقود ضخمة من قبل هيئة الخدمات الصحية الوطنية في إنجلترا لمساعدتها على الانتقال إلى منصة بيانات موحدة جديدة (FDP) – الأمر الذي أثار استياء الأطباء والبيانات. دعاة الخصوصية في جميع أنحاء البلاد.
يبدو أن كل ذلك لا مفر منه إلى حد ما بالرغم من ذلك. يصرخ المدافعون عن الخصوصية ويصرخون، لكن الشركات الكبرى التي تملك الكثير من الأموال تستمر في الحصول على مفاتيح البيانات الحساسة التي تخص ملايين الأشخاص. يتم تقديم الوعود، وتقديم الضمانات، وتنفيذ العمليات – ثم ينسى شخص ما إعداد MFA الأساسي، أو يترك مفتاح التشفير تحت ممسحة الأرجل، وينفجر كل شيء.
اشطف و كرر.