News

UnitedHealth-Datenverletzung sollte ein Weckruf für das Vereinigte Königreich und die NHS sein

Mashi. Nordeuropa Send an email Tuesday, May 28 2024

Der von einem Erpressungstrojanerangriff betroffene US-amerikanische Krankenversicherungsriese UnitedHealth Group und sein Technologie-Tochterunternehmen Change Healthcare sind ein Datenschutz-Albtraum für Millionen von US-Patienten, wie CEO Andrew Witty diese Woche bestätigt hat, dass dies sich auf bis zu ein Drittel des Landes auswirken könnte.

Aber es sollte auch ein Weckruf für Länder auf der ganzen Welt sein, einschließlich des Vereinigten Königreichs, wo UnitedHealth jetzt durch die kürzlich erfolgte Übernahme eines Unternehmens, das Daten von Millionen von NHS (National Health Service) Patienten verwaltet, tätig ist.

Als eines der größten Gesundheitsunternehmen in den USA ist UnitedHealth im Inland bekannt und berührt jeden Aspekt der Gesundheitsbranche von der Versicherung und Abrechnung bis hin zu den Arzt- und Apothekernetzwerken - es ist ein 500-Milliarden-Dollar-Schwergewicht und das weltweit 11. größte Unternehmen nach Umsatz. Aber im Vereinigten Königreich ist UnitedHealth praktisch unbekannt, hauptsächlich weil es nicht viel Geschäft jenseits des Teiches gemacht hat - bis vor sechs Monaten.

Nach einem 16-monatigen regulatorischen Prozess, der im Oktober endete, erwarb die UnitedHealth-Tochter Optum UK über eine Tochtergesellschaft namens Bordeaux UK Holdings II Limited schließlich EMIS Health in einem 1,5 Milliarden Dollar-Deal. EMIS Health bietet Software an, die Ärzte mit Patienten verbindet und es ihnen ermöglicht, Termine zu vereinbaren, wiederholte Rezepte zu bestellen und mehr. Einer dieser Dienste ist Patient Access, der angibt, dass sich 17 Millionen registrierte Benutzer angemeldet haben, die letztes Jahr zusammen 1,4 Millionen Termine beim Hausarzt über die App vereinbart und über 19 Millionen wiederholte Rezepte bestellt haben.

Es gibt nichts, was darauf hindeutet, dass die Daten der britischen Patienten hier gefährdet sind - dies sind verschiedene Tochtergesellschaften, mit unterschiedlichen Strukturen, unter verschiedenen Gerichtsbarkeiten. Aber gemäß seiner Senatsaussage am Mittwoch machte Witty den Hack darauf zurück, dass seit UnitedHealth Change Healthcare im Jahr 2022 erworben hatte, seine Systeme nicht aktualisiert hatte - und innerhalb dieser Systeme befand sich ein Server, auf dem keine Multi-Faktor-Authentifizierung (MFA) aktiviert war.

Wir wissen, dass Hacker Gesundheitsdaten gestohlen haben, indem sie „kompromittierte Zugangsdaten“ verwendet haben, um auf ein Change Healthcare Citrix-Portal zuzugreifen, das eigentlich für Mitarbeiter gedacht war, die aus der Ferne auf interne Netzwerke zugreifen. Unglaublicherweise sagte Witty, dass das Unternehmen immer noch daran arbeitete, zu verstehen, warum MFA, zwei Monate nach dem Angriff, nicht aktiviert war. Dies inspiriert nicht gerade viel Vertrauen für britische Gesundheitsfachkräfte und Patienten, die EMIS Health unter der Regie seiner neuen Eigentümer nutzen.

Dies ist kein Einzelfall. Separat wurde in dieser Woche der 25-jährige Hacker Aleksanteri Kivimäki für mehr als sechs Jahre ins Gefängnis geworfen, nachdem er 2020 in ein Unternehmen namens Vastaamo eingedrungen war, Gesundheitsdaten von tausenden finnischen Patienten gestohlen und versucht hatte, sowohl das Unternehmen als auch die betroffenen Patienten zu erpressen und zu erpressen.

Ob Erpressungsangriffe erfolgreich sind oder nicht, sie sind letztendlich lukrativ - Zahlungen an die Täter haben sich Berichten zufolge im Jahr 2023 verdoppelt und betrugen über 1 Milliarde Dollar, ein Rekordjahr in vielerlei Hinsicht. Witty bestätigte während seiner Aussage, dass UnitedHealth eine 22-Millionen-Dollar-Lösegeldzahlung an seine Hacker geleistet hat.

Warum verdienen Erpressungsbanden so viel Geld?

Gesundheitsdaten als wertvolles Gut

Der größte Erkenntnisgewinn aus all dem ist jedoch, dass persönliche Daten - insbesondere Gesundheitsdaten - ein enormes globales Gut sind und entsprechend geschützt werden sollten. Wir sehen jedoch immer wieder eine unglaublich schlechte Cybersicherheits-Hygiene, was für jeden Anlass zur Sorge sein sollte.

Wie TechCrunch vor einigen Monaten schrieb, wird es zunehmend schwieriger, sogar die grundlegendste Form der Gesundheitsversorgung im staatlichen NHS in Anspruch zu nehmen, ohne zuzustimmen, privaten Unternehmen Zugriff auf Ihre Daten zu gewähren - sei es ein milliardenschweres multinationaler Konzern oder ein Risikokapital-finanziertes Startup.

Es mag legitime betriebliche und praktische Gründe geben, warum die Zusammenarbeit mit dem privaten Sektor Sinn macht, aber die Realität ist, dass solche Partnerschaften die Angriffsfläche erhöhen, die böswillige Akteure anvisieren können - unabhängig davon, welche Verpflichtungen, Richtlinien und Versprechen ein Unternehmen auch haben mag.

Möchten Sie einen NHS-Arzt sehen? Bereiten Sie sich darauf vor, zuerst Ihre Daten herauszurücken.

Viele britische Hausarztpraxen erfordern heute, dass Patienten Software von Drittanbietern verwenden, um Termine zu vereinbaren, und es ist oft nicht klar, mit wem der Patient tatsächlich Geschäfte macht, es sei denn, er liest die Datenschutzrichtlinien genau durch.

Ein Blick auf die Datenschutzrichtlinie eines Triagierungsdienstleisters namens Patchs Health, der über 10 Millionen Patienten im NHS unterstützt, zeigt, dass er nur der Daten „Unterauftragnehmer“ ist, der für die Entwicklung und Wartung der Software verantwortlich ist. Der Hauptdatenverarbeiter, der vertraglich verpflichtet ist, den Dienst bereitzustellen, ist eigentlich ein Private-Equity-unterstütztes Unternehmen namens Advanced, das vor zwei Jahren von einem Erpressungsangriff getroffen wurde und NHS-Dienste offline zwang. Ähnlich wie beim Angriff auf UnitedHealth wurden legitime Zugangsdaten verwendet, um auf einen Citrix-Server zuzugreifen.

Man muss nicht genau hinsehen, um die Parallelen zwischen dem, was mit UnitedHealth passiert ist, und dem, was im Vereinigten Königreich mit den zahlreichen privaten Unternehmen, die Partnerschaften mit dem NHS schließen, passieren könnte, zu erkennen.

Finnland dient auch als mahnender Hinweis, da der NHS tiefer in den privaten Bereich vordringt. Als einer der größten Verbrechen des Landes wurde der Vastaamo-Datenbruch offenbart, nachdem eine mittlerweile nicht mehr existierende private Psychotherapie-Firma vom öffentlichen Gesundheitssystem Finnlands undervertragen wurde. Aleksanteri Kivimäki drang in eine unsichere Vastaamo-Datenbank ein, und nachdem Vastaamo sich geweigert hatte, ein gemeldetes 450.000 Euro Bitcoin-Lösegeld zu zahlen, versuchte Kivimäki, Tausende von Patienten zu erpressen, indem er damit drohte, intime Therapie-Notizen zu veröffentlichen.

In der anschließenden Untersuchung stellte sich heraus, dass Vastaamo völlig unzureichende Sicherheitsprozesse hatte. Die Patientendatenbank war offen im Internet zugänglich, einschließlich unverschlüsselter sensibler Daten wie Kontaktinformationen, Sozialversicherungsnummern und Therapeuten-Notizen. Der finnische Datenschutzbeauftragte stellte fest, dass die wahrscheinlichste Ursache für den Bruch ein „unprotected MySQL port in the database“ war, bei dem das Root-Benutzerkonto nicht passwortgeschützt war. Dieses Konto ermöglichte uneingeschränkten Datenbankzugriff von jeder IP-Adresse, und der Server hatte keine Firewall.

Im Vereinigten Königreich gab es gut dokumentierte Bedenken hinsichtlich des Zugangs zu Daten im NHS. Die prominenteste Partnerschaft kam erst im letzten Jahr zustande, als das von Peter Thiel unterstützte Big-Data-Analyseunternehmen Palantir von NHS England massive Verträge erhielt, um ihm bei der Umstellung auf eine neue föderierte Datenplattform (FDP) zu helfen - sehr zum Ärger von Ärzten und Datenschutz-Befürwortern im ganzen Land.

Es scheint jedoch alles irgendwie unvermeidlich zu sein. Datenschutz-Befürworter schreien und schreien, aber große Unternehmen mit viel Geld erhalten immer wieder Zugang zu sensiblen Daten von Millionen von Menschen. Versprechungen werden gemacht, Zusicherungen gegeben, Prozesse implementiert - dann vergisst jemand, grundlegende MFA einzurichten, oder sie lassen einen Verschlüsselungsschlüssel unter der Fußmatte liegen, und alles fliegt in die Luft.

Waschen, spülen und wiederholen.

Photo of Mashi. Nordeuropa

Mashi. Nordeuropa

Related Articles

Equities-Plattform Midas sammelt 45 Millionen US-Dollar in der Serie A ein, während FinTech in der Türkei seinen Glanz behält

Equities-Plattform Midas sammelt 45 Millionen US-Dollar in der Serie A ein, während FinTech in der Türkei seinen Glanz behält

4 Mon ago
Wie PayJoy durch die Nutzung von Smartphones als Sicherheiten für Kredite einen Umsatz von 300 Millionen US-Dollar aufgebaut hat

Wie PayJoy durch die Nutzung von Smartphones als Sicherheiten für Kredite einen Umsatz von 300 Millionen US-Dollar aufgebaut hat

4 Mon ago
CleanFiber möchte Millionen Tonnen Karton zu Isoliermaterial umwandeln

CleanFiber möchte Millionen Tonnen Karton zu Isoliermaterial umwandeln

5 Mon ago
Mit der Easel bauen ehemalige Snap-Forscher dank KI die nächste Bitmoji-Generation auf

Mit der Easel bauen ehemalige Snap-Forscher dank KI die nächste Bitmoji-Generation auf

5 Mon ago
Kudos erhält 10 Mio. USD für eine KI-Smart Wallet, die die beste Kreditkarte für Einkäufe auswählt

Kudos erhält 10 Mio. USD für eine KI-Smart Wallet, die die beste Kreditkarte für Einkäufe auswählt

1 Mon ago
Chilenisches Instant-Payments-API-Startup Fintoc sammelt 7 Millionen US-Dollar ein, um Mexiko zum Hauptmarkt zu machen

Chilenisches Instant-Payments-API-Startup Fintoc sammelt 7 Millionen US-Dollar ein, um Mexiko zum Hauptmarkt zu machen

5 Mon ago
Copyright © 2011-2024, All Rights Reserved. sitemap
Back to top button Back to top button