Der Datenschutzverstoß bei UnitedHealth sollte ein Weckruf für Großbritannien und den NHS sein

Der Ransomware-Angriff das hat den US-amerikanischen Krankenversicherungsriesen erfasst UnitedHealth-Gruppe und seine Technologietochter Ändern Sie das Gesundheitswesen ist ein Datenschutz-Alptraum für Millionen von US-Patienten. CEO Andrew Witty bestätigte diese Woche, dass dies Auswirkungen auf bis zu ein Drittel des Landes haben könnte.

Aber es sollte auch als Weckruf für Länder auf der ganzen Welt dienen, einschließlich des Vereinigten Königreichs, wo UnitedHealth nun durch die kürzliche Übernahme eines Unternehmens, das die Daten von Millionen von NHS-Patienten (National Health Service) verwaltet, seine Tätigkeit ausübt.

Als einer der größten Gesundheitsunternehmen in den USAUnitedHealth ist im Inland gut bekannt und deckt alle Facetten der Gesundheitsbranche ab, von Versicherung und Abrechnung bis hin zu Ärzte- und Apothekennetzwerken – es ist ein 500-Milliarden-Dollar-Gigant und das elftgrößte Unternehmen weltweit nach Umsatz. Aber im Vereinigten Königreich ist UnitedHealth praktisch unbekannt, vor allem weil es auf der anderen Seite des großen Teichs kaum Geschäfte gemacht hat – bis vor sechs Monaten.

Nach einer 16-monatiger Regulierungsprozess Im Oktober endete schließlich die UnitedHealth-Tochter Optum UK über eine Tochtergesellschaft namens Bordeaux UK Holdings II Limited übernahm EMIS Health im Rahmen eines 1,5-Milliarden-Dollar-Deals. EMIS Health bietet Software, die Ärzte mit Patienten verbindet und es ihnen ermöglicht, Termine zu buchen, Wiederholungsrezepte zu bestellen und vieles mehr. Einer dieser Dienste ist Patientenzugangwelche Ansprüche rund 17 Millionen registrierte Nutzer, die im vergangenen Jahr insgesamt 1,4 Millionen Hausarzttermine über die App vereinbarten und über 19 Millionen Wiederholungsrezepte bestellten.

Es gibt keine Anhaltspunkte dafür, dass Patientendaten im Vereinigten Königreich hier gefährdet sind – es handelt sich um verschiedene Tochtergesellschaften mit unterschiedlichen Strukturen und unterschiedlichen Gerichtsbarkeiten. Laut seiner Aussage vor dem Senat am Mittwoch machte Witty jedoch die Tatsache verantwortlich, dass seit UnitedHealth hat Change Healthcare im Jahr 2022 übernommenes hatte seine Systeme nicht aktualisiert – und in diesen Systemen befand sich ein Server, auf dem die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war.

Wir wissen, dass Hacker Gesundheitsdaten mit „kompromittierten Zugangsdaten“ gestohlen haben, um auf ein Citrix-Portal von Change Healthcare zuzugreifen, das Mitarbeitern den Fernzugriff auf interne Netzwerke ermöglichen sollte. Unglaublicherweise sagte Witty, dass das Unternehmen zwei Monate nach dem Angriff immer noch daran arbeitete, herauszufinden, warum MFA nicht aktiviert war. Dies erweckt bei britischen Gesundheitsfachkräften und Patienten, die EMIS Health unter der Schirmherrschaft seiner neuen Eigentümer nutzen, kein großes Vertrauen.

Das ist kein Einzelfall.

Separat diese Woche der 25-jährige Hacker Aleksanteri Kivimäki wurde zu mehr als sechs Jahren Haft verurteilt wegen der Infiltration eines Unternehmens namens Vastaamo im Jahr 2020, des Diebstahls von Gesundheitsdaten Tausender finnischer Patienten und des Versuchs, sowohl das Unternehmen als auch betroffene Patienten zu erpressen und zu erpressen.

Unabhängig davon, ob sich Lösegeldangriffe als erfolgreich erweisen oder nicht, sind sie letztendlich lukrativ – Berichten zufolge haben sich die Zahlungen an die Täter im Jahr 2023 auf mehr als 1 Milliarde US-Dollar verdoppelt, was in vielerlei Hinsicht ein Rekordjahr ist. Während seiner Aussage sagte Witty bestätigt Frühere Berichte besagten, dass UnitedHealth seinen Hackern eine Lösegeldzahlung in Höhe von 22 Millionen US-Dollar geleistet hat.

Gesundheitsdaten als wertvolles Gut

Die größte Erkenntnis aus all dem ist jedoch, dass personenbezogene Daten – insbesondere Gesundheitsdaten – ein riesiges globales Gut sind und entsprechend geschützt werden sollten. Wir sehen jedoch immer wieder eine unglaublich schlechte Cybersicherheitshygiene, die jedem Anlass zur Sorge geben sollte.

Wie Tech vor ein paar Monaten schrieb, wird es immer schwieriger, selbst auf die grundlegendste Form der Gesundheitsversorgung des staatlich finanzierten NHS zuzugreifen, ohne privaten Unternehmen Zugriff auf Ihre Daten zu gewähren – egal, ob es sich dabei um einen milliardenschweren multinationalen Konzern oder ein Unternehmen handelt -unterstütztes Startup.

Es mag legitime operative und praktische Gründe geben, warum eine Zusammenarbeit mit dem Privatsektor sinnvoll ist, aber die Realität ist, dass solche Partnerschaften die Angriffsfläche vergrößern, auf die böswillige Akteure abzielen können – unabhängig von den Verpflichtungen, Richtlinien und Versprechen, die ein Unternehmen möglicherweise hat.

Viele Hausarztpraxen in Großbritannien verlangen mittlerweile von Patienten, dass sie für die Terminvereinbarung Triaging-Software von Drittanbietern verwenden, und wenn Sie das Kleingedruckte der Datenschutzrichtlinien nicht genau durchlesen, ist oft nicht klar, mit wem der Patient tatsächlich Geschäfte macht.

Eintauchen in die Datenschutzrichtlinie eines angerufenen Triaging-Dienstleisters Patches Gesundheit, das angibt, über 10 Millionen Patienten im gesamten NHS zu unterstützen, zeigt, dass es lediglich der Daten-„Unterprozessor“ ist, der für die Entwicklung und Wartung der Software verantwortlich ist. Der mit der Erbringung der Dienstleistung beauftragte Hauptdatenverarbeiter ist eigentlich Private-Equity-finanziert Firma angerufen Fortschrittlichwas war von einem Ransomware-Angriff betroffen vor zwei Jahren, wodurch NHS-Dienste offline geschaltet wurden. Ähnlich wie beim UnitedHealth-Angriff, Für den Zugriff auf einen Citrix-Server wurden legitime Anmeldeinformationen verwendet.

Man muss nicht schielen, um die Parallelen zwischen dem, was mit UnitedHealth passiert ist, und dem, was im Vereinigten Königreich passieren könnte, wo die unzähligen privaten Unternehmen Partnerschaften mit dem NHS eingehen, zu erkennen.

Finnland dient auch als vorausschauende Mahnung, da der NHS immer tiefer in den privaten Bereich vordringt. Einer von ihnen genannt die größten Verbrechen des Landes aller ZeitenDer Datenverstoß gegen Vastaamo kam es, nachdem ein inzwischen aufgelöstes privates Psychotherapieunternehmen vom finnischen öffentlichen Gesundheitssystem einen Unterauftrag erhalten hatte. Aleksanteri Kivimäki infiltrierte eine unsichere Vastaamo-Datenbank, und nachdem Vastaamo sich geweigert hatte, ein gemeldetes Bitcoin-Lösegeld in Höhe von 450.000 Euro zu zahlen, versuchte Kivimäki, Tausende von Patienten zu erpressen, indem er mit der Veröffentlichung vertraulicher Therapienotizen drohte.

Bei der anschließenden Untersuchung wurde festgestellt, dass Vastaamo über völlig unzureichende Sicherheitsprozesse verfügte. Seine Patientendatenbank wurde dem offenen Internet zugänglich gemacht, einschließlich unverschlüsselter sensibler Daten wie Kontaktinformationen, Sozialversicherungsnummern und Notizen von Therapeuten. Der finnische Ombudsmann für Datenschutz habe das bemerkt Die wahrscheinlichste Ursache für den Verstoß war ein „ungeschützter MySQL-Port in der Datenbank“, bei dem das Root-Benutzerkonto nicht passwortgeschützt war. Dieses Konto ermöglichte uneingeschränkten Datenbankzugriff von jeder IP-Adresse aus, und auf dem Server war keine Firewall vorhanden.

Im Vereinigten Königreich wurden deutliche Bedenken darüber geäußert, wie der NHS den Zugang zu Daten öffnet. Die bekannteste Partnerschaft kam erst letztes Jahr zustande, als das von Peter Thiel unterstützte Big-Data-Analyseunternehmen Palantir gegründet wurde große Aufträge vergeben von NHS England, um den Übergang zu einer neuen Federated Data Platform zu unterstützen (FDP) – viel zum Verdruss von Ärzten und Datenschützern quer durchs Land.

Es scheint jedoch alles etwas unvermeidlich zu sein. Datenschützer schreien und schreien, aber große Unternehmen mit viel Geld gelangen immer wieder an die Schlüssel zu sensiblen Daten von Millionen von Menschen. Es werden Versprechungen gemacht, Zusicherungen gegeben, Prozesse implementiert – dann vergisst jemand, die grundlegende MFA einzurichten, oder er hinterlässt einen Verschlüsselungsschlüssel unter der Fußmatte und alles geht in die Luft.

Spülen und wiederholen.



tch-1-tech