يقول الرئيس التنفيذي إن خرق بيانات UnitedHealth ناتج عن عدم وجود مصادقة متعددة العوامل

اخترق قراصنة نظام الكمبيوتر التابع لشركة UnitedHealth Group وأطلقوا برامج فدية بعد سرقة كلمة مرور شخص ما، حسبما أدلى الرئيس التنفيذي أندرو ويتي بشهادته يوم الأربعاء في الكابيتول هيل. دخل مجرمو الإنترنت عبر بوابة لم يتم تمكين المصادقة متعددة العوامل (MFA).

خلال جلسة استماع بالكونجرس استمرت لساعات، أخبر ويتي المشرعين أن الشركة لم تحدد بعد عدد المرضى ومتخصصي الرعاية الصحية الذين تأثروا بالهجوم الإلكتروني على منظمة Change Healthcare في فبراير. ركزت جلسة الاستماع على كيفية تمكن المتسللين من الوصول إلى Change Healthcare، وهو قسم منفصل لشركة UnitedHealth استحوذت عليه الشركة في أكتوبر 2022. وسأل أعضاء لجنة الطاقة والتجارة بمجلس النواب ويتي عن سبب عدم امتلاك أكبر شركة تأمين للرعاية الصحية في البلاد الخدمات الأساسية. ضمانات الأمن السيبراني المعمول بها قبل الهجوم.

وقال ويتي: “كانت شركة Change Healthcare شركة أقدم نسبيًا ذات تقنيات أقدم، والتي كنا نعمل على ترقيتها منذ الاستحواذ”. “ولكن لسبب ما، والذي نواصل التحقيق فيه، لم يكن هذا الخادم بالتحديد يحتوي على MFA.”

تضيف المصادقة متعددة العوامل طبقة ثانية من الأمان إلى الحسابات المحمية بكلمة مرور من خلال مطالبة المستخدمين بإدخال رمز تم إنشاؤه تلقائيًا يتم إرساله إلى هواتفهم أو بريدهم الإلكتروني. من الميزات الشائعة في التطبيقات، يتم استخدام الحماية لحماية حسابات العملاء ضد المتسللين الذين يحصلون على كلمات المرور أو يخمنونها. قال ويتي إن جميع عمليات تسجيل الدخول الخاصة بـ Change Healthcare تم تمكين المصادقة متعددة العوامل لها الآن.

الهجوم السيبراني جاء من روسيا عصابة برامج الفدية ALPHV أو BlackCat. المجموعة نفسها مسؤوليتها بسبب الهجوم، زاعمة أنه سرق أكثر من ستة تيرابايت من البيانات، بما في ذلك السجلات الطبية “الحساسة”. وأدى الهجوم إلى تعطيل عملية الدفع ومعالجة المطالبات في جميع أنحاء البلاد، مما أدى إلى الضغط على مكاتب الأطباء وأنظمة الرعاية الصحية من خلال التدخل في قدرتهم على تقديم المطالبات والحصول على أموال.

أكد ويتي يوم الأربعاء أن شركة UnitedHealth دفعت فدية بقيمة 22 مليون دولار على شكل بيتكوين إلى BlackCat، وهو القرار الذي اتخذه من تلقاء نفسه، وفقًا لشهادة معدة قبل الجلسة. وعلى الرغم من دفع الفدية، قال المشرعون يوم الأربعاء إن بعض السجلات الحساسة للمرضى ما زالوا ينشرونها من قبل المتسللين على شبكة الإنترنت المظلمة.

وقال ويتي إن دفع الفدية “كان من أصعب القرارات التي اضطررت إلى اتخاذها على الإطلاق، ولا أتمنى ذلك لأي شخص”.

حجم الهجوم — تقوم شركة Change Healthcare بمعالجة 15 مليار معاملة سنويًا، حسب إلى جمعية المستشفيات الأمريكية – يعني أنه حتى المرضى الذين لم يكونوا من عملاء UnitedHealth من المحتمل أن يتأثروا. وقالت الشركة في وقت سابق من هذا الشهر إن المعلومات الشخصية التي يمكن أن تغطي “جزءًا كبيرًا من الأشخاص في أمريكا” ربما تم الاستيلاء عليها في الهجوم.

لقد تم الاختراق بالفعل كلف UnitedHealth Group ما يقرب من 900 مليون دولاروقال مسؤولو الشركة في تقرير عن أرباح الربع الأول الأسبوع الماضي، لا يشمل الفدية المدفوعة.

هجمات برامج الفدية، والتي تنطوي على تعطيل أنظمة الكمبيوتر الهدف، أصبحت شائعة بشكل متزايد في صناعة الرعاية الصحية. العدد السنوي لهجمات برامج الفدية ضد المستشفيات ومقدمي الرعاية الصحية الآخرين تضاعف من عام 2016 إلى عام 2021، وفقًا لدراسة أجريت عام 2022 ونشرت في JAMA Health Forum.