Vụ vi phạm dữ liệu của UnitedHealth nên là cảnh tỉnh cho Vương quốc Anh và dịch vụ Y tế quốc gia (NHS)
Vụ tấn công ransomware đã hoành hành tại tập đoàn bảo hiểm sức khỏe lớn của Mỹ, UnitedHealth Group và công ty con về công nghệ của chúng là Change Healthcare là một ác mộng về quyền riêng tư dữ liệu của hàng triệu bệnh nhân ở Mỹ, với CEO Andrew Witty xác nhận tuần này rằng nó có thể ảnh hưởng đến một phần ba dân số nước này.
Nhưng nó cũng báo động cho các quốc gia trên khắp nơi, bao gồm Vương quốc Anh nơi UnitedHealth hiện đang kinh doanh thông qua việc mua lại gần đây của một công ty quản lý dữ liệu của hàng triệu bệnh nhân của dịch vụ Y tế quốc gia (NHS).
Là một trong những công ty y tế lớn nhất tại Mỹ, UnitedHealth nổi tiếng tại nội địa, giao cắt với mọi khía cạnh của ngành y tế từ bảo hiểm và thanh toán và kéo dài qua mạng lưới y bác sĩ và nhà thuốc - đó là một cường kích 500 tỷ đô la, và là công ty thứ 11 lớn nhất thế giới về doanh thu. Nhưng tại Vương quốc Anh, UnitedHealth thực sự chẳng ai biết, chủ yếu vì nó chưa có nhiều giao dịch bên kia đại dương - cho đến 6 tháng trước.
Sau quá trình điều chỉnh kéo dài 16 tháng kết thúc vào tháng 10, công ty con UnitedHealth Optum UK, thông qua một liên kết gọi là Bordeaux UK Holdings II Limited, cuối cùng đã sở hữu EMIS Health trong một thỏa thuận trị giá 1,5 tỷ đô la. EMIS Health cung cấp phần mềm kết nối bác sĩ với bệnh nhân, cho phép họ đặt cuộc hẹn, đặt lại đơn thuốc và nhiều hơn nữa. Một trong những dịch vụ này là Patient Access, với khoảng 17 triệu người dùng đăng ký mà cùng nhau đã đặt ra 1,4 triệu cuộc hẹn với bác sĩ gia đình thông qua ứng dụng năm ngoái và đặt hơn 19 triệu đơn thuốc tái đặt.
Không có gì cho thấy dữ liệu bệnh nhân ở Anh đang ở nguy cơ ở đây - đó là các công ty con khác nhau, với cài đặt khác nhau, dưới các quyền pháp lý khác nhau. Nhưng theo lời làm chứng tại thượng viện của mình vào thứ Tư, Witty đổ lỗi cho vụ hack là vì kể từ khi UnitedHealth mua lại Change Healthcare vào năm 2022, họ chưa cập nhật hệ thống của mình - và trong những hệ thống đó là một máy chủ không bật xác thực 2 yếu tố (MFA).
Chúng ta biết rằng tin tặc đã đánh cắp dữ liệu y tế bằng cách sử dụng “chứng chỉ bị xâm phạm” để truy cập vào cổng Citrix của Change Healthcare, dự định để nhân viên truy cập vào mạng nội bộ từ xa. Đáng kinh ngạc, Witty cho biết công ty vẫn đang cố gắng hiểu tại sao MFA không được kích hoạt, hai tháng sau vụ tấn công. Điều này không tạo ra một sự tự tin lớn đối với các bác sĩ và bệnh nhân ở Anh sử dụng EMIS Health dưới sự quản lý của chủ sở hữu mới của họ.
Đây không phải là một trường hợp cô lập.
Lần riêng biệt trong tuần này, tin tặc 25 tuổi Aleksanteri Kivimäki đã bị kết án hơn sáu năm vì xâm nhập vào một công ty mang tên Vastaamo vào năm 2020, đánh cắp dữ liệu y tế của hàng ngàn bệnh nhân Phần Lan và cố gắng tống tiền và tống tiền từ cả công ty và bệnh nhân bị ảnh hưởng.
Dù các cuộc tấn công ransomware có thành công hay không, chúng đều rất sinh lời - các khoản thanh toán cho các thủ phạm được báo cáo đã gấp đôi lên hơn 1 tỷ đô la vào năm 2023, một năm phá kỷ lục theo nhiều tài liệu. Trong lời làm chứng của mình, Witty đã xác nhận rằng UnitedHealth đã thực hiện thanh toán chuộc mạng 22 triệu đô la cho các hacker của mình.
Tại sao các băng tội phạm ransomware lại kiếm được nhiều tiền như vậy?
Dữ liệu y tế như một hàng hoá quý giá
Nhưng điều quan trọng nhất từ những điều này là dữ liệu cá nhân - đặc biệt là dữ liệu y tế - là một hàng hoá quý giá toàn cầu, và nó nên được bảo vệ tương xứng. Tuy nhiên, chúng ta vẫn thấy cực kỳ kém cỏi về vệ sinh an ninh mạng, điều đó nên là một mối quan tâm cho mọi người.
Như TechCrunch đã viết cách đây vài tháng trước đây, ngày càng khó khăn để truy cập ngay cả các dịch vụ y tế cơ bản nhất trên dịch vụ NHS do phụ thuộc cho các công ty tư nhân truy cập vào dữ liệu của bạn - cho dù đó là một công ty đa quốc gia có giá tỷ đô, hoặc một công ty khởi nghiệp được đầu tư.
Có thể có lý do hoạt động và thực tế hợp lý tại sao làm việc với khu vực tư nhân là đúng, nhưng thực tế là những đối tác này tăng khả năng tấn công mà những người xấu có thể nhắm vào - bất kể các cam kết, chính sách và lời hứa mà một công ty có thể có.
Muốn gặp bác sĩ NHS? Chuẩn bị để sharing dữ liệu của bạn trước.
Nhiều phòng mạch gia đình ở Anh bây giờ yêu cầu bệnh nhân sử dụng phần mềm lập lịch triển khai của bên thứ ba để đặt cuộc hẹn, và trừ khi bạn đọc kỹ chi tiết chính sách quyền riêng tư một cách cẩn thận, thì thường không rõ ràng là bệnh nhân thực sự đang kinh doanh với ai.
Đào sâu vào chính sách quyền riêng tư của một nhà cung cấp dịch vụ triệu đình gọi là Patchs Health, nó cho biết rằng họ hỗ trợ hơn 10 triệu bệnh nhân trên toàn NHS, hé lộ rằng họ chỉ là “dữ liệu phụ trợ” chịu trách nhiệm với việc phát triển và duy trì phần mềm. Nhà cung cấp dữ liệu chính ký hợp đồng để cung cấp dịch vụ thực sự là một công ty có vốn niêm yết tư nhân gọi là Advanced, đã bị tấn công ransomware hai năm trước, buộc các dịch vụ NHS ngoại tuyến. Tương tự như cuộc tấn công của UnitedHealth, các chứng chỉ hợp lệ được sử dụng để truy cập vào một máy chủ Citrix.
Bạn không cần nhìn kỹ mới thấy sự tương đồng giữa những gì đã xảy ra với UnitedHealth và những gì có thể xảy ra ở Anh với vô số công ty tư nhân ký kết liên minh với NHS.
Phần Lan cũng dùng là một lời nhắc mà NHS ngày càng trở nên sâu đặc về phần tư nhân. Được đặt tên là một trong những vụ phạm tội lớn nhất của đất nước, vụ vi phạm dữ liệu Vastaamo xảy ra sau khi một công ty tư vấn tâm lý tư nhân không còn tồn tại nữa được trao quyền con của hệ thống y tế công cộng của Phần Lan. Aleksanteri Kivimäki đã xâm nhập vào một cơ sở dữ liệu Vastaamo không an toàn, và sau khi Vastaamo từ chối thanh toán số Bitcoin 450.000 Euro được báo cáo, Kivimäki đã cố tống tiền hàng ngàn bệnh nhân, đe dọa phải công bố ghi chú tư vấn tâm lý riêng tư.
Trong cuộc điều tra theo sau, Vastaamo được phát hiện không có quy trình bảo mật đúng đắn. Cơ sở dữ liệu bệnh nhân của họ đã bị tiết lộ ra internet công cộng, bao gồm dữ liệu nhạy cảm không mã hóa như thông tin liên hệ, số an sinh xã hội và ghi chú của nhà tâm thần. Người bảo vệ dữ liệu của Phần Lan lưu ý rằng nguyên nhân có lẽ nhất cho sự vi phạm này là một “cổng MySQL không được bảo vệ trong cơ sở dữ liệu,” nơi tài khoản người dùng root không được bảo vệ mật khẩu. Tài khoản này cho phép truy cập cơ sở dữ liệu bất kỳ từ bất kỳ địa chỉ IP nào, và máy chủ không có firewall.
Ở Anh, đã có những lo ngại được công khai về cách NHS mở cửa truy cập vào dữ liệu. Mối quan hệ nổi bật nhất đến vào năm ngoái, khi công ty phân tích dữ liệu lớn Palantir do Peter Thiel hậu duệ đạt được các hợp đồng lớn từ phía NHS England để giúp họ chuyển đổi sang một Nền tảng Dữ liệu liên bang mới (FDP) - điều này khiến các bác sĩ và các nhà bảo vệ quyền riêng tư dữ liệu trên khắp nước Anh bực mình.
Mọi thứ dường như không tránh khỏi được. Những nhà bảo vệ quyền riêng tư larờ và la ào, nhưng các công ty lớn có nhiều tiền vẫn cứ nhận được quyền truy cập vào dữ liệu nhạy cảm của hàng triệu người. Hứa hẹn được thực hiện, các cam kết được đưa ra, các quy trình được triển khai - sau đó ai đó quên cài đặt MFA cơ bản, hoặc họ để một khóa mã hóa dưới chiếc thảm, và mọi thứ bùng lên.
Làm lại.
