El ataque de ransomware que tiene engullido Gigante de seguros de salud de EE. UU. Grupo UnitedHealth y su filial tecnológica Cambiar la atención médica es una pesadilla sobre la privacidad de los datos para millones de pacientes estadounidenses, y el director ejecutivo Andrew Witty confirmó esta semana que puede afectar hasta un tercio del país.
Pero también debería servir como una llamada de atención para países de todo el mundo, incluido el Reino Unido, donde UnitedHealth ahora ejerce su actividad mediante la reciente adquisición de una empresa que gestiona datos pertenecientes a millones de pacientes del NHS (Servicio Nacional de Salud).
Como uno de los Las empresas de atención médica más grandes de EE. UU.UnitedHealth es bien conocida a nivel nacional y se cruza con todas las facetas de la industria de la salud, desde seguros y facturación hasta las redes de médicos y farmacias: es un gigante de $500 mil millones y la undécima compañía más grande a nivel mundial. por ingresos. Pero en el Reino Unido, UnitedHealth es prácticamente desconocida, sobre todo porque no ha tenido muchos negocios al otro lado del charco, hasta hace seis meses.
Después de Proceso regulatorio de 16 meses finalizando en octubre, Optum UK, filial de UnitedHealth, a través de una filial llamada Bordeaux UK Holdings II Limited, finalmente tomó posesión de EMIS Health en un acuerdo de $ 1.5 mil millones. EMIS Health proporciona software que conecta a los médicos con los pacientes, permitiéndoles reservar citas, solicitar recetas repetidas y más. Uno de estos servicios es Acceso del pacientecual reclamos unos 17 millones de usuarios registrados que en conjunto hicieron 1,4 millones de citas con el médico de familia a través de la aplicación el año pasado y ordenaron más de 19 millones de recetas repetidas.
No hay nada que sugiera que los datos de los pacientes del Reino Unido estén en riesgo aquí: se trata de subsidiarias diferentes, con configuraciones diferentes, bajo jurisdicciones diferentes. Pero según su testimonio ante el Senado el miércoles, Witty culpó del ataque al hecho de que desde UnitedHealth adquirió Change Healthcare en 2022no había actualizado sus sistemas, y dentro de esos sistemas había un servidor que no tenía autenticación multifactor (MFA) habilitado.
Sabemos que los piratas informáticos robaron datos de salud utilizando «credenciales comprometidas”para acceder a un portal de Citrix de Change Healthcare que estaba destinado a que los empleados accedieran a las redes internas de forma remota. Increíblemente, Witty dijo que la empresa todavía estaba trabajando para comprender por qué no se habilitó MFA, dos meses después del ataque. Esto no inspira mucha confianza a los profesionales de la salud y a los pacientes del Reino Unido que utilizan EMIS Health bajo los auspicios de sus nuevos propietarios.
Este no es un caso aislado.
Por otra parte, esta semana, el hacker Aleksanteri Kivimäki, de 25 años fue encarcelado durante más de seis años por infiltrarse en una empresa llamada Vastaamo en 2020, robar datos sanitarios pertenecientes a miles de pacientes finlandeses e intentar extorsionar y chantajear tanto a la empresa como a los pacientes afectados.
Ya sea que los ataques de rescate tengan éxito o no, son finalmente lucrativos – los pagos a los perpetradores supuestamente se duplicaron a más de mil millones de dólares en 2023, un año récord según muchos informes. Durante su testimonio, Witty confirmado Informes anteriores de que UnitedHealth realizó un pago de rescate de 22 millones de dólares a sus piratas informáticos.
Los datos de salud como bien valioso
Pero la conclusión más importante de todo esto es que los datos personales –particularmente los datos de salud– son un enorme bien global y deben protegerse en consecuencia. Sin embargo, seguimos viendo una higiene de la ciberseguridad increíblemente deficiente, lo que debería ser una preocupación para todos.
Como TechCrunch escribió hace un par de mesesse está volviendo cada vez más difícil acceder incluso a la forma más básica de atención médica en el NHS financiado por el estado sin aceptar dar acceso a sus datos a empresas privadas, ya sea una multinacional de miles de millones de dólares o una startup respaldada por capital de riesgo.
Puede haber razones operativas y prácticas legítimas por las que tiene sentido trabajar con el sector privado, pero la realidad es que dichas asociaciones aumentan la superficie de ataque a la que los malos actores pueden atacar, independientemente de las obligaciones, políticas y promesas que una empresa pueda tener.
Muchas consultas de médicos de familia en el Reino Unido ahora exigen que los pacientes utilicen software de clasificación de terceros para concertar citas y, a menos que se lea detenidamente la letra pequeña de las políticas de privacidad, a menudo no está claro con quién está haciendo realmente negocios el paciente.
Profundizando en el política de privacidad de un proveedor de servicios de clasificación llamado Parches Salud, que dice que brinda soporte a más de 10 millones de pacientes en todo el NHS, revela que es simplemente el «subprocesador» de datos responsable de desarrollar y mantener el software. El encargado principal del tratamiento contratado para prestar el servicio es en realidad respaldado por capital privado empresa llamada Avanzadoque era golpeado por un ataque de ransomware hace dos años, lo que obligó a los servicios del NHS a desconectarse. Similar al ataque a UnitedHealth, Se utilizaron credenciales legítimas para acceder a un servidor Citrix..
No es necesario entrecerrar los ojos para ver los paralelos entre lo que ha sucedido con UnitedHealth y lo que podría suceder en el Reino Unido con las innumerables empresas privadas que se asocian con el NHS.
Finlandia también sirve como un recordatorio profético a medida que el NHS se adentra cada vez más en el ámbito privado. Apodado uno de Los crímenes más grandes jamás cometidos en el país., la violación de datos de Vastaamo se produjo después de que el sistema de salud pública de Finlandia subcontratara una empresa privada de psicoterapia, ahora desaparecida. Aleksanteri Kivimäki se infiltró en una base de datos insegura de Vastaamo, y después de que Vastaamo se negara a pagar un rescate de 450.000 euros en Bitcoin, Kivimäki intentó chantajear a miles de pacientes, amenazando con publicar notas de terapia íntima.
En la investigación que siguió, se descubrió que Vastaamo contaba con procesos de seguridad totalmente inadecuados. Su base de datos de pacientes estuvo expuesta a la Internet abierta, incluidos datos confidenciales no cifrados, como información de contacto, números de seguro social y notas del terapeuta. El defensor del pueblo finlandés para la protección de datos observó que la causa más probable de la infracción fue un «puerto MySQL desprotegido en la base de datos», donde la cuenta del usuario raíz no estaba protegida con contraseña. Esta cuenta permitía el acceso desenfrenado a la base de datos desde cualquier dirección IP y el servidor no tenía firewall.
En el Reino Unido, ha habido preocupaciones muy expresadas sobre cómo el NHS está abriendo el acceso a los datos. La asociación más destacada se produjo apenas el año pasado, cuando Palantir, la empresa de análisis de big data respaldada por Peter Thiel, fue adjudicados contratos masivos por NHS England para ayudarlo en la transición a una nueva plataforma de datos federados (FDP) – mucho para el disgusto de los médicos y defensores de la privacidad de los datos a través del país.
Aunque todo parece algo inevitable. Los defensores de la privacidad gritan y gritan, pero las grandes empresas con mucho dinero siguen obteniendo las claves de datos confidenciales que pertenecen a millones de personas. Se hacen promesas, se dan garantías, se implementan procesos; luego, alguien se olvida de configurar la MFA básica o deja una clave de cifrado debajo de la puerta y todo explota.
Enjuague y repita.