Предупредив, что значительная часть данных американцев была скомпрометирована в результате февральской атаки с использованием вируса-вымогателя на Change Healthcare, Эндрю Уитти, генеральный директор UnitedHealth Group, сообщил законодателям в среду, что среди тех, кто, скорее всего, пострадал, есть действующие и бывшие военнослужащие США.
В ходе периодически проходящих слушаний в Финансовом комитете Сената председатель Рон Уайден, демократ из Орегона, настойчиво пытался выяснить у Уитти, определило ли руководство UnitedHealth, что хакеры Change Healthcare получили доступ к данным федеральных служащих, ссылаясь на проблемы национальной безопасности, возникшие в связи с утечкой данных Управления кадровой политики в 2015 году , в результате которой были раскрыты личные данные более 20 миллионов государственных служащих США.
«Мы действительно считаем, что будут военнослужащие и… ветераны», чьи данные были украдены, сказал Уитти, добавив, что он сделает «главным приоритетом» выполнение требования Уайдена о предоставлении письменного отчета о числе пострадавших военнослужащих и «наилучшей оценки UnitedHealth того, кем они являются».
Уитти заявил, что UnitedHealth до сих пор не уведомила лиц, чьи данные были украдены, превысив 60-дневный срок, установленный Законом о переносимости и подотчётности медицинского страхования. Генеральный директор заявил, что компания работает с регулирующими органами США над тем, «как лучше всего это сделать», но столкнулась с задержками в доступе к исходному набору данных Change.
Сенатор Мэгги Хассан, демократ из Гавайев, заявила, что UnitedHealth необходимо «как минимум направить предварительные уведомления отдельным лицам, чтобы они могли принять защитные меры, такие как мониторинг своих банковских счетов, смена паролей и регистрация в системе кредитного мониторинга, созданной United Healthcare» совместно с Equifax.
Тем временем Уайден и другие члены комитета выступили против Уитти из-за сообщения о том, что сервер Change Healthcare, взломанный членом группировки ALPHV, вымогателя, не использовал многофакторную аутентификацию, что позволило хакерам получить удаленный доступ к системам платежной системы с помощью набора украденных учетных данных.
Уитти сообщил, что все внешние системы UnitedHealth Group теперь поддерживают MFA, но Change Healthcare, которую UHG приобрела в октябре 2022 года , по состоянию на февраль не приняла эти меры предосторожности на этом конкретном сервере.
«Насколько я понимаю, когда Change пришла в организацию, требовалась масштабная модернизация, и, к сожалению и большому разочарованию, на этом сервере не был развернут MFA до атаки», — сказал Уитти, подтвердивший, что одобрил выплату выкупа в размере 22 миллионов долларов хакерской группировке.
Отвечая на вопросы сенатора Тома Тиллиса, Уитти заявил, что ему не известно о каких-либо внутренних или внешних аудитах системного контроля, которые бы выявили несоответствие требованиям Министерства иностранных дел как угрозу безопасности. Республиканец из Северной Каролины также спросил Уитти, почему не используются протоколы резервирования (хранение данных в нескольких местах в системе хранения), что препятствует более простому процессу перезапуска систем.
Уитти сообщил, что Change находилась «в процессе» обновления своих систем, когда на них напали хакеры. «Атака затронула как основную, так и резервную среду», — добавил он. «Это отчасти было связано с возрастом технологий и тем, что большие объёмы данных не хранились в облаке».
«Элементы, которые находились в облаке, мы смогли вернуть практически сразу. Элементы, которые находились в старых центрах обработки данных и содержали в себе многоуровневые устаревшие технологии, стали проблемой при перезапуске», — сказал генеральный директор.
В отсутствие минимальных стандартов кибербезопасности со стороны Министерства здравоохранения и социальных служб некоторые законодатели выразили обеспокоенность возможностью новых атак на поставщиков медицинских услуг. Сенатор Марк Уорнер, демократ от Вирджинии, заявил, что здравоохранение должно подчиняться базовым стандартам, как и финансовая и энергетическая отрасли, и спросил Уитти, что он думает по этому поводу в отношении UnitedHealth Group и Change Healthcare.
Уитти заявил, что компания «поддерживает» движение «к минимальным стандартам», отметив, что в настоящее время отрасль страдает от отсутствия ясности и «смешанного количества различных надзорных органов», выпускающих рекомендации.
«Когда речь идёт о малых и средних организациях здравоохранения, зачастую сложно разобраться в некоторых из этих вопросов», — сказал он. «Поэтому я думаю… минимальные стандарты действительно имеют смысл. Мы будем очень рады использовать любые выводы, сделанные в ходе этого обзора».
Помимо принятия минимальных стандартов в будущем, Уитти заявил, что UnitedHealth Group работала над укреплением добросовестности компании в области кибербезопасности, включив представителя Mandiant в свой консультативный совет. Компания также «ежедневно взаимодействует» с Центрами услуг Medicare и Medicaid для «поддержки поставщиков услуг и приоритетного восстановления системы», сказал Уитти, добавив, что ФБР остаётся её «главным» партнёром в сфере правоохранительных органов.
Уайден завершил слушания дополнительными призывами к МИД и сокращению штата, заявив Уитти, что UnitedHealth «подвела страну» из-за неспособности Change внедрить обе эти меры безопасности. В дальнейшем медицинскому гиганту необходимо будет быть «гораздо более активным и открытым» в вопросах кибербезопасности, добавил он.
«Мы даже не знаем, какие именно данные были украдены. И я не уверен, что мы узнаем это в ближайшее время. Возможно, мы никогда этого не узнаем», — сказал Уайден. «Так что предстоит проделать огромную работу».
В ходе периодически проходящих слушаний в Финансовом комитете Сената председатель Рон Уайден, демократ из Орегона, настойчиво пытался выяснить у Уитти, определило ли руководство UnitedHealth, что хакеры Change Healthcare получили доступ к данным федеральных служащих, ссылаясь на проблемы национальной безопасности, возникшие в связи с утечкой данных Управления кадровой политики в 2015 году , в результате которой были раскрыты личные данные более 20 миллионов государственных служащих США.
«Мы действительно считаем, что будут военнослужащие и… ветераны», чьи данные были украдены, сказал Уитти, добавив, что он сделает «главным приоритетом» выполнение требования Уайдена о предоставлении письменного отчета о числе пострадавших военнослужащих и «наилучшей оценки UnitedHealth того, кем они являются».
Уитти заявил, что UnitedHealth до сих пор не уведомила лиц, чьи данные были украдены, превысив 60-дневный срок, установленный Законом о переносимости и подотчётности медицинского страхования. Генеральный директор заявил, что компания работает с регулирующими органами США над тем, «как лучше всего это сделать», но столкнулась с задержками в доступе к исходному набору данных Change.
Сенатор Мэгги Хассан, демократ из Гавайев, заявила, что UnitedHealth необходимо «как минимум направить предварительные уведомления отдельным лицам, чтобы они могли принять защитные меры, такие как мониторинг своих банковских счетов, смена паролей и регистрация в системе кредитного мониторинга, созданной United Healthcare» совместно с Equifax.
Тем временем Уайден и другие члены комитета выступили против Уитти из-за сообщения о том, что сервер Change Healthcare, взломанный членом группировки ALPHV, вымогателя, не использовал многофакторную аутентификацию, что позволило хакерам получить удаленный доступ к системам платежной системы с помощью набора украденных учетных данных.
Уитти сообщил, что все внешние системы UnitedHealth Group теперь поддерживают MFA, но Change Healthcare, которую UHG приобрела в октябре 2022 года , по состоянию на февраль не приняла эти меры предосторожности на этом конкретном сервере.
«Насколько я понимаю, когда Change пришла в организацию, требовалась масштабная модернизация, и, к сожалению и большому разочарованию, на этом сервере не был развернут MFA до атаки», — сказал Уитти, подтвердивший, что одобрил выплату выкупа в размере 22 миллионов долларов хакерской группировке.
Отвечая на вопросы сенатора Тома Тиллиса, Уитти заявил, что ему не известно о каких-либо внутренних или внешних аудитах системного контроля, которые бы выявили несоответствие требованиям Министерства иностранных дел как угрозу безопасности. Республиканец из Северной Каролины также спросил Уитти, почему не используются протоколы резервирования (хранение данных в нескольких местах в системе хранения), что препятствует более простому процессу перезапуска систем.
Уитти сообщил, что Change находилась «в процессе» обновления своих систем, когда на них напали хакеры. «Атака затронула как основную, так и резервную среду», — добавил он. «Это отчасти было связано с возрастом технологий и тем, что большие объёмы данных не хранились в облаке».
«Элементы, которые находились в облаке, мы смогли вернуть практически сразу. Элементы, которые находились в старых центрах обработки данных и содержали в себе многоуровневые устаревшие технологии, стали проблемой при перезапуске», — сказал генеральный директор.
В отсутствие минимальных стандартов кибербезопасности со стороны Министерства здравоохранения и социальных служб некоторые законодатели выразили обеспокоенность возможностью новых атак на поставщиков медицинских услуг. Сенатор Марк Уорнер, демократ от Вирджинии, заявил, что здравоохранение должно подчиняться базовым стандартам, как и финансовая и энергетическая отрасли, и спросил Уитти, что он думает по этому поводу в отношении UnitedHealth Group и Change Healthcare.
Уитти заявил, что компания «поддерживает» движение «к минимальным стандартам», отметив, что в настоящее время отрасль страдает от отсутствия ясности и «смешанного количества различных надзорных органов», выпускающих рекомендации.
«Когда речь идёт о малых и средних организациях здравоохранения, зачастую сложно разобраться в некоторых из этих вопросов», — сказал он. «Поэтому я думаю… минимальные стандарты действительно имеют смысл. Мы будем очень рады использовать любые выводы, сделанные в ходе этого обзора».
Помимо принятия минимальных стандартов в будущем, Уитти заявил, что UnitedHealth Group работала над укреплением добросовестности компании в области кибербезопасности, включив представителя Mandiant в свой консультативный совет. Компания также «ежедневно взаимодействует» с Центрами услуг Medicare и Medicaid для «поддержки поставщиков услуг и приоритетного восстановления системы», сказал Уитти, добавив, что ФБР остаётся её «главным» партнёром в сфере правоохранительных органов.
Уайден завершил слушания дополнительными призывами к МИД и сокращению штата, заявив Уитти, что UnitedHealth «подвела страну» из-за неспособности Change внедрить обе эти меры безопасности. В дальнейшем медицинскому гиганту необходимо будет быть «гораздо более активным и открытым» в вопросах кибербезопасности, добавил он.
«Мы даже не знаем, какие именно данные были украдены. И я не уверен, что мы узнаем это в ближайшее время. Возможно, мы никогда этого не узнаем», — сказал Уайден. «Так что предстоит проделать огромную работу».
