Proč je narušení bezpečnosti ve společnosti Change Healthcare považováno za tak významné?

Jedná se o největší únik zdravotnických dat v zaznamenané historii, který při jediném útoku odhalil osobní a zdravotní údaje 192,7 milionu jednotlivců – tedy více než polovinu populace Spojených států.

Jakou roli hraje Change Healthcare v americkém zdravotnickém systému?

Je centrálním clearinghousem, který zpracovává fakturační a pojistné transakce pro tisíce nemocnic, klinik, lékáren a pojišťoven, čímž má přístup k obrovskému průřezu pacientských údajů.

Jak se útočníkům podařilo získat tolik záznamů?

Útočníci pronikli do sítě společnosti Change Healthcare, pohybovali se laterálně interními systémy, exfiltrovali citlivá data a poté nasadili ransomware, čímž získali přístup k centrálnímu úložišti propojujícímu mnoho zdravotnických subjektů.

Jaký druh dat byl při tomto narušení odcizen?

Odcizená data zahrnují zdravotní záznamy, údaje o pojištění a osobní identifikátory, což vytváří jedinečně hustou kombinaci zdravotních, finančních a osobních informací.

Proč jsou zdravotnické organizace často cílem kyberzločinců?

Zdravotní záznamy jsou na černém trhu vysoce cenné a mnoho zdravotnických organizací pracuje s nízkými maržemi a zastaralou infrastrukturou, což je činí trvale zranitelnými vůči útokům.

Narušení bezpečnosti ve společnosti Change Healthcare se 192,7 miliony záznamů: Co to znamená pro soukromí pacientů

S takovými čísly se těžko pracuje. V roce 2024 vedl ransomware útok na společnost Change Healthcare, clearinghouse zpracovávající fakturační a pojistné transakce pro významnou část amerického zdravotnického systému, k odcizení osobních a zdravotních údajů patřících 192,7 milionům jednotlivců. Toto jediné narušení zdravotnických dat je nyní největším v zaznamenané historii a s obrovským náskokem překonává všechny předchozí incidenty.

Pro představu – toto číslo představuje více než polovinu obyvatel Spojených států. Nevzniklo z desítek samostatných incidentů během roku. Vzešlo z jednoho útoku, na jednu společnost, která stála ve středu propojené sítě poskytovatelů zdravotní péče, pojišťoven a pacientů.

Jak jeden útok zasáhl 192,7 milionu lidí

Role společnosti Change Healthcare v americkém zdravotnictví z ní učinila mimořádně hodnotný cíl. Jako clearinghouse zpracovávala žádanky a transakce propojující tisíce nemocnic, klinik, lékáren a pojišťoven. Když útočníci prolomili její síť, nezískali přístup pouze k datům jedné organizace. Získali přístup k centrálnímu úložišti, které se dotýká obrovského průřezu celého zdravotnického odvětví.

Narušení následovalo vzorec běžný u rozsáhlých ransomwarových incidentů: útočníci získali počáteční přístup, pohybovali se laterálně interními systémy, identifikovali a exfiltrovali citlivá data a poté nasadili ransomware k narušení provozu. Samotné provozní narušení způsobilo kaskádovité problémy v celém zdravotnictví, když poskytovatelé nebyli po týdny schopni zpracovávat žádanky. Dlouhodobější škodou je však odhalení zdravotních záznamů, informací o pojištění a osobních identifikátorů téměř 193 milionů lidí.

Tento typ rizika spojeného s dodavateli třetích stran není u Change Healthcare ojedinělý. Narušení bezpečnosti ve společnosti TriZetto, které odhalilo 3,4 milionu záznamů pacientů, probíhalo podle podobného vzorce, kdy se útočníci zaměřili na zprostředkovatele zdravotnických technologií namísto nemocnice přímo. Když jediný dodavatel obsluhuje stovky zdravotnických klientů, může se jeden úspěšný průnik rozšířit a ovlivnit miliony lidí, kteří s napadenou společností nikdy přímo nejednali.

Proč je zdravotnictví trvalým terčem

Zdravotnické organizace se staly jedním z nejčastěji napadaných odvětví z několika vzájemně souvisejících důvodů. Zdravotní záznamy obsahují jedinečně hutnou kombinaci osobních, finančních a lékařských informací, což je činí pro zločince cennějšími než běžné finanční záznamy. Mnoho zdravotnických organizací zároveň pracuje s nízkými maržemi, spoléhá na zastaralou infrastrukturu a čelí regulačním a provozním tlakům, které mohou zpomalovat bezpečnostní zlepšení.

Rozsah narušení ve společnosti Change Healthcare je extrémní, avšak četnost úniků zdravotnických dat není neobvyklá. Incidenty postihující velké populace pacientů jsou v posledních letech zaznamenávány pravidelně – od velkých veřejných zdravotnických systémů po menší specializované poskytovatele. Narušení bezpečnosti v NYC Health and Hospitals, které odhalilo 1,8 milionu otisků prstů, ukazuje, jak mohou být kompromitována i biometrická data držená veřejnými institucemi, pokud není síť dodavatele třetí strany dostatečně zabezpečena.

Vzorec napříč těmito incidenty je konzistentní: útočníci najdou slabé místo, často prostřednictvím kompromitovaných přihlašovacích údajů, nezáplatovaných systémů nebo nedostatečně zabezpečeného vzdáleného přístupu, a poté se pohybují sítěmi, které nebyly vybudovány tak, aby odolaly odhodlanému narušiteli.

Co to znamená pro vás

Pokud jste ve Spojených státech obdrželi péči kdykoli před rokem 2024 nebo v jeho průběhu, existuje významná šance, že vaše údaje patřily mezi záznamy odhalené při narušení ve společnosti Change Healthcare. Dotčená data údajně zahrnují jména, adresy, čísla sociálního pojištění, informace o pojištění a v mnoha případech podrobné lékařské záznamy.

Pro pacienty to znamená, že riziko nepředstavuje jen krádež identity. Zahrnuje i možnost pojistných podvodů, cílených phishingových útoků využívajících osobní zdravotní údaje a dlouhodobé odhalení citlivé zdravotní historie. Zdravotní informace, na rozdíl od čísla kreditní karty, nelze změnit.

Pro zdravotnické pracovníky a administrátory je toto narušení důrazným připomenutím, že bezpečnost pacientských dat nezávisí jen na obraně jejich vlastní organizace, ale také na každém dodavateli a partnerovi připojeném k jejich systémům. Narušení spojená s dodavateli třetích stran nadále představují významný podíl incidentů ve zdravotnictví a případ Change Healthcare vyvolává naléhavé otázky ohledně toho, jak důkladně jsou tyto vztahy prověřovány a monitorovány.

Konkrétně pro zdravotnické organizace toto narušení upozorňuje na několik konkrétních oblastí, které stojí za revizi:

Řízení přístupu třetích stran: Dodavatelé s přístupem k interním systémům by měli podléhat stejné kontrole jako interní uživatelé, včetně přísných zásad pro přihlašovací údaje a segmentace sítě, která omezuje dosah jakéhokoli jednotlivého přístupového bodu.
Zabezpečení vzdáleného přístupu: VPN s vynucenou vícefaktorovou autentizací představují základní ochranu pro vzdálený přístup k interním systémům. Narušení ve společnosti Change Healthcare ukazuje, že kompromitované přihlašovací údaje mohou být vstupním bodem, avšak samotná VPN není úplnou obranou. Musí být doplněna segmentací, monitorováním a schopnostmi reakce.
Minimalizace dat: Organizace by měly auditovat, jaká data sdílejí s dodavateli třetích stran, a uchovávat a přenášet pouze to, co je provozně nezbytné.

Je na místě ujasnit si, co bezpečnostní nástroje jako VPN mohou a nemohou dělat. VPN chrání kanál, kterým data putují, zejména pro vzdálené pracovníky přistupující ke klinickým systémům nebo pro telemedicínskou komunikaci, která musí zůstat soukromá. Představují smysluplnou vrstvu ochrany pro zdravotnické pracovníky působící mimo klinickou síť. Narušení ve společnosti Change Healthcare však nebylo primárně selháním zabezpečení vzdáleného přístupu. Zahrnovalo hlubší systémové problémy v architektuře sítě a laterálním pohybu, tedy problémy, které vyžadují vrstvenou obranu dalece přesahující jakýkoli jednotlivý nástroj.

Konkrétní opatření

Pokud se domníváte, že vaše údaje mohly být dotčeny narušením ve společnosti Change Healthcare nebo podobným incidentem, existují konkrétní kroky, které stojí za to podniknout. Sledujte výpisy ze zdravotního pojištění, zda neobsahují žádanky, které nepoznáváte. Zadejte výstrahu před podvodem nebo zmrazení úvěru u hlavních úvěrových registrů. Buďte ostražití vůči phishingovým pokusům, které využívají osobní zdravotní údaje, aby působily důvěryhodně.

Pro zdravotnické profesionály a administrátory plyne z rekordního narušení v roce 2024 poučení, že dodavatelské vztahy jsou bezpečnostními vztahy. Každé připojení třetí strany ke klinické síti je potenciálním vstupním bodem, který si zaslouží důkladné a průběžné hodnocení. Rozsah toho, co se stalo ve společnosti Change Healthcare, neodráží jen zranitelnosti jedné firmy, ale i rizika spojená s budováním odvětví na těsně propojené, nedostatečně odolné infrastruktuře. Řešení těchto rizik vyžaduje investice do bezpečnosti v každém článku řetězce, nejen v těch nejviditelnějších.