Why is the Change Healthcare breach considered so significant?

It is the largest healthcare data breach in recorded history, exposing the personal and health information of 192.7 million individuals—more than half the U.S. population—in a single attack.

What role does Change Healthcare play in the U.S. healthcare system?

It is a central clearinghouse that processes billing and insurance transactions for thousands of hospitals, clinics, pharmacies, and insurers, giving it access to a vast cross-section of patient data.

How were the attackers able to compromise so many records?

Attackers breached Change Healthcare’s network, moved laterally through internal systems, exfiltrated sensitive data, and then deployed ransomware, tapping into a central repository that connected many healthcare entities.

What kind of data was stolen in the breach?

The stolen data includes health records, insurance details, and personal identifiers, creating a uniquely dense combination of medical, financial, and personal information.

Why are healthcare organizations frequently targeted by cybercriminals?

Health records are highly valuable on the black market, and many healthcare organizations operate on thin margins with legacy infrastructure, making them persistently vulnerable to attacks.

Change Healthcare proboj 192,7 milijuna zapisa: Što to znači za privatnost pacijenata

Brojke je teško pojmiti. Godine 2024. napad ransomwareom na Change Healthcare, klirinšku kuću koja obrađuje naplatne i osigurateljne transakcije za značajan dio zdravstvenog sustava SAD-a, rezultirao je krađom osobnih i zdravstvenih podataka 192,7 milijuna pojedinaca. Taj pojedinačni proboj zdravstvenih podataka sada je najveći u zabilježenoj povijesti, nadmašivši svaki prethodni incident ogromnom razlikom.

Za usporedbu, ta brojka predstavlja više od polovice stanovništva Sjedinjenih Država. Nije nastala iz desetaka odvojenih incidenata tijekom godine. Došla je iz jednog napada, na jednu tvrtku, koja se nalazila u središtu međusobno povezane mreže pružatelja zdravstvene skrbi, osiguravatelja i pacijenata.

Kako je jedan napad dosegnuo 192,7 milijuna ljudi

Uloga Change Healthcarea u zdravstvenom sustavu SAD-a učinila ga je iznimno vrijednom metom. Kao klirinška kuća, obrađivao je zahtjeve i transakcije povezujući tisuće bolnica, klinika, ljekarni i osiguravatelja. Kad su napadači probili njegovu mrežu, nisu pristupili samo podacima jedne organizacije. Pristupili su središnjem repozitoriju koji dotiče golemi presjek cijele zdravstvene industrije.

Proboj je slijedio obrazac uobičajen za velike ransomware incidente: napadači su ostvarili početni pristup, lateralno se kretali kroz unutarnje sustave, identificirali i izvukli osjetljive podatke, a zatim aktivirali ransomware kako bi poremetili rad. Sam operativni poremećaj izazvao je kaskadne probleme diljem zdravstvenog sektora, pri čemu pružatelji usluga tjednima nisu mogli obrađivati zahtjeve. No dugotrajnija šteta je izloženost zdravstvenih kartona, podataka o osiguranju i osobnih identifikatora gotovo 193 milijuna ljudi.

Ova vrsta rizika od dobavljača treće strane nije svojstvena samo Change Healthcareu. Proboj u TriZettu, koji je razotkrio 3,4 milijuna kartona pacijenata, slijedio je sličan obrazac, gdje su napadači ciljali posrednika u zdravstvenoj tehnologiji umjesto izravno bolnicu. Kada jedan dobavljač opslužuje stotine zdravstvenih klijenata, jedna uspješna intruzija može se proširiti i utjecati na milijune ljudi koji nikada nisu izravno komunicirali s probijenom tvrtkom.

Zašto je zdravstvo stalna meta

Zdravstvene organizacije postale su jedan od najčešće probijanih sektora iz nekoliko međusobno povezanih razloga. Zdravstveni kartoni sadrže jedinstveno gustu kombinaciju osobnih, financijskih i medicinskih informacija, što ih čini vrijednijima kriminalcima od standardnih financijskih zapisa. Istodobno, mnoge zdravstvene organizacije posluju s malim maržama, oslanjaju se na zastarjelu infrastrukturu i suočavaju se s regulatornim i operativnim pritiscima koji mogu usporiti sigurnosna poboljšanja.

Razmjeri proboja u Change Healthcareu su ekstremni, ali učestalost proboja zdravstvenih podataka nije neobična. Incidenti koji pogađaju velike skupine pacijenata dosljedno se bilježe posljednjih godina, od velikih javnih zdravstvenih sustava do manjih specijaliziranih pružatelja. Proboj u NYC Health and Hospitals, koji je razotkrio 1,8 milijuna otisaka prstiju, ilustrira kako čak i biometrijski podaci koje drže javne institucije mogu biti ugroženi kada mreža dobavljača treće strane nije dovoljno osigurana.

Obrazac u tim incidentima je dosljedan: napadači pronalaze slabu točku, često putem ugroženih vjerodajnica, nezakrpanih sustava ili nedovoljno osiguranog udaljenog pristupa, a zatim se kreću kroz mreže koje nisu izgrađene da zaustave odlučnog uljeza.

Što to znači za vas

Ako ste primali zdravstvenu skrb u Sjedinjenim Državama u bilo kojem trenutku prije ili tijekom 2024. godine, postoji značajna vjerojatnost da su vaši podaci bili među zapisima izloženima u proboju Change Healthcarea. Navodno ugroženi podaci uključuju imena, adrese, brojeve socijalnog osiguranja, podatke o osiguranju i u mnogim slučajevima detaljne medicinske kartone.

Za pacijente to znači da rizik nije samo krađa identiteta. Uključuje mogućnost prijevare s osiguranjem, ciljane phishing napade koji koriste osobne zdravstvene detalje i dugoročnu izloženost osjetljive medicinske povijesti. Zdravstvene informacije, za razliku od broja kreditne kartice, ne mogu se promijeniti.

Za zdravstvene radnike i administratore, proboj je jasan podsjetnik da sigurnost podataka pacijenata ovisi ne samo o obrani njihove vlastite organizacije, već i o svakom dobavljaču i partneru povezanom s njihovim sustavima. Proboji povezani s dobavljačima treće strane i dalje čine značajan udio zdravstvenih incidenata, a slučaj Change Healthcarea postavlja hitna pitanja o tome koliko se temeljito ti odnosi provjeravaju i nadziru.

Za same zdravstvene organizacije, proboj ističe nekoliko konkretnih područja vrijednih preispitivanja:

Kontrole pristupa trećih strana: Dobavljači s pristupom unutarnjim sustavima trebali bi se suočiti s istom razinom nadzora kao i unutarnji korisnici, uključujući stroge politike vjerodajnica i segmentaciju mreže koja ograničava koliko daleko svaka pojedinačna pristupna točka može dosegnuti.
Sigurnost udaljenog pristupa: VPN-ovi s obaveznom višefaktorskom autentifikacijom osnovna su zaštita za udaljeni pristup unutarnjim sustavima. Proboj u Change Healthcareu ilustrira da ugrožene vjerodajnice mogu biti ulazna točka, ali sam VPN nije potpuna obrana. Potrebno ga je upariti sa segmentacijom, nadzorom i sposobnostima odgovora.
Minimizacija podataka: Organizacije bi trebale revidirati koje podatke dijele s dobavljačima trećih strana, zadržavajući i prenoseći samo ono što je operativno potrebno.

Vrijedi biti jasan o tome što sigurnosni alati poput VPN-ova mogu, a što ne mogu. VPN-ovi štite kanal kojim podaci putuju, posebno za udaljene radnike koji pristupaju kliničkim sustavima ili za telehealth komunikacije koje moraju ostati privatne. Oni su značajan sloj zaštite za zdravstvene radnike koji djeluju izvan kliničke mreže. No proboj u Change Healthcareu nije prvenstveno bio neuspjeh sigurnosti udaljenog pristupa. Uključivao je dublje sistemske probleme vezane uz mrežnu arhitekturu i lateralno kretanje, probleme koji zahtijevaju slojevitu obranu daleko iznad bilo kojeg pojedinačnog alata.

Provedivi zaključci

Ako vjerujete da su vaši podaci mogli biti pogođeni probojem u Change Healthcareu ili bilo kojim sličnim incidentom, postoje konkretni koraci koje vrijedi poduzeti. Pratite izvode svog zdravstvenog osiguranja za zahtjeve koje ne prepoznajete. Postavite upozorenje o prijevari ili zamrzavanje kredita kod glavnih kreditnih ureda. Budite oprezni na phishing pokušaje koji koriste osobne zdravstvene detalje kako bi izgledali legitimno.

Za zdravstvene stručnjake i administratore, lekcija iz rekordnog proboja 2024. godine je da su odnosi s dobavljačima sigurnosni odnosi. Svaka veza treće strane s kliničkom mrežom potencijalna je ulazna točka koja zaslužuje rigoroznu, stalnu evaluaciju. Razmjeri onoga što se dogodilo u Change Healthcareu odražavaju ne samo ranjivosti jedne tvrtke, već i rizike koji dolaze s izgradnjom industrije na usko povezanoj, nedovoljno ojačanoj infrastrukturi. Rješavanje tih rizika zahtijeva ulaganje u sigurnost na svakoj karici u lancu, a ne samo na najvidljivijima.