前情回顾·美国医疗业惊天勒索案动态
安全内参5月7日消息,美国联合健康集团旗下Change Healthcare网络攻击事件带来了许多教训,其中一条教训在近期变得格外明确:在并购过程中忽视网络安全问题,就等于是自寻烦恼。这不仅危及自身,还危害了其他所有人。
今年2月,联合健康集团旗下的处方处理商Change Healthcare遭到勒索软件攻击,给美国医疗保健系统带来了巨大的混乱,并可能泄露了数百万美国人的数据。
联合健康CEO反复赘述收购公司的网络安全很差
上周三,美国参议院委员会对联合健康集团首席执行官Andrew Witty 进行了长时间的质询。在听证会期间,Witty频频表示Change Healthcare的网络安全实践过于差劲,反复赘述该公司“最近”才被纳入联合健康集团旗下,并且“正在进行升级”,以达到这家保险巨头(据称)更高的安全标准。
问题的关键是Change Healthcare服务器缺乏多因素身份验证。根据联合健康集团的说法,这正是造成攻击成功的原因。多年来,多因素身份验证一直被视为基本安全措施。
在听证会期间,美国民主党参议员、参议院财政委员会主席Ron Wyden多次提及这一失误。例如,他和Witty有如下交锋:
Wyden:“我们仍然需要了解,您是否知道您(在这个服务器上)没有启用多因素身份验证。您知情吗?”
Witty:“绝对不知情。”
Wyden:“为什么不知情?”
Witty:“因为这家公司最近才纳入集团,并没过多久,正在进行升级。”
Wyden:“为什么你没有将它(启用多因素身份验证)作为首要事项?”
Witty:“我的理解是,Change Healthcare并入集团后,需要进行大量的现代化改造。不幸的是,这个服务器在遭受攻击之前还没来得及部署多因素身份验证。”
并购忽视网络安全带来的惨痛教训
Wyden这样提问并没有错。如此重要的医疗健康平台,在2024年都没有一台服务器启用多因素身份验证,确实相当差劲。其实,联合健康集团子公司Optum在2022年10月就完成了对Change Healthcare的收购,足足有一年多的时间帮助其达到安全标准。
退一步说,既然Change Healthcare的安全实践如此差劲,用Witty的话说,需要进行“大量”的升级,那么联合健康集团为什么不将其视作警示信号呢?既然安全风险如此之高,他们为什么还要进行收购呢?
这其实是非常容易回答的问题:这类业务层面的谈判很少,甚至从来就不认真考虑网络安全问题。在并购过程中,Change Healthcare的安全实践似乎并没有受到任何认真的审查。即便有审查,联合健康集团的收购者可能满眼只有金钱,却看不到风险。
正如听证会上多位参议员指出的那样,由于联合健康集团错误地计算风险、在Change Healthcare的安全升级上行动迟缓,这家保险巨头付出了代价。更为不幸的是,此举还累及了美国各地大量医疗健康提供者商患者。
因此,对于任何关注Change Healthcare事件的人来说,与网络安全相关的教训是显而易见的(无论如何,一定要启用多因素身份验证!)。但也有一些并不那么明显却很重要的教训。比如,当涉及并购时,无论是审查潜在的交易还是整合收购的公司,现在必须比以往更加强调安全。
如果为公司和民众们做正确的事情还不足以激励他们,那些在并购中忽视安全的人还应该意识到,一两年后他们很可能会受到美国参议员的严厉指责。
参考资料:https://www.crn.com/news/security/2024/analysis-change-healthcare-attack-shows-what-happens-when-cybersecurity-is-ignored-in-m-a
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。