美國聯合保健資料洩露事件震驚全球
風險警示:英國及 NHS 應引以為戒
美國聯合保健集團及其科技子公司 Change Healthcare 遭受的勒索軟體攻擊成為了數百萬美國病人的資料隱私噩夢。聯合保健集團執行長安德魯·威蒂(Andrew Witty)本週證實,這次攻擊可能影響了美國約三分之一的人口。然而這也應該對全球各國敲響警鐘,包括英國,因為聯合保健最近收購了一家管理數百萬 NHS(國家醫療服務)患者資料的公司。
聯合保健在英國
作為美國最大的醫療保健公司之一,聯合保健在美國家喻戶曉,從保險和賬單到醫生和藥房網路,無所不在。然而在英國,由於其業務規模較小,聯合保健幾乎不為人知。直至六個月前,聯合保健子公司 Optum UK 透過一家名為 Bordeaux UK Holdings II Limited 的聯屬公司,以 15 億美元的交易收購了 EMIS Health。EMIS Health 提供的軟體存取醫生和患者,允許他們預約診療、重複處方等。其中的一項服務是 Patient Access,聲稱擁有約 1700 萬註冊使用者,去年共透過應用程式預約了 140 萬家庭醫生診療並且訂購了逾 1900 萬個重複處方。
風險與隱患
在參議院作證時,威蒂指責該次駭客攻擊的原因是由於聯合保健在 2022 年收購 Change Healthcare 後沒有更新系統,並且其中一臺伺服器沒有啟用多因素身份取證(MFA)。我們知道駭客使用“受損的憑證”來存取 Change Healthcare Citrix 門戶,這原本是供員工遠端存取內部網路的。難以置信的是,威蒂表示公司在攻擊後的兩個月仍在努力理解為什麼未啟用 MFA。這對使用 EMIS Health 服務的英國醫護人員和患者並不會激發太多信心。當前的資料顯示英國患者資料並沒有受到威脅,因為這些是不同的子公司,在不同的司法管轄區下執行。
偷襲的盛宴:勒索軟體集團如何賺取財富?
另一名駭客 Aleksanteri Kivimäki 遭到監禁,他於 2020 年入侵了一家名為 Vastaamo 的公司,竊取了數千名芬蘭患者的醫療資料,企圖勒索和敲詐該公司和受影響的患者。不管勒索攻擊是否成功,它們都極具獲利性。據報道,2023 年支付給行兇者的金額翻了一番,超過了 10 億美元,創下了多個紀錄。而威蒂證實,聯合保健曾向駭客支付了 2200 萬美元的贖金。
資料隱私問題
最大的問題在於個人資料,特別是健康資料,已成為一項巨大的全球商品,應當得到適當的保護。然而我們一直看到極其糟糕的網路安全衛生標準,這應該引起所有人的關注。當前越來越難以在由國家資助的 NHS 上獲得基本的醫療服務,而不同意向私人公司提供資料。也許與私人部門合作有合理的運營和實際原因,但現實是這樣的合作增加了疏漏,給不良行為者提供了潛在目標。許多英國家庭醫生診所現在要求患者使用第三方分流軟體進行預約,除非透過隱私政策進行細緻檢查,通常不清楚患者實際與誰進行業務往來。深入研究一家名為 Patchs Health 的分流服務提供商的隱私政策,發現它僅是負責開發和維護軟體的資料“子處理器”。而主要的資料處理器是一家名為 Advanced 的私募公司,兩年前遭受了勒索軟體攻擊,迫使 NHS 服務停擺。
芬蘭亦為 NHS 深入私營領域提供了警示。芬蘭的 Vastaamo 資料洩露事件震驚全國,係發生在一家現已經破產的私人心理治療公司受芬蘭公共醫療系統的分包。Aleksanteri Kivimäki 入侵了一個不安全的 Vastaamo 資料庫,當 Vastaamo 拒絕支付報道的 45 萬歐元比特幣贖金時,Kivimäki 企圖勒索成千上萬的患者,威脅公開非常私密的治療紀錄。
結語
隱私倡導者大呼小叫,但有錢的大公司持續獲得數百萬人的敏感資料。他們做出承諾、給予保證、實施流程,然後有人忘記設定基本的 MFA,或是把加密金鑰放在門墊下,然後一切都會崩潰。反復無常。問題可能根深蒂固。”
最後的勸誡
這些事件應該是針對政府和企業的警示,資料安全至關重要。我們不能過度相信那些負責資料管理的公司,因為他們的疏忽可能導致悲劇。政府應該加固監督,確保這些公司採取適當的安全措施以保護資料,以免再次發生類似的事件。
延伸閱讀
- 英國深入調查 TikTok、Reddit 和 Imgur 如何保障兒童隱私!
- 駭客入侵!美國大型員工篩檢機構 DISA 洩露超過 300 萬人資料!
- 英國網路監管機構強化深偽色情內容打擊措施!
- 英國重新命名人工智慧機構,首度與 Anthropic 合作打造 AI 安全新未來!
- 英國任命前亞馬遜高管為反壟斷監管機構主席,聯盟表達擔憂!
- 美國政府資料遭遇史上最大規模洩漏!
- 「驚悚!PowerSchool 資料外洩波及英國 1.6 萬名學生」
- 英國上市首款實驗室培育肉!你的狗狗也能享受美味新選擇!
- 美國政府資料史上最大洩漏事件驚現!
- 英國任命前亞馬遜高管道格·古爾為反壟斷機構臨時主席,重塑市場競爭格局!
