Bilgisayar korsanlarının ABD sağlık sistemleri sağlayıcısı Change Healthcare sunucularına girerek şirket verilerini çalması ve ardından şifrelemesinden iki ay sonra, siber saldırıdan kaç Amerikalının etkilendiği hala belirsiz. Geçtiğimiz ay, Change Healthcare’in ana şirketi UnitedHealth Group’un CEO’su Andrew Witty, çalınan dosyaların “Amerika’daki insanların önemli bir kısmının” kişisel sağlık bilgilerini içerdiğini söyledi.
Çarşamba günü ABD Senatosu’nda yapılan bir oturumda Witty, daha kesin bir yanıt vermeye zorlandığında, ihlalin “muhtemelen [Amerikalıların] üçte birini ya da yaklaşık bu düzeyde kişiyi” etkilediğini ifade etti. Witty daha kesin bir yanıt vermek istemediğini çünkü şirketin hala ihlali araştırdığını ve tam olarak kaç kişinin etkilendiğini bulmaya çalıştığını söyledi. Ama yaklaşık üçte biri rakamı bile 100 milyon kişinin sağlık sistemine yönelik bu siber saldırılardan etkilenmesi demek.
Senato oturumu sırasında Witty, şirketin veri ihlali mağdurlarını bilgilendirmeye başlamasının muhtemelen “birkaç ay” alacağını söyledi. İki duruşma öncesinde Witty tarafından yapılan yazılı açıklamada CEO, “şu ana kadar veriler arasında doktorların çizelgeleri veya tam tıbbi geçmişleri gibi materyallerin sızdığına dair bir kanıt görmedik” demişti.
Witty’nin ifadesine göre, bilgisayar korsanları “Change Healthcare Citrix portalına uzaktan erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullandılar”; bu portal, hesaplarda ve sistemlerde oturum açmak için fazladan bir adım ekleyen temel bir siber güvenlik önlemi olan çok faktörlü kimlik doğrulama ile korunmuyordu.
Bu portalda çok faktörlü kimlik doğrulama etkinleştirilmiş olsaydı, sağlık sistemindeki söz konusu ihlal muhtemelen hiç gerçekleşmeyebilirdi. Birkaç Senatör Witty’yi bu başarısızlık konusunda sorguya çekerek UnitedHealth ve Change Healthcare sistemlerinin artık çok faktörlü kimlik doğrulama ile korunup korunmadığını sordu. Senato oturumunda Witty şunları söyledi: “Tüm harici sistemlerimizde çok faktörlü kimlik doğrulamasına sahip olmak için kuruluş genelinde zorunlu bir politikamız var ve bu politika yürürlükte.”
Söz konusu “zorunlu” politikanın niye 2 ay önce yürürlükte olmadığı ve ancak bir siber saldırı gerçekleştikten sonra akıllara geldiği ise soru işareti. UnitedHealth Grubu, geçtiğimiz yıl elde ettiği 324 milyar dolar gelir ile ABD’nin en büyük 5. firması konumunda.
Change Healthcare sistemlerine siber saldırıyı gerçekleştiren grup ise sessizliğini koruyor. ABD yönetimi Rusya yönetimi tarafından korunduğunu düşündüğü ALPHV/BlackCat siber suç çetesinin çökertilmesi için her şeyi yapmaya çalışıyor. Kısa bir süre önce ABD Dışişleri Bakanlığı, BlackCat siber suç çetesinin yakalanmasına yardımcı olanlara 10 milyon dolar ödül vereceğini açıklamıştı.
