L’impatto dell’attacco ransomware a Change Healthcare è più ampio di quanto previsto, e sembra coinvolgere anche dati personali dei militari americani.
A seguito del recente attacco di ransomware a Change Healthcare, Andrew Witty, CEO di UnitedHealth Group, ha dichiarato che anche dati appartenenti a militari americani in servizio e veterani potrebbero essere stati compromessi. Durante un’audizione del Senato americano, Witty ha rivelato che la già vasta portata dell’attacco sembra essere più ampia di quanto si pensasse inizialmente.
Ron Wyden, presidente della commissione sanitaria del Senato, ha messo in luce le implicazioni in termini di sicurezza nazionale, facendo un paragone con l’attacco del 2015 all’Office of Personnel Management, che aveva esposto i dati personali di oltre 20 milioni di lavoratori federali.
Witty ha affermato che sarà prioritario fornire dettagli in merito al numero di personale militare coinvolto e come questi individui siano stati specificamente colpiti. Tuttavia, ha rivelato che non tutti i soggetti coinvolti sono stati ancora avvertiti, a causa di ritardi nell’accesso al dataset originale dell’azienda.
Il CEO di UnitedHealth Group ha ammesso che il server di Change Healthcare, attaccato da parte di un affiliato della gang di ransomware ALPHV, non impiegava l’autenticazione a più fattori. Questo ha permesso agli hacker di acquisire l’accesso remoto ai sistemi del processatore di pagamenti attraverso un set di credenziali rubate.
In seguito all’attacco, tutti i sistemi esterni di UnitedHealth Group hanno ora attivato l’autenticazione a più fattori. Witty ha confermato anche di aver autorizzato il pagamento di un riscatto di 22 milioni di dollari al gruppo di hacker.
Per contrastare la persistente vulnerabilità della sicurezza nel settore sanitario, alcuni legislatori hanno espresso la necessità di introdurre standard minimi di sicurezza informatica, simili a quelli esistenti per i settori finanziario ed energetico. Witty ha mostrato il suo sostegno a tale iniziativa, sottolineando che l’attuale mancanza di chiarezza è difficilmente gestibile, soprattutto per le piccole e medie aziende del settore sanitario.
Alcuni avvertimenti severi sono arrivati anche da Wyden alla fine dell’udienza, che ha rimproverato UnitedHealth per aver “deluso il paese” non implementando pratiche di sicurezza adeguate. Wyden ha esortato l’azienda a essere più attiva e trasparente sulle questioni legate alla sicurezza cibernetica in futuro.