美国UnitedHealth数据泄漏事件应成为英国和国民保健服务的警示

美国医疗保险巨头UnitedHealth集团及其科技子公司Change Healthcare遭遇了勒索软件攻击，对数百万美国患者构成了数据隐私噩梦，首席执行官安德鲁·威蒂本周确认，此次事件可能影响全美国三分之一的人口。

但这也应该成为全球各国的警钟，包括英国，在那里UnitedHealth最近通过收购一家管理数百万国民保健服务(NHS)患者数据的公司开始活动。

作为美国最大的医疗保健公司之一，UnitedHealth在国内广为人知，涉及医疗保险、账单等各个方面，并通过医生和药房网络贯穿其中——它是一个价值5000亿美元的巨头，也是全球第11大公司。但在英国，UnitedHealth几乎是无名，主要是因为它在大西洋彼岸的业务不多——直到六个月前。

经过为期16个月的监管流程，UnitedHealth子公司Optum UK最终于去年十月通过一个名为Bordeaux UK Holdings II有限公司的关联公司以15亿美元的价格完成了对EMIS Health的收购。 EMIS Health提供软件，连接医生和患者，允许他们预约约会，下达重复处方等。这些服务之一是Patient Access，宣称有约1700万注册用户，他们去年通过该应用预约了超过140万次家庭医生约会，并订购了超过1900万个重复处方。

没有迹象表明英国患者数据存在风险——这些是不同的子公司，具有不同的设置，在不同的司法管辖区下。但根据威蒂在周三的参议院证词，他指责这次黑客攻击是因为自从UnitedHealth在2022年收购Change Healthcare以来，公司没有更新系统——而这些系统中有一个服务器没有启用多因素身份验证(MFA)。

我们知道黑客使用“被盗凭证”访问了一个旨在员工远程访问内部网络的Change Healthcare Citrix门户网站来窃取医疗数据。令人难以置信的是，威蒂表示，两个月后公司仍在努力了解为何尚未启用MFA。这并不会给在新业主领导下使用EMIS Health的英国卫生保健专业人员和患者带来信心。

这并非孤立事件。

本周，25岁的黑客Aleksanteri Kivimäki因为涉嫌在2020年入侵名为Vastaamo的公司，窃取属于成千上万芬兰患者的医疗数据并企图敲诈和勒索公司及受影响的患者而被判入狱超过六年。

无论勒索攻击是否成功，它们最终都是赚钱的——据报道，2023年支付给制造者的款项已经翻了一番，超过10亿美元，堪称创纪录的一年。在他的证词中，威蒂确认了此前的报道，即UnitedHealth向黑客支付了2200万美元的赎金。

为什么勒索软件团伙赚这么多钱？

医疗数据作为有价值的商品

但从这一切中我们最大的启示是，个人数据——特别是健康数据——是一种巨大的全球商品，应该得到相应的保护。然而，我们仍然看到极为糟糕的网络安全卫生习惯，这应该引起所有人的关注。

正如TechCrunch几个月前所写的，即使是在由国家资助的英国国民保健服务，也很难获得最基本的医疗服务，而不同意让私人公司访问您的数据——无论这是一家价值十亿美元的跨国公司，还是一家风险投资支持的初创公司。

与私营部门合作可能有合理的运营和实际原因，但现实是这些合作增加了坏人可以攻击的攻击表面——无论公司可能已经实施了什么义务、政策和承诺。

想看一位国民保健服务的医生吗？首先准备好提供您的数据。

许多英国家庭医生诊所现在要求患者使用第三方分诊软件进行预约，并且除非仔细阅读隐私政策，否则通常无法确定患者实际与谁做生意。

深入研究一个名为Patchs Health的分诊服务提供商的隐私政策，该公司称其支持英国国民保健服务超过1000万患者，显示它只是负责开发和维护软件的“数据子处理器”。实际交付该服务的主要数据处理器实际上是一家名为Advanced的私募股权支持公司，两年前遭遇了一次勒索软件攻击，导致国民保健服务下线。与UnitedHealth袭击类似，合法凭证被用于访问Citrix服务器。

毫不费力就能看出UnitedHealth所发生的事情与英国所可能发生的事情之间的类似之处，后者与许多与国民保健服务达成合作关系的私营公司。

芬兰同样是一个具有预见性的提醒，因为英国国民保健服务逐渐深入私营领域。作为该国有史以来最大的罪行之一，Vastaamo数据泄露事件发生在现已破产的一家名为Vastaamo的私营心理治疗公司被芬兰公共保健系统外包之后。Aleksanteri Kivimäki入侵了一个不安全的Vastaamo数据库，之后Vastaamo拒绝支付据称为450000欧元的比特币赎金后，Kivimäki企图勒索成千上万患者，恐吓要发布私密的治疗笔记。

在随后的调查中，发现Vastaamo的安全流程极度不足。它的患者数据库暴露在互联网上，包括未加密的敏感数据，如联系信息、社会保障号码和治疗师笔记。芬兰数据保护ombudsman指出，此次泄露的最可能原因是数据库中一个未受保护的MySQL端口，根用户帐户没有密码保护。该帐户允许从任何IP地址访问数据库，服务器上没有防火墙。

在英国，围绕国民保健服务开放数据的担忧已经广为人知。最引人瞩目的合作伙伴关系发生在去年，当时由Peter Thiel支持的大数据分析公司Palantir获得了英国国民保健服务(NHS)英格兰区域的大量合同，帮助其过渡到一个新的联合数据平台(FDP)——令全国医生和数据隐私倡导者不满。

然而，所有这一切似乎是不可避免的。隐私倡导者尽管大声疾呼，但有大量现金的大公司一直在获得数百万人的敏感数据。承诺被做出，保证被提供，流程被实施——然后有人忘记设置基本的MFA，或者把加密密钥放在门垫下，然后一切都毁了。冲洗和重复。