L'attacco ransomware che ha colpito il gigante statunitense delle assicurazioni sanitarie UnitedHealth Group e la sua controllata tecnologica Change Healthcare è un incubo sulla privacy dei dati per milioni di pazienti statunitensi, con il CEO Andrew Witty che ha confermato questa settimana che potrebbe colpire fino a un terzo del paese.

Ma dovrebbe anche essere un campanello d'allarme per i paesi di tutto il mondo, compreso il Regno Unito, dove UnitedHealth ora svolge la propria attività attraverso l'acquisizione di una società che gestisce i dati di milioni di pazienti del NHS (Servizio sanitario nazionale).

Come una delle più grandi società sanitarie degli Stati Uniti, UnitedHealth è ben conosciuta a livello nazionale, intersecando ogni aspetto dell'industria sanitaria dall'assicurazione e fatturazione, fino alla rete di medici e farmacie - è un gigante da 500 miliardi di dollari, e la 11° più grande azienda globalmente per ricavi. Ma nel Regno Unito, UnitedHealth è praticamente sconosciuta, principalmente perché non ha avuto molto business al di là dell'Atlantico - fino a sei mesi fa.

Dopo un processo regolatorio di 16 mesi terminato in ottobre, la controllata di UnitedHealth Optum UK, tramite un'affiliata chiamata Bordeaux UK Holdings II Limited, ha finalmente preso possesso di EMIS Health in un affare da 1,5 miliardi di dollari. EMIS Health fornisce software che mette in contatto medici con pazienti, consentendo loro di prenotare appuntamenti, ordinare ricette e altro ancora. Uno di questi servizi è Patient Access, che conta circa 17 milioni di utenti registrati che hanno effettuato collettivamente 1,4 milioni di appuntamenti con il medico di famiglia tramite l'app l'anno scorso e ordinato più di 19 milioni di ricette di ripetizione.

Non c'è nulla che suggerisca che i dati dei pazienti del Regno Unito siano a rischio qui - queste sono diverse controllate, con settaggi diversi, sotto diverse giurisdizioni. Ma secondo la sua testimonianza al senato mercoledì, Witty ha incolpato l'hack sul fatto che dal momento in cui UnitedHealth ha acquisito Change Healthcare nel 2022, non ha aggiornato i propri sistemi - e all'interno di quei sistemi c'era un server che non aveva abilitata l'autenticazione a due fattori (MFA).

Sappiamo che gli hacker hanno rubato dati sanitari utilizzando "credenziali compromesse" per accedere a un portale Citrix Change Healthcare che era stato pensato per far accedere i dipendenti alle reti interne in remoto. Incredibilmente, Witty ha detto che l'azienda stava ancora cercando di capire perché MFA non era abilitato, due mesi dopo l'attacco. Questo non ispira molta fiducia per i professionisti e i pazienti sanitari del Regno Unito che utilizzano EMIS Health sotto gli auspici dei nuovi proprietari.

Questo non è un caso isolato.

Separatamente questa settimana, il 25enne hacker Aleksanteri Kivimäki è stato condannato a più di sei anni per aver infiltrato un'azienda chiamata Vastaamo nel 2020, rubando dati sanitari appartenenti a migliaia di pazienti finlandesi e tentando di estorcere e ricattare sia l'azienda che i pazienti colpiti.

Indipendentemente dal successo o meno degli attacchi ransom, sono ultimamente redditizi - i pagamenti ai perpetratori sarebbero raddoppiati a più di 1 miliardo di dollari nel 2023, un anno da record per molti conti. Durante la sua testimonianza, Witty ha confermato rapporti precedenti secondo cui UnitedHealth ha versato un riscatto di 22 milioni di dollari ai suoi hacker.

Perché le bande di ransomware guadagnano così tanto?

Salute dati come merce preziosa

Ma la cosa più importante di tutto questo è che i dati personali - in particolare i dati sanitari - sono una grande merce globale, e dovrebbero essere protetti di conseguenza. Tuttavia, continuiamo a vedere una igiene della sicurezza informatica incredibilmente scadente, cosa che dovrebbe preoccupare tutti.

Come ha scritto TechCrunch qualche mese fa, sta diventando sempre più difficile accedere anche alla forma più basilare di assistenza sanitaria sul NHS finanziato dallo stato senza accettare di dare a imprese private accesso ai tuoi dati - che si tratti di una multinazionale da miliardi di dollari, o di una startup finanziata da un venture.

Potrebbero esserci legittime ragioni operative e pratiche per cui lavorare con il settore privato ha senso, ma la realtà è che tali partnership aumentano la superficie d'attacco che i cattivi attori possono mirare - indipendentemente dalle obbligazioni, politiche e promesse che un'azienda potrebbe avere in atto.

Vuoi vedere un medico del NHS? Preparati a cedere i tuoi dati prima.

Molte cliniche per medici di famiglia del Regno Unito ora richiedono ai pazienti di utilizzare software di triage di terze parti per fissare gli appuntamenti, e a meno che non si scruti attentamente le politiche sulla privacy, non è spesso chiaro con chi il paziente stia effettivamente facendo affari.

Esaminando la politica sulla privacy di un fornitore di servizi di triage chiamato Patchs Health, che afferma di supportare oltre 10 milioni di pazienti in tutto il NHS, emerge che è semplicemente il "sub-processore" dei dati responsabile dello sviluppo e mantenimento del software. Il principale processore dei dati incaricato di fornire il servizio è effettivamente un'azienda sostenuta da private equity chiamata Advanced, colpita da un attacco ransomware due anni fa, che ha costretto i servizi del NHS a spegnersi. Similmente all'attacco a UnitedHealth, le credenziali legittime sono state utilizzate per accedere a un server Citrix.

Non c'è bisogno di sforzarsi per vedere i paralleli tra ciò che è successo con UnitedHealth e ciò che potrebbe accadere nel Regno Unito con le varie aziende private che stringono partnership con il NHS.

La Finlandia serve anche come un monito prevegente mentre il NHS si fa sempre più avanti nel settore privato. Chiamata uno dei crimini più grandi del paese, la violazione dei dati di Vastaamo è avvenuta dopo che una società di psicoterapia privata ormai fallita era stata sub-appaltata dal sistema sanitario pubblico finlandese. Aleksanteri Kivimäki ha infiltrato un database insicuro di Vastaamo, e dopo che Vastaamo ha rifiutato di pagare un riscatto in Bitcoin segnalato di €450.000, Kivimäki ha tentato di ricattare migliaia di pazienti minacciando di rilasciare note di terapia intime.

Nell'indagine che è seguita, è emerso che Vastaamo aveva processi di sicurezza totalmente inadeguati. Il suo database pazienti era esposto su internet aperto, inclusi dati sensibili non cifrati come informazioni di contatto, numeri di previdenza sociale e note terapeutiche. L'ombudsman finlandese per la protezione dei dati ha notato che la causa più probabile della violazione era una "porta MySQL non protetta nel database", in cui l'account utente root non era protetto da password. Questo account ha consentito un accesso illimitato al database da qualsiasi indirizzo IP, e il server non aveva alcun firewall in atto.

Nel Regno Unito, ci sono stati forti preoccupazioni su come il NHS stia aprendo l'accesso ai dati. Il partner più noto è arrivato proprio l'anno scorso, quando la società di analisi dei big data sostenuta da Peter Thiel Palantir ha ottenuto ingenti contratti da NHS England per aiutarlo a passare a una nuova Piattaforma Dati Federata (FDP) - molto all'irritazione dei medici e dei sostenitori della privacy dei dati in tutto il paese.

Tutto sembra un qualcosa di inevitabile però. I difensori della privacy urlano e gridano, ma le grandi aziende con molti soldi continuano ad avere le chiavi dei dati sensibili appartenenti a milioni di persone. Vengono fatte promesse, vengono date assicurazioni, vengono implementati processi - poi qualcuno dimentica di impostare una semplice MFA base, o lascia una chiave di criptazione sotto il tappeto, e tutto esplode.

Sciacquare e ripetere.