Serangan ransomware yang melanda raksasa asuransi kesehatan Amerika Serikat, UnitedHealth Group, dan anak perusahaannya Change Healthcare adalah mimpi buruk privasi data bagi jutaan pasien AS, dengan CEO Andrew Witty mengkonfirmasi minggu ini bahwa hal itu dapat berdampak pada seperempat negara tersebut.

Namun, hal ini juga harus menjadi panggilan untuk negara-negara di seluruh dunia, termasuk Inggris di mana UnitedHealth sekarang beroperasi melalui akuisisi terbaru perusahaan yang mengelola data dari jutaan pasien NHS (National Health Service).

Sebagai salah satu perusahaan kesehatan terbesar di AS, UnitedHealth dikenal dengan baik di dalam negeri, menyentuh setiap aspek industri kesehatan mulai dari asuransi dan penagihan hingga jaringan dokter dan apotek - ini adalah gergasi senilai $500 miliar, dan perusahaan ke-11 terbesar secara global berdasarkan pendapatan. Tetapi di Inggris, UnitedHealth praktis tidak dikenal, sebagian besar karena tidak memiliki banyak bisnis di seberang lautan - hingga enam bulan yang lalu.

Setelah proses regulasi selama 16 bulan yang berakhir pada bulan Oktober, anak perusahaan UnitedHealth Optum UK, melalui afiliasi yang disebut Bordeaux UK Holdings II Limited, akhirnya mengambil alih EMIS Health dalam kesepakatan senilai $1,5 miliar. EMIS Health menyediakan perangkat lunak yang menghubungkan dokter dengan pasien, memungkinkan mereka untuk membuat janji temu, memesan resep berulang, dan lainnya. Salah satu layanan ini adalah Akses Pasien, yang mengklaim memiliki sekitar 17 juta pengguna terdaftar yang secara kolektif membuat 1,4 juta janji temu dokter keluarga melalui aplikasi tahun lalu dan memesan lebih dari 19 juta resep berulang.

Tidak ada yang mengindikasikan bahwa data pasien Inggris berisiko di sini - ini adalah anak perusahaan yang berbeda, dengan pengaturan yang berbeda, di bawah yurisdiksi yang berbeda. Tetapi menurut kesaksiannya di senat pada hari Rabu, Witty menyalahkan hack itu pada kenyataan bahwa sejak UnitedHealth mengakuisisi Change Healthcare pada tahun 2022, mereka tidak memperbarui sistem mereka - dan di dalam sistem itu terdapat server yang tidak memiliki otentikasi multi-faktor (MFA) diaktifkan.

Kami tahu bahwa peretas mencuri data kesehatan menggunakan "kredensial yang dikompromikan" untuk mengakses portal Citrix Change Healthcare yang seharusnya untuk karyawan mengakses jaringan internal secara remote. Dengan luar biasa, Witty mengatakan perusahaan masih bekerja untuk memahami mengapa MFA tidak diaktifkan, dua bulan setelah serangan terjadi. Hal ini tidak memberikan banyak kepercayaan bagi profesional kesehatan dan pasien di Inggris yang menggunakan EMIS Health di bawah mandat pemilik baru.

Ini bukan kasus yang terisolasi.

Terpisah minggu ini, peretas berusia 25 tahun Aleksanteri Kivimäki dipenjara lebih dari enam tahun karena meretas perusahaan bernama Vastaamo pada tahun 2020, mencuri data kesehatan yang dimiliki ribuan pasien Finlandia dan mencoba memeras dan memeras baik perusahaan maupun pasien yang terkena dampak.

Baik serangan tebusan berhasil atau tidak, pada akhirnya mereka sangat menguntungkan - pembayaran kepada pelaku dilaporkan meningkat menjadi lebih dari $1 miliar pada tahun 2023, tahun yang memecahkan rekor menurut banyak akun. Selama kesaksiannya, Witty mengkonfirmasi laporan sebelumnya bahwa UnitedHealth melakukan pembayaran tebusan sebesar $22 juta kepada peretasnya.

Mengapa geng ransomware menghasilkan begitu banyak uang?

Data kesehatan sebagai komoditas berharga

Tetapi pesan terbesar dari semuanya adalah bahwa data pribadi - terutama data kesehatan - adalah komoditas global yang besar, dan harus dilindungi dengan baik. Namun, kita terus melihat kebersihan keamanan siber yang sangat buruk, yang seharusnya menjadi perhatian bagi semua orang.

Seperti yang ditulis TechCrunch beberapa bulan yang lalu, semakin sulit untuk mengakses bahkan bentuk perawatan kesehatan paling dasar di NHS yang didanai negara tanpa menyetujui memberikan akses data Anda kepada perusahaan swasta - baik itu perusahaan multinasional miliaran dolar, atau startup yang didukung oleh ventura.

Mungkin ada alasan operasional dan praktis yang sah mengapa bekerja dengan sektor swasta masuk akal, tetapi kenyataannya adalah bahwa kemitraan seperti itu meningkatkan permukaan serangan yang dapat ditargetkan oleh pelaku nakal - terlepas dari kewajiban, kebijakan, dan janji-janji apa pun yang dimiliki sebuah perusahaan.

Ingin bertemu dokter NHS? Siapkan data Anda terlebih dahulu.

Banyak loket dokter keluarga di Inggris sekarang meminta pasien untuk menggunakan perangkat lunak triase pihak ketiga untuk membuat janji temu, dan kecuali Anda menyelidiki dengan teliti kebijakan privasi dengan sikat berbulu halus, seringkali tidak jelas dengan siapa pasien sebenarnya melakukan transaksi bisnis.

Memeriksa kebijakan privasi dari salah satu penyedia layanan triase bernama Patchs Health, yang mengatakan mendukung lebih dari 10 juta pasien di seluruh NHS, mengungkapkan bahwa mereka hanya adalah "sub-pemroses" data yang bertanggung jawab untuk mengembangkan dan memelihara perangkat lunak. Pemroses data utama yang dikontrak untuk menyampaikan layanan tersebut sebenarnya adalah perusahaan yang didukung oleh ekuitas swasta yang disebut Advanced, yang diserang oleh serangan ransomware dua tahun lalu, memaksa layanan NHS ditutup. Mirip dengan serangan UnitedHealth, kredensial yang sah digunakan untuk mengakses server Citrix.

Tidak perlu menegakkan mata untuk melihat kemiripan antara apa yang terjadi dengan UnitedHealth dan apa yang bisa terjadi di Inggris dengan berbagai perusahaan swasta yang menjalin kemitraan dengan NHS.

Finlandia juga menjadi pengingat yang relevan saat NHS semakin terlibat dalam ranah swasta. Disebut sebagai salah satu kejahatan terbesar negara itu, pelanggaran data Vastaamo terjadi setelah perusahaan psikoterapi swasta yang sekarang sudah bubar disubkontrak oleh sistem layanan kesehatan publik Finlandia. Aleksanteri Kivimäki meretas basis data Vastaamo yang tidak aman, dan setelah Vastaamo menolak membayar dugaan tebusan Bitcoin €450.000, Kivimäki mencoba memeras ribuan pasien, mengancam akan merilis catatan terapi intim.

Dalam penyelidikan yang berikutnya, Vastaamo ditemukan memiliki proses keamanan yang benar-benar tidak memadai. Basis data pasiennya terbuka di internet terbuka, termasuk data sensitif yang tidak dienkripsi seperti informasi kontak, nomor asuransi sosial, dan catatan terapis. Ombudsman perlindungan data Finlandia mencatat bahwa penyebab terbanyak untuk pelanggaran tersebut adalah \"port MySQL yang tidak dilindungi dalam database\", di mana akun pengguna root tidak dilindungi kata sandi. Akun ini memungkinkan akses database tanpa batas dari alamat IP mana pun, dan server tidak memiliki firewall.

Di Inggris, telah ada kekhawatiran yang terdengar tentang bagaimana NHS membuka akses untuk data. Kemitraan yang paling terkenal terjadi tahun lalu, ketika perusahaan analitik data besar yang didukung oleh Peter Thiel, Palantir, diberikan kontrak besar oleh NHS England untuk membantu melakukan transisi ke Platform Data Federated (FDP) baru - sangat menyebabkan kekagetan dari dokter dan advokat privasi data di seluruh negara.

Semua ini tampaknya agak tidak terhindarkan. Para advokat privasi bersorak dan berteriak, tetapi perusahaan besar dengan banyak uang terus mendapatkan akses ke data sensitif yang dimiliki jutaan orang. Janji dibuat, jaminan diberikan, proses diimplementasikan - kemudian seseorang lupa untuk mengatur MFA dasar, atau mereka meninggalkan kunci enkripsi di bawah keset, dan semuanya meledak.

Bersihkan dan ulangi.