查看原文
其他

并购经营忽视网络安全,这家全球巨头CEO被美国国会公开质询

安全内参编译 安全内参
2024-08-29

关注我们

带你读懂网络安全


联合健康集团首席执行官接受美国参议院质询,揭示了收购网络安全实践落伍公司的风险。


前情回顾·美国医疗业惊天勒索案动态
安全内参5月7日消息,美国联合健康集团旗下Change Healthcare网络攻击事件带来了许多教训,其中一条教训在近期变得格外明确:在并购过程中忽视网络安全问题,就等于是自寻烦恼。这不仅危及自身,还危害了其他所有人。今年2月,联合健康集团旗下的处方处理商Change Healthcare遭到勒索软件攻击,给美国医疗保健系统带来了巨大的混乱,并可能泄露了数百万美国人的数据。


联合健康CEO反复赘述


收购公司的网络安全很差


上周三,美国参议院委员会对联合健康集团首席执行官Andrew Witty 进行了长时间的质询。在听证会期间,Witty频频表示Change Healthcare的网络安全实践过于差劲,反复赘述该公司“最近”才被纳入联合健康集团旗下,并且“正在进行升级”,以达到这家保险巨头(据称)更高的安全标准。问题的关键是Change Healthcare服务器缺乏多因素身份验证。根据联合健康集团的说法,这正是造成攻击成功的原因。多年来,多因素身份验证一直被视为基本安全措施。在听证会期间,美国民主党参议员、参议院财政委员会主席Ron Wyden多次提及这一失误。例如,他和Witty有如下交锋:Wyden:“我们仍然需要了解,您是否知道您(在这个服务器上)没有启用多因素身份验证。您知情吗?”Witty:“绝对不知情。”Wyden:“为什么不知情?”Witty:“因为这家公司最近才纳入集团,并没过多久,正在进行升级。”Wyden:“为什么你没有将它(启用多因素身份验证)作为首要事项?”Witty:“我的理解是,Change Healthcare并入集团后,需要进行大量的现代化改造。不幸的是,这个服务器在遭受攻击之前还没来得及部署多因素身份验证。”


并购忽视网络安全


带来的惨痛教训


Wyden这样提问并没有错。如此重要的医疗健康平台,在2024年都没有一台服务器启用多因素身份验证,确实相当差劲。其实,联合健康集团子公司Optum在2022年10月就完成了对Change Healthcare的收购,足足有一年多的时间帮助其达到安全标准。退一步说,既然Change Healthcare的安全实践如此差劲,用Witty的话说,需要进行“大量”的升级,那么联合健康集团为什么不将其视作警示信号呢?既然安全风险如此之高,他们为什么还要进行收购呢? 这其实是非常容易回答的问题:这类业务层面的谈判很少,甚至从来就不认真考虑网络安全问题。在并购过程中,Change Healthcare的安全实践似乎并没有受到任何认真的审查。即便有审查,联合健康集团的收购者可能满眼只有金钱,却看不到风险。正如听证会上多位参议员指出的那样,由于联合健康集团错误地计算风险、在Change Healthcare的安全升级上行动迟缓,这家保险巨头付出了代价。更为不幸的是,此举还累及了美国各地大量医疗健康提供者商患者。因此,对于任何关注Change Healthcare事件的人来说,与网络安全相关的教训是显而易见的(无论如何,一定要启用多因素身份验证!)。但也有一些并不那么明显却很重要的教训。比如,当涉及并购时,无论是审查潜在的交易还是整合收购的公司,现在必须比以往更加强调安全。如果为公司和民众们做正确的事情还不足以激励他们,那些在并购中忽视安全的人还应该意识到,一两年后他们很可能会受到美国参议员的严厉指责。


参考资料:crn.com


推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


继续滑动看下一个
安全内参
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存