其他
并购经营忽视网络安全,这家全球巨头CEO被美国国会公开质询
关注我们
带你读懂网络安全
联合健康集团首席执行官接受美国参议院质询,揭示了收购网络安全实践落伍公司的风险。
前情回顾·美国医疗业惊天勒索案动态
联合健康CEO反复赘述
收购公司的网络安全很差
上周三,美国参议院委员会对联合健康集团首席执行官Andrew Witty 进行了长时间的质询。在听证会期间,Witty频频表示Change Healthcare的网络安全实践过于差劲,反复赘述该公司“最近”才被纳入联合健康集团旗下,并且“正在进行升级”,以达到这家保险巨头(据称)更高的安全标准。问题的关键是Change Healthcare服务器缺乏多因素身份验证。根据联合健康集团的说法,这正是造成攻击成功的原因。多年来,多因素身份验证一直被视为基本安全措施。在听证会期间,美国民主党参议员、参议院财政委员会主席Ron Wyden多次提及这一失误。例如,他和Witty有如下交锋:Wyden:“我们仍然需要了解,您是否知道您(在这个服务器上)没有启用多因素身份验证。您知情吗?”Witty:“绝对不知情。”Wyden:“为什么不知情?”Witty:“因为这家公司最近才纳入集团,并没过多久,正在进行升级。”Wyden:“为什么你没有将它(启用多因素身份验证)作为首要事项?”Witty:“我的理解是,Change Healthcare并入集团后,需要进行大量的现代化改造。不幸的是,这个服务器在遭受攻击之前还没来得及部署多因素身份验证。”
并购忽视网络安全
带来的惨痛教训
Wyden这样提问并没有错。如此重要的医疗健康平台,在2024年都没有一台服务器启用多因素身份验证,确实相当差劲。其实,联合健康集团子公司Optum在2022年10月就完成了对Change Healthcare的收购,足足有一年多的时间帮助其达到安全标准。退一步说,既然Change Healthcare的安全实践如此差劲,用Witty的话说,需要进行“大量”的升级,那么联合健康集团为什么不将其视作警示信号呢?既然安全风险如此之高,他们为什么还要进行收购呢? 这其实是非常容易回答的问题:这类业务层面的谈判很少,甚至从来就不认真考虑网络安全问题。在并购过程中,Change Healthcare的安全实践似乎并没有受到任何认真的审查。即便有审查,联合健康集团的收购者可能满眼只有金钱,却看不到风险。正如听证会上多位参议员指出的那样,由于联合健康集团错误地计算风险、在Change Healthcare的安全升级上行动迟缓,这家保险巨头付出了代价。更为不幸的是,此举还累及了美国各地大量医疗健康提供者商患者。因此,对于任何关注Change Healthcare事件的人来说,与网络安全相关的教训是显而易见的(无论如何,一定要启用多因素身份验证!)。但也有一些并不那么明显却很重要的教训。比如,当涉及并购时,无论是审查潜在的交易还是整合收购的公司,现在必须比以往更加强调安全。如果为公司和民众们做正确的事情还不足以激励他们,那些在并购中忽视安全的人还应该意识到,一两年后他们很可能会受到美国参议员的严厉指责。
参考资料:crn.com
推荐阅读