Fusioni e acquisizioni, non trascurate la cybersecurity: il caso Change Healthcare
Il caso del recente cyberattacco ransomware ai danni di Change Healthcare, che ha causato alla società americana danni diretti e indiretti per quasi 900 milioni di dollari solo nel primo trimestre dell’anno, mette in luce in modo esemplare un classico problema delle fusioni e acquisizioni: la sottovalutazione sistematica delle tematiche di sicurezza IT nelle procedure di integrazione delle due società interessate dalla fusione o acquisizione, con altissimo rischio loro, e anche dei loro clienti.
In questi giorni il CEO del colosso sanitario-assicurativo UnitedHealth Group (la società madre di Change Healthcare) Andrew Witty è in audizione di fronte a una commissione del Senato degli Stati Uniti. Come sottolinea anche l’analisi di CRN, l’attacco ransomware di febbraio ha causato infatti non solo i danni economici appena citati, ma anche una grave interruzione del sistema sanitario statunitense e probabilmente ha compromesso i dati di milioni di cittadini americani.
Tutto è nato da un server senza MFA
Durante l’udienza, Witty ha attribuito diverse volte la colpa dell’attacco subito alle pratiche di sicurezza informatica apparentemente scadenti di Change Healthcare, affermando ripetutamente che l’azienda era stata acquisita solo di recente da UnitedHealth ed era in procinto di essere aggiornata a standard di sicurezza (presumibilmente) più elevati.
Il problema è nato dall’assenza di meccanismi di autenticazione multifattoriale (MFA) su un server di Change Healthcare che, secondo UnitedHealth, ha permesso il successo dell’attacco. L’MFA è considerata una misura di sicurezza di base ormai da molti anni e il senatore statunitense Ron Wyden, democratico che presiede la commissione, ha richiamato l’attenzione su questo passo falso più volte durante l’audizione.
Il fatto che nel 2024 una grande piattaforma sanitaria che detiene dati sensibili di milioni di pazienti non abbia l’MFA su ogni server è infatti inconcepibile. Ma c’è di più. Se le pratiche di sicurezza di Change Healthcare erano così carenti e, come dichiarato da Witty, richiedevano aggiornamenti “estesi”, perché questo non è stato un segnale di allarme per UnitedHealth? E perché si è proceduto comunque all’acquisizione visto il rischio per la sicurezza?
Il livello di sicurezza IT è raramente valutato in una acquisizione
La risposta è che la sicurezza informatica è stata raramente, se non mai, una parte significativa nelle trattative per un’acquisizione o una fusione e, tornando al nostro caso, non sembra proprio che le pratiche di sicurezza di Change Healthcare siano state esaminate in modo serio da UnitedHealth.
La conseguenza più grave è che un’ampia fascia di fornitori di assistenza sanitaria e di pazienti in tutti gli Stati Uniti ha pagato il prezzo dell’errato calcolo del rischio e della leggerezza con cui è avvenuta l’acquisizione di Change Healthcare.
CIO, CISO e DPO devono essere coinvolti nella due diligence
Una lezione importante di questa vicenda è che quando si tratta di acquisizioni e fusioni, sia nel corso delle due diligence e delle valutazioni pre-operazione, sia durante l’integrazione delle aziende acquisite, la sicurezza deve essere una priorità molto più importante di quanto non lo sia stata in passato.
Per dirla ancor più semplicemente, CIO, CISO e DPO devono essere coinvolti nelle trattative e nella gestione di queste pratiche lunghe e complesse, che spesso sono condotte in gran segreto solo da top management e CFO con il rischio di tralasciare aspetti che possono poi portare non solo costi ingenti per le aziende coinvolte, ma anche rischi per la collettività, danni di immagine e gravi sanzioni.