מערכת מחשוב תכנית הבריאות האמריקנית HealthCare.gov נפרצה
This post is also available in: 
English (אנגלית)
אתר האינטרנט של תוכנית הרפורמה בבריאות האמריקנית, פרויקט הדגל של הנשיא אובמה, נפרץ – אך נראה שלא נגנב מתוכו כל מידע. האתר, הנותן שירות לכחמישה מליון משתמשים, ממשיך לסבול ממה שמכונה "כאבי גדילה". בהודעה שפרסם הבית הלבן ברביעי בספטמבר נאמר כי הפורטל HealthCare.gov הותקף. עוד נאמר בהודעה, כי למרות שההתקפה בוצעה כבר בשמיני ביולי, רק ב-25 באוגוסט – כחודש וחצי מאוחר יותר – היא התגלתה וכפי הנראה כל אינפורמציה פרטית לא נחשפה או דלפה.
התוקפים התקינו תכנה זדונית בשרתי הפורטל, בעזרתה ניתן היה לתקוף גם אתרי אינטרנט אחרים ע"י התחזות והזדהות לאתר לגיטימי HealthCare.gov. המחלקה לבריאות ושירותים (HSS) במנהל הבריאות האמריקני, כי נקודת החדירה לרשת המחשוב של הפורטל לא היתה מוגנת ב'חומת אש' (Firewall – תוכנת הגנה המסננת גישות בלתי מורשות לשרתים, ע"פי רשימה מוכנה מראש של היתרים, ד.ל, מערכת i-HLS) או מנוטרת על ידי תוכנות המבקרות חדירות בלתי מורשות (Intrusion Detection).
החדירה התגלתה באקראי, במסגרת סריקה ידנית לא מתוזמנת שבוצעה חודש וחצי אחרי שהחלה התקיפה.
מן המשרד לבטחון המולדת נמסר שרק שרת אחד של מערך המחשוב של תכנית הבריאות הותקף וכי אין כל עדויות שנעשה שימוש בזהות שלו על מנת לתקוף אתרים או שרתים אחרים ברשת. גורמים המנהלים את הפורטל ממשיכים בחקירת האירוע בשיתוף רשויות אכיפת החוק בארה"ב.
"נראה כי כי הפריצה הזו לרשת המחשוב של תכנית הבריאות היא בבואה של מגזר הבריאות בכללותו" אומר ג'ון פסקאטור, מנהל בכיר במכון SANS המתמחה בחקר מגמות בטחוניות. כל הדוחות מצביעים על כך שלא הייתה כוונה ספציפית לתקוף דווקא את פורטל הבריאות. התבצעה סריקה, כנהוג בקרב האקרים, המחפשת נקודות תורפה לא מוגנות – ואחת כזו נמצאה בקלות. השרת שהותקף שימש לבדיקות המערכת. מדובר ברשת המחשוב של הפורטל למטרות ניסוי ובדיקה (של גירסאות או תכונות חדשות לדוגמא, ד.ל, מערכת i-HLS).
מר פסקאטור הוסיף ואמר כי "על שרת הבדיקות לא הופעלו כל אמצעי ניטור או מיגון ולמעשה אין כל סיבה לחבר אותו באופן קבוע לרשת האינטרנט," וכי "ישנו לחץ להעביר את הרשומות הרפואיות מתיקים פיזיים לנתונים ממוחשבים, ובמהירות, מכיוון שהתהליך גורם לקופות החולים האמריקניות להפחתת עלויות על ידי מיכון תהליכים בירוקרטים, כמו קביעת תורים ואופטימיזציה של משאבים רפואיים. אבטחת המערכת הממוחשבת של HealthCare.gov אינה יכולה להיחשב כמצויינת, בדומה לכל מה שקורה באבטחת המידע הרפואי במגזר הבריאות האמריקני".
