مدیر عامل UnitedHealth از حمله سایبری انتقاد کرد

در جلسه پرتنش سنا در روز چهارشنبه، قانونگذاران به شدت از مدیریت UnitedHealth Group با حمله سایبری که سیستم مراقبت بهداشتی ایالات متحده را فلج کرد، انتقاد کردند و دلیل آن را شکست سیستم های امنیتی آن و افشای احتمالی اطلاعات حساس پزشکی میلیون ها آمریکایی دانستند.

سناتورهای دموکرات و جمهوری خواه این سوال را مطرح کردند که آیا حمله سایبری Change Healthcare، که یک سوم از کل سوابق بیماران ایالات متحده و حدود 15 میلیارد تراکنش در سال را مدیریت می کند، بسیار گسترده بوده است، زیرا UnitedHealth تقریباً در هر جنبه ای از مراقبت های پزشکی کشور بسیار عمیق است.

گروه UnitedHealth که در سال 2023 درآمد 372 میلیارد دلاری را گزارش کرد و یکی از بزرگترین شرکت های کشور است، نه تنها مادر Change بلکه مادر بزرگترین بیمه سلامت کشور و یک مدیر بزرگ مزایای داروخانه (OptumRx) است. یونایتد همچنین نزدیک به یک نفر از هر 10 پزشک در این کشور نظارت دارد.

سناتور ران وایدن، دموکرات اورگان که رئیس کمیته مالی است، گفت: هک Change یک هشدار هولناک در مورد عواقب شرکت‌های بزرگ «بیش از حد بزرگ برای شکست» است که سهام بزرگ‌تر و بزرگ‌تر سیستم مراقبت‌های بهداشتی را غارت می‌کنند. .

سیستم بهداشتی ایالات متحده پس از حمله 21 فوریه به Change، که به عنوان بزرگراه دیجیتال بین بیمه‌گران سلامت و بیمارستان‌ها و پزشکان عمل می‌کند، دچار هرج و مرج شد. بیماران نمی‌توانستند نسخه‌ها را پر کنند و بیمارستان‌ها و پزشکان با مشکل شدید نقدینگی مواجه بودند، زیرا نمی‌توانستند هزینه مراقبت خود را پرداخت کنند.

قانونگذاران کنگره برای کسب اطلاعات بیشتر در مورد چگونگی وقوع هک و اقداماتی که UnitedHealth برای رسیدگی به آن انجام می‌داد فریاد زده‌اند، و این شرکت ماه گذشته درخواستی برای حضور در کمیته فرعی بهداشت مجلس نمایندگان را رد کرد. روز چهارشنبه، اندرو ویتی، مدیر اجرایی UnitedHealth برای شهادت در مقابل کمیته مالی سنا و هیئتی از کمیته انرژی و بازرگانی مجلس نمایندگان احضار شد.

در بعد از ظهر، قانونگذاران مجلس نگرانی های خود را، به ویژه با توجه به مقیاس عظیم شرکت، بیان کردند. کتی مک موریس راجرز، نماینده جمهوری خواه واشنگتن که رئیس کمیته مجلس نمایندگان است، با توصیف “خزش فزاینده UnitedHealth به هر گوشه از سیستم مراقبت های بهداشتی ما”، گفت که اقدامات این شرکت احتمالا به “مطالعه موردی سوء مدیریت بحران تبدیل خواهد شد.”

در صبح، آقای ویتی از تلاش های شرکت برای بازگرداندن خدمات دفاع کرد و عذرخواهی کرد.

وی گفت: “در نتیجه این حمله سایبری مخرب، بیماران و ارائه دهندگان اختلالاتی را تجربه کرده اند و مردم نگران داده های سلامت خصوصی خود هستند.” برای همه کسانی که تحت تاثیر قرار گرفته اند، اجازه دهید خیلی واضح بگویم: من عمیقا، عمیقا متاسفم.

اما آقای ویتی امنیت دیجیتال ضعیفی را که هکرها را قادر می‌سازد وارد شبکه Change شوند، از جمله یک طرح پشتیبان ناکافی، تصدیق کرد و پذیرفت که یونایتد تلاش‌های اولیه برای کمک به پوشش پرداخت‌ها برای ارائه‌دهندگان را زیر پا گذاشته است.

همین هفته گذشته، یونایتد شروع به فاش کرد که هکرها به برخی از داده‌های بیماران دسترسی پیدا کرده‌اند، اگرچه آقای ویتی به سناتورها گفت که مدت زیادی طول می‌کشد تا شرکت درک کاملی از میزان گستردگی این نقض اطلاعات بیمار داشته باشد.

آقای Wyden به ویژه از اطلاعات کمی که یونایتد به مصرف کنندگان ارائه کرده است ابراز ناامیدی کرد. وی افزود: «آمریکایی‌ها هنوز در تاریکی به سر می‌برند که چقدر از اطلاعات حساس آنها به سرقت رفته است. او تلاش های شرکت برای ارائه نظارت بر اعتبار را رد کرد و آن را “افکار و دعای نقض داده ها” خواند.

وی همچنین بر نگرانی در مورد افشای اطلاعات حساس پزشکی در مورد پرسنل نظامی فعال تحت پوشش این شرکت تاکید کرد و آن را “یک تهدید آشکار امنیت ملی” خواند.

آقای ویتی گفت که UnitedHealth در حال کار با تنظیم‌کننده‌ها برای تعیین زمان و نحوه شروع ارتباط با افرادی است که تحت تأثیر قرار گرفته‌اند.

او گفت: «ما می‌خواهیم سعی کنیم از ارتباطات مقطعی اجتناب کنیم.

یونایتد مجبور شد سیستم‌های Change را برای چند هفته به طور کامل خاموش کند، و این امر باعث تبادل آزمایشی بین سناتورها و آقای ویتی در مورد سرعت بازپرداخت هزینه‌ها به بیمارستان‌ها و سایر ارائه‌دهندگان شد.

آقای ویتی به سناتورها گفت که “جریان ادعاها در سراسر کشور اساساً به حالت عادی بازگشته است.” آقای Wyden گفت که او از ارائه دهندگانی که در فوریه ادعاهایی را ارائه کردند شنیده است که بازپرداخت هزینه حداقل تا ژوئن طول می کشد.

آقای ویتی گفت: “ما می توانیم کاملاً سریعتر از آن حرکت کنیم.”

آقای وایدن پاسخ داد: «عملاً هر ارائه‌دهنده‌ای که من با آن برخورد می‌کنم منتظر دریافت پول است.

دقایقی بعد، سناتور مارشا بلکبرن، جمهوری خواه تنسی، آقای وایدن را تکرار کرد و آقای ویتی را متهم کرد که تصویری “گلگون” از روند بازپرداخت ارائه کرده است و گفت که دفتر او توسط تماس های ارائه دهندگان بهداشتی که منتظر پرداخت هستند بمباران شده است.

خانم بلکبرن خاطرنشان کرد که یکی از بیمارستان‌های این ایالت دارای مطالبات معوقه مدیکر معادل یک ماه درآمد بود.

هر روز برای دریافت به‌روزرسانی تماس می‌گیرند. هر روز زنگ میزنن و آنها هر روز و به طور مکرر فرار می کنند. “مثل اینکه همه شما نمی توانید این را بفهمید.”

آقای ویتی همچنین اذعان کرد که این شرکت 22 میلیون دلار باج به مهاجمان پرداخت کرده است و گفت: «تصمیم برای پرداخت باج با من بود. این یکی از سخت‌ترین تصمیم‌هایی بود که گرفتم.»

FBI و سایر مقامات در حال بررسی این هک هستند.

UnitedHealth به دلیل محتاط بودن در مورد جزئیات حمله مورد انتقاد قرار گرفته است.

آقای وایدن به آقای ویتی گفت: «شما از نظر مسئولیت‌پذیری شخصی در سراسر نقشه بوده‌اید. “شما پیوسته نقش خود را در این امر کمرنگ کرده اید.”

آقای وایدن گفت که UnitedHealth در اجرای اساسی ترین نوع اقدام امنیت سایبری – به اصطلاح احراز هویت چند عاملی – شکست خورده است.

آقای ویتی گفت که از روز چهارشنبه، همه «سیستم‌های روبه‌روی خارجی» UnitedHealth این نوع احراز هویت را به کار می‌گیرند. او افزود، این شرکت همچنین گروه های خارجی را برای انجام اسکن بیشتر از فناوری شرکت وارد کرده بود و Mandiant، یک شرکت امنیت سایبری را به عنوان مشاور استخدام کرده بود.

سناتور تام تیلیس، جمهوری‌خواه کارولینای شمالی، در حالی که نسخه‌ای از کتاب «هک برای آدمک‌ها» را در دست داشت، گفت: «این چند چیز اساسی است که از قلم افتاده است».

این جلسه به آقای ویتی فرصت داد تا جدول زمانی دقیق تری از هک و پاسخ به آن ارائه دهد.

مجرمان سایبری در 12 فوریه، 9 روز قبل از اینکه UnitedHealth متوجه شود که باید آنها را خاموش کند، به سیستم‌های Change دسترسی پیدا کردند. آقای ویتی تاکید کرد که این شرکت به سرعت از گسترش حمله فراتر از Change به شرکت مادر یا هر یک از واحدهای دیگر آن مانند Optum یا بیمه‌گر سلامت جلوگیری کرد. او گفت: «ما محدوده انفجار را فقط برای تغییر مهار کردیم.

آقای ویتی همچنین استدلال کرد که آسیب پذیری سیستم مراقبت های بهداشتی در برابر هک بسیار فراتر از یونایتد است. او گفت که چون یونایتد سیستم Change را فقط 18 ماه پیش خریداری کرد، نتوانست به طور کامل «فناوری‌های قدیمی» Change را که آن را در برابر هک آسیب‌پذیر می‌کرد، اصلاح کند.

آقای ویتی در نقطه دیگری از جلسه گفت که با ارائه دهندگانی که تمایلی به استفاده مجدد از Change ندارند، همدردی می کند.

او گفت: «دلیل اینکه بازیابی بیشتر از آنچه انتظار دارید طول کشیده این است که ما به معنای واقعی کلمه این پلتفرم را از ابتدا ساخته‌ایم، تا بتوانیم به مردم اطمینان دهیم که عناصری از محیط مورد حمله قدیمی در فناوری جدید وجود ندارد.»

تصاحب شبکه Change توسط یونایتد در سال 2022 توسط برخی از سناتورها به عنوان نمونه ای از ادغام انبوه در صنعت مراقبت های بهداشتی متوقف شد. وزارت دادگستری که بر بیمه‌گران سلامت نظارت می‌کند، سعی کرد از خرید Change توسط یونایتد جلوگیری کند، اما نتوانست یک قاضی فدرال را متقاعد کند که این معامله ضدرقابتی است.

این دپارتمان تحقیقات گسترده تری را در مورد اینکه آیا فعالیت های شرکت مانع رقابت می شود، باز کرده است.

سناتور الیزابت وارن، دموکرات ماساچوست، UnitedHealth را “انحصار استروئیدها” نامید و بیش از یک بار اشاره کرد که یازدهمین شرکت بزرگ در جهان است.

او یونایتد را متهم کرد که از هرج و مرج ایجاد شده توسط هک برای به دست آوردن بیشتر پزشکان استفاده می کند و گفت که اکنون از هر 10 پزشک کشور یک نفر را تحت نظر دارد.

آقای ویتی با اشاره به بخش هایی که یونایتد در آنها تجارت نمی کرد، ادعاهای خود را رد کرد. او گفت: «با وجود بزرگی، ما هیچ بیمارستانی در آمریکا نداریم و هیچ تولیدکننده دارو نداریم.

مقامات بهداشت فدرال همچنین در حال بررسی این موضوع هستند که آیا قوانین حفظ حریم خصوصی حاکم بر سوابق پزشکی آمریکایی ها باید سختگیرانه تر باشد یا خیر. قانونگذاران خاطرنشان کردند که شرکت‌های مراقبت‌های بهداشتی از آسیب‌پذیرترین شرکت‌ها در برابر حملات سایبری هستند و برخی به دلیل هک شدن داده‌های بیماران جریمه پرداخت کرده‌اند.

همین هفته گذشته، Kaiser Permanente به 13.4 میلیون نفر اطلاع داد که ممکن است اطلاعات شخصی آنها در صورتی که داده ها به طور ناخواسته با اشخاص ثالث مختلف به اشتراک گذاشته شده باشد، نقض شده است.

.