4 نکته که باید درباره حملات سایبری مراقبت های بهداشتی بدانید

از


حمله سایبری اخیر به بخش عظیم صورت‌حساب و پرداخت Change Healthcare نشان داد که آسیب‌پذیری‌ها در سراسر سیستم مراقبت‌های بهداشتی ایالات متحده چقدر جدی است و رهبران صنعت و سیاست‌گذاران را نسبت به نیاز فوری به امنیت دیجیتال بهتر آگاه کرد.

بیمارستان‌ها، بیمه‌های سلامت، کلینیک‌های پزشک و سایر افراد در این صنعت به طور فزاینده‌ای هدف هک‌های قابل توجهی قرار گرفته‌اند که به حمله به Change، واحدی از گروه بزرگ UnitedHealth، در 21 فوریه ختم شد.

حمله باج افزار به بزرگترین مرکز تسویه حساب کشور، که یک سوم پرونده های بیماران را کنترل می کند، اثرات گسترده ای داشت. رفع و راه‌حل‌ها تا حدودی ناراحتی‌ها را کاهش داده‌اند، اما ارائه‌دهندگان هنوز نمی‌توانند میلیاردها دلار پرداخت را جمع‌آوری کنند. بسیاری از بیمارستان‌های کوچکتر و مطب‌های پزشکی، بیش از یک ماه پس از اینکه Change مجبور شد بسیاری از سیستم‌های خود را خاموش کند، همچنان در دریافت حقوق با مشکل مواجه هستند.

حتی در حال حاضر، اطلاعات بسیار کمی در مورد ماهیت و دامنه دقیق حمله فاش شده است. UnitedHealth گفت که بیش از 3 میلیارد دلار به ارائه دهندگان در حال مبارزه پرداخت کرده است، و انتظار دارد که خدمات بیشتری از Change در هفته های آینده در دسترس باشد زیرا این سیستم ها را دوباره به حالت آنلاین بازگرداند.

FBI و وزارت بهداشت و خدمات انسانی در حال بررسی هک Change هستند، از جمله اینکه آیا سوابق و اطلاعات شخصی بیماران به خطر افتاده است یا خیر. از آنجایی که شبکه Change به عنوان یک تابلوی دیجیتال عمل می کند که اطلاعات اولین ویزیت بیمار به پزشک را به تشخیصی مانند سرطان یا افسردگی و سپس درمان بعدی به بیمه سلامت برای دریافت مزایا و پرداخت ها متصل می کند، این خطر وجود دارد که تاریخچه پزشکی افراد برای سال ها در معرض نمایش قرار گیرد. .

حمله به تغییر تنها گسترده‌ترین نمونه از چیزی است که تقریباً در صنعت مراقبت‌های بهداشتی رایج شده است. به گفته شرکت امنیت داده Emsisoft، حملات باج‌افزاری، که در آن مجرمان سیستم‌های رایانه‌ای را خاموش می‌کنند، مگر اینکه مالکان به هکرها پولی پرداخت کنند، سال گذشته بر 46 سیستم بیمارستانی تأثیر گذاشت که این رقم در سال 2022، 25 بود. هکرها همچنین شرکت‌هایی را که خدماتی مانند رونویسی پزشکی و صورت‌حساب را ارائه می‌دهند، در سال‌های اخیر حذف کرده‌اند.

مشاوران امنیت سایبری و مقامات دولتی به طور مداوم مراقبت های بهداشتی را به عنوان بخشی از اقتصاد ایالات متحده که بیشترین آسیب را در برابر حملات دارد و به اندازه انرژی و آب بخشی از زیرساخت های حیاتی کشور معرفی کرده اند.

دی جی پاتیل، رئیس فناوری شرکت بیمه Devoted Health و دانشمند ارشد سابق اداره سیاست علم و فناوری فدرال، گفت: همه ما باید وحشت داشته باشیم. او و دیگران بر محافظت ناکافی در سیستم‌های بهداشتی ایالات متحده تأکید کردند، علی‌رغم رویدادهای دراماتیکی مانند حمله باج‌افزار در سال 2017 که سوابق پزشکی را در سرویس بهداشت ملی در بریتانیا قفل کرد و منجر به اختلال گسترده برای بیماران شد.

ارول ویس، مدیر ارشد امنیت مرکز تجزیه و تحلیل و اشتراک‌گذاری اطلاعات سلامت، که او آن را به‌عنوان یک دیده‌بان محله‌ای مجازی برای صنعت توصیف کرد، گفت: «کل بخش در مورد امنیت سایبری و امنیت اطلاعات به شدت کمبود منابع دارد.

حمله Change توجه دولت را بیشتر به این مشکل جلب کرده است. کاخ سفید و آژانس های فدرال جلسات متعددی با مقامات این صنعت برگزار کرده اند. قانونگذاران کنگره نیز تحقیقات را آغاز کرده اند و سناتورها اندرو ویتی، مدیر اجرایی UnitedHealth را برای شهادت فراخوانده اند.

بخش مالی برای شناسایی و تقویت مناطق آسیب پذیر تلاش کرده است تا کمتر مستعد حملات سیستمیک شود. اریک دکر، افسر ارشد امنیت اطلاعات Intermountain Health، یک سیستم بهداشتی منطقه‌ای بزرگ که مقر آن در دریاچه نمک است، گفت: «مراقبت‌های بهداشتی از طریق نقشه‌برداری برای درک دقیق نقاط خفگی که در معرض خطر هک هستند، مراقبت‌های بهداشتی را طی نکرده است». شهر.

آقای دکر که همچنین به عنوان رئیس یک گروه کاری بخش خصوصی در زمینه امنیت سایبری در مراقبت های بهداشتی که به دولت فدرال مشاوره می دهد، گفت: “ما درسی آموخته ایم – باید این کار را انجام دهیم.”

وال استریت و سیستم بانکی کشور انگیزه های مالی قوی برای تقویت سیستم دفاعی خود داشته اند، زیرا یک هکر می تواند پول آنها را بدزدد و این بخش با مقررات سختگیرانه دولتی مواجه است.

هک مراقبت های بهداشتی می تواند عواقب مرگباری داشته باشد.

مطالعات نشان داده است که مرگ و میر بیمارستانی پس از حمله افزایش می یابد. به عنوان مثال، پزشکان نمی توانند مراقبت های پزشکی گذشته را بررسی کنند، یادداشت هایی را به همکاران ارسال کنند یا آلرژی های بیمار را بررسی کنند.

جراحی های برنامه ریزی شده لغو می شوند و گاهی اوقات آمبولانس ها حتی در مواقع اضطراری به بیمارستان های دیگر منتقل می شوند زیرا حمله سایبری باعث اختلال در ارتباطات الکترونیکی یا سوابق پزشکی و سایر سیستم ها شده است. تحقیقات نشان می‌دهد که هک‌ها یک اثر آبشاری دارند و کیفیت مراقبت را در بیمارستان‌های مجاور که مجبور به پذیرش بیماران اضافی هستند، پایین می‌آورند.

استیو کاگل، مدیر اجرایی Clearwater، یک شرکت پیروی از مراقبت های بهداشتی، گفت: «امنیت سایبری به یک مسئله ایمنی بیمار تبدیل شده است.

در برخی موارد، هکرها داده های حساس سلامت بیمار را عمومی کرده اند. شبکه بهداشت و درمان Lehigh Valley از پرداخت باج که توسط همان نهاد مظنون حمله به Change Healthcare درخواست شده بود، خودداری کرد. بر اساس شکایت یکی از قربانیان، هکرها سپس عکس های برهنه بیماران تحت درمان سرطان سینه را به صورت آنلاین منتشر کردند. صدها عکس از بیماران به سرقت رفت.

سوابق پزشکی می توانند چندین برابر مقدار پولی که یک کارت اعتباری دزدیده شده انجام می دهد، دریافت کند. و برخلاف کارت اعتباری که می توان آن را به سرعت لغو کرد، اطلاعات پزشکی فرد را نمی توان تغییر داد.

جان ریگی، مشاور ملی امنیت سایبری و ریسک انجمن بیمارستان‌های آمریکا، یک گروه تجاری، گفت: «ما نمی‌توانیم تشخیص شما را لغو کنیم و تشخیص جدیدی برای شما ارسال کنیم.

اما او همچنین گفت که سوابق دارای ارزش هستند “زیرا مرتکب تقلب در مراقبت های بهداشتی آسان است.” بیمه‌گران سلامت، بر خلاف بانک‌ها، اغلب از روش‌های دقیق برای کشف تقلب استفاده نمی‌کنند و این امر ارائه ادعاهای نادرست را آسان می‌کند.

افرادی که نگران شماره های تامین اجتماعی و سایر اطلاعات مالی دزدیده شده هستند، می توانند در یک آژانس نظارت بر اعتبار ثبت نام کنند، اما اگر اطلاعات سلامت شخصی آنها به سرقت رفته باشد، بیماران حق رجوع کمی ندارند.

شبکه‌های بیمارستانی و سایر گروه‌های مراقبت‌های بهداشتی نیز برای محدود کردن مواجهه با بیماران به سرعت باج پرداخت کرده‌اند، تصمیمی که تنها به هکرها پاداش می‌دهد و تشویق می‌کند. FBI به اهداف حملات باج‌افزار توصیه می‌کند که پولی نپردازند، اما بیشتر بیمارستان‌ها این کار را می‌کنند زیرا ریسک‌ها بسیار زیاد است. طبق گزارش Wired، در مورد Change Healthcare، گفته می شود که این شرکت 22 میلیون دلار باج پرداخت کرده است.

علیرغم خطر، بیمارستان‌های کوچکتر و مطب‌های پزشکان اغلب پول لازم برای پرداخت اقدامات امنیتی پیشرفته یا تخصص لازم برای بررسی تهدیدات جدی را ندارند.

و فن آوری قدیمی تر به ندرت با آخرین استانداردهای امنیت سایبری سازگار است. مجموعه‌ای از محصولات و فروشندگان متصل، درهای جانبی دیجیتال را باز می‌گذارند و هکرها را فریب می‌دهند. از آنجایی که هک‌ها تا حد زیادی سیستم‌های بیمارستانی را قبل از توقف تغییر هدف قرار داده بودند، گروه‌ها خطر خود را دست کم گرفتند.

جکی مونسون، معاون ارشد سلامت ساتر و رئیس کمیته ملی آمار حیاتی و سلامت، گفت: «مردم باید تصمیم بگیرند که در چه چیزی سرمایه‌گذاری کنند، و امنیت سایبری معمولاً در صدر فهرست نیست. ”

چارچوب نظارتی نیز قدیمی و پراکنده است. بیمارستان ها مجاز به انتخاب از میان طیف وسیعی از استانداردهای امنیتی هستند و هیچ ممیزی قبلی برای انطباق وجود ندارد.

امنیت دیجیتال بین دفاتر مختلف در داخل HHS تقسیم شده است، و بسیاری از قدرت نظارتی آژانس هنوز به قانون 1996 متکی است که قبل از توسعه سیستم‌های سلامت دیجیتال مدرن یا ظهور هک باج‌افزار نوشته شده بود. تمرکز نظارتی دولت به جای تقویت در برابر حملات، بر حفظ حریم خصوصی و انطباق بوده است.

مقررات امنیت داده‌های بیمه‌گر حتی مبهم‌تر است، زیرا بیمه‌های سلامت عمدتاً در سطح ایالتی تنظیم می‌شوند. خانم مونسون گفت، بسیاری از فروشندگان مانند Change که خدمات دیجیتالی را به بیمارستان ها ارائه می دهند اما خود ارائه دهندگان مراقبت های بهداشتی نیستند نیز می توانند از شکاف های نظارتی عبور کنند.

ممکن است تغییر کند. دولت بایدن از HHS می خواهد تا اطمینان حاصل کند که بیمارستان ها از محافظت کافی برخوردار هستند. دولت همچنین در حال بررسی بازنگری در مقررات مربوط به نحوه اشتراک گذاری داده های بهداشتی است و ممکن است قوانین شفاف تری را برای اقدامات امنیتی دیجیتال برای بیمارستان ها وضع کند.

سناتور ران وایدن از اورگان، رئیس دموکرات کمیته مالی سنا، علاقه خود را برای ایجاد قوانین جدید سخت‌تر نشان داده است.

او در جریان یک جلسه استماع اخیر در مورد بودجه رئیس جمهور گفت: «امروزه هیچ استاندارد فنی اجباری فدرال امنیت سایبری برای صنعت مراقبت های بهداشتی وجود ندارد، حتی با وجود اینکه مردم برای سال ها در مورد آن صحبت می کنند، چیزی شبیه به دهه ها». من می خواهم واضح بگویم: اکنون باید تغییر کند.

به‌روزرسانی سیستم‌های سراسری ممکن است گران باشد، به‌ویژه برای سازمان‌های کوچک‌تر که با بودجه‌های محدود کار می‌کنند. زمانی که 20 سال پیش دولت بیمارستان ها را ملزم به رعایت استانداردهای امنیت سایبری برای تنظیم پرونده الکترونیک سلامت کرد، قوانین سختگیرانه ای را با مشوق های مالی عمده همراه کرد.

دولت بایدن 800 میلیون دلار اولیه برای کمک به بهبود سیستم بیمارستانی به عنوان بخشی از پیشنهاد بودجه اخیر خود درخواست کرده است. اما مشخص نیست که آیا کنگره امروز می‌تواند یا مایل به تامین بودجه برای نوسازی باشد.

و برخی از بیمارستان‌ها همچنان به هزینه‌های خود برای آخرین فناوری MRI یا تعداد بیشتری از پرستاران از طریق حفاظت‌های دیجیتالی دقیق ادامه خواهند داد.

ایلیانا پیترز، یک مقام سابق بهداشت فدرال متخصص در امنیت داده ها، گفت: “بدون منابع اضافی برای بالا بردن سطح، آن ارائه دهندگان مراقبت های بهداشتی و آن دسته از پرداخت کنندگان مراقبت های بهداشتی به انتخاب خود برای پرداخت هزینه های درمان یا امنیت سایبری ادامه می دهند.” یک وکیل در Polsinelli، یک شرکت حقوقی در واشنگتن دی سی

  • حمله سایبری بر صورت‌حساب مراقبت‌های بهداشتی ویران می‌کند
  • آنچه باید در مورد اقدامات ایالتی برای ممنوعیت مراقبت های بهداشتی تراجنسیتی ها بدانید
  • آنچه در مورد بیمه مراقبت طولانی مدت باید بدانید
  • آنچه در مورد خدمات مراقبت در منزل باید بدانید