حمله سایبری اخیر به بخش عظیم صورتحساب و پرداخت Change Healthcare نشان داد که آسیبپذیریها در سراسر سیستم مراقبتهای بهداشتی ایالات متحده چقدر جدی است و رهبران صنعت و سیاستگذاران را نسبت به نیاز فوری به امنیت دیجیتال بهتر آگاه کرد.
بیمارستانها، بیمههای سلامت، کلینیکهای پزشک و سایر افراد در این صنعت به طور فزایندهای هدف هکهای قابل توجهی قرار گرفتهاند که به حمله به Change، واحدی از گروه بزرگ UnitedHealth، در 21 فوریه ختم شد.
حمله باج افزار به بزرگترین مرکز تسویه حساب کشور، که یک سوم پرونده های بیماران را کنترل می کند، اثرات گسترده ای داشت. رفع و راهحلها تا حدودی ناراحتیها را کاهش دادهاند، اما ارائهدهندگان هنوز نمیتوانند میلیاردها دلار پرداخت را جمعآوری کنند. بسیاری از بیمارستانهای کوچکتر و مطبهای پزشکی، بیش از یک ماه پس از اینکه Change مجبور شد بسیاری از سیستمهای خود را خاموش کند، همچنان در دریافت حقوق با مشکل مواجه هستند.
حتی در حال حاضر، اطلاعات بسیار کمی در مورد ماهیت و دامنه دقیق حمله فاش شده است. UnitedHealth گفت که بیش از 3 میلیارد دلار به ارائه دهندگان در حال مبارزه پرداخت کرده است، و انتظار دارد که خدمات بیشتری از Change در هفته های آینده در دسترس باشد زیرا این سیستم ها را دوباره به حالت آنلاین بازگرداند.
FBI و وزارت بهداشت و خدمات انسانی در حال بررسی هک Change هستند، از جمله اینکه آیا سوابق و اطلاعات شخصی بیماران به خطر افتاده است یا خیر. از آنجایی که شبکه Change به عنوان یک تابلوی دیجیتال عمل می کند که اطلاعات اولین ویزیت بیمار به پزشک را به تشخیصی مانند سرطان یا افسردگی و سپس درمان بعدی به بیمه سلامت برای دریافت مزایا و پرداخت ها متصل می کند، این خطر وجود دارد که تاریخچه پزشکی افراد برای سال ها در معرض نمایش قرار گیرد. .
حمله به تغییر تنها گستردهترین نمونه از چیزی است که تقریباً در صنعت مراقبتهای بهداشتی رایج شده است. به گفته شرکت امنیت داده Emsisoft، حملات باجافزاری، که در آن مجرمان سیستمهای رایانهای را خاموش میکنند، مگر اینکه مالکان به هکرها پولی پرداخت کنند، سال گذشته بر 46 سیستم بیمارستانی تأثیر گذاشت که این رقم در سال 2022، 25 بود. هکرها همچنین شرکتهایی را که خدماتی مانند رونویسی پزشکی و صورتحساب را ارائه میدهند، در سالهای اخیر حذف کردهاند.
مشکل چقدر بغرنج است؟
مشاوران امنیت سایبری و مقامات دولتی به طور مداوم مراقبت های بهداشتی را به عنوان بخشی از اقتصاد ایالات متحده که بیشترین آسیب را در برابر حملات دارد و به اندازه انرژی و آب بخشی از زیرساخت های حیاتی کشور معرفی کرده اند.
دی جی پاتیل، رئیس فناوری شرکت بیمه Devoted Health و دانشمند ارشد سابق اداره سیاست علم و فناوری فدرال، گفت: همه ما باید وحشت داشته باشیم. او و دیگران بر محافظت ناکافی در سیستمهای بهداشتی ایالات متحده تأکید کردند، علیرغم رویدادهای دراماتیکی مانند حمله باجافزار در سال 2017 که سوابق پزشکی را در سرویس بهداشت ملی در بریتانیا قفل کرد و منجر به اختلال گسترده برای بیماران شد.
ارول ویس، مدیر ارشد امنیت مرکز تجزیه و تحلیل و اشتراکگذاری اطلاعات سلامت، که او آن را بهعنوان یک دیدهبان محلهای مجازی برای صنعت توصیف کرد، گفت: «کل بخش در مورد امنیت سایبری و امنیت اطلاعات به شدت کمبود منابع دارد.
حمله Change توجه دولت را بیشتر به این مشکل جلب کرده است. کاخ سفید و آژانس های فدرال جلسات متعددی با مقامات این صنعت برگزار کرده اند. قانونگذاران کنگره نیز تحقیقات را آغاز کرده اند و سناتورها اندرو ویتی، مدیر اجرایی UnitedHealth را برای شهادت فراخوانده اند.
بخش مالی برای شناسایی و تقویت مناطق آسیب پذیر تلاش کرده است تا کمتر مستعد حملات سیستمیک شود. اریک دکر، افسر ارشد امنیت اطلاعات Intermountain Health، یک سیستم بهداشتی منطقهای بزرگ که مقر آن در دریاچه نمک است، گفت: «مراقبتهای بهداشتی از طریق نقشهبرداری برای درک دقیق نقاط خفگی که در معرض خطر هک هستند، مراقبتهای بهداشتی را طی نکرده است». شهر.
آقای دکر که همچنین به عنوان رئیس یک گروه کاری بخش خصوصی در زمینه امنیت سایبری در مراقبت های بهداشتی که به دولت فدرال مشاوره می دهد، گفت: “ما درسی آموخته ایم – باید این کار را انجام دهیم.”
وال استریت و سیستم بانکی کشور انگیزه های مالی قوی برای تقویت سیستم دفاعی خود داشته اند، زیرا یک هکر می تواند پول آنها را بدزدد و این بخش با مقررات سختگیرانه دولتی مواجه است.
هک مراقبت های بهداشتی می تواند عواقب مرگباری داشته باشد.
مطالعات نشان داده است که مرگ و میر بیمارستانی پس از حمله افزایش می یابد. به عنوان مثال، پزشکان نمی توانند مراقبت های پزشکی گذشته را بررسی کنند، یادداشت هایی را به همکاران ارسال کنند یا آلرژی های بیمار را بررسی کنند.
جراحی های برنامه ریزی شده لغو می شوند و گاهی اوقات آمبولانس ها حتی در مواقع اضطراری به بیمارستان های دیگر منتقل می شوند زیرا حمله سایبری باعث اختلال در ارتباطات الکترونیکی یا سوابق پزشکی و سایر سیستم ها شده است. تحقیقات نشان میدهد که هکها یک اثر آبشاری دارند و کیفیت مراقبت را در بیمارستانهای مجاور که مجبور به پذیرش بیماران اضافی هستند، پایین میآورند.
استیو کاگل، مدیر اجرایی Clearwater، یک شرکت پیروی از مراقبت های بهداشتی، گفت: «امنیت سایبری به یک مسئله ایمنی بیمار تبدیل شده است.
در برخی موارد، هکرها داده های حساس سلامت بیمار را عمومی کرده اند. شبکه بهداشت و درمان Lehigh Valley از پرداخت باج که توسط همان نهاد مظنون حمله به Change Healthcare درخواست شده بود، خودداری کرد. بر اساس شکایت یکی از قربانیان، هکرها سپس عکس های برهنه بیماران تحت درمان سرطان سینه را به صورت آنلاین منتشر کردند. صدها عکس از بیماران به سرقت رفت.
چرا صنعت مراقبت های بهداشتی یک هدف است؟
سوابق پزشکی می توانند چندین برابر مقدار پولی که یک کارت اعتباری دزدیده شده انجام می دهد، دریافت کند. و برخلاف کارت اعتباری که می توان آن را به سرعت لغو کرد، اطلاعات پزشکی فرد را نمی توان تغییر داد.
جان ریگی، مشاور ملی امنیت سایبری و ریسک انجمن بیمارستانهای آمریکا، یک گروه تجاری، گفت: «ما نمیتوانیم تشخیص شما را لغو کنیم و تشخیص جدیدی برای شما ارسال کنیم.
اما او همچنین گفت که سوابق دارای ارزش هستند “زیرا مرتکب تقلب در مراقبت های بهداشتی آسان است.” بیمهگران سلامت، بر خلاف بانکها، اغلب از روشهای دقیق برای کشف تقلب استفاده نمیکنند و این امر ارائه ادعاهای نادرست را آسان میکند.
افرادی که نگران شماره های تامین اجتماعی و سایر اطلاعات مالی دزدیده شده هستند، می توانند در یک آژانس نظارت بر اعتبار ثبت نام کنند، اما اگر اطلاعات سلامت شخصی آنها به سرقت رفته باشد، بیماران حق رجوع کمی ندارند.
شبکههای بیمارستانی و سایر گروههای مراقبتهای بهداشتی نیز برای محدود کردن مواجهه با بیماران به سرعت باج پرداخت کردهاند، تصمیمی که تنها به هکرها پاداش میدهد و تشویق میکند. FBI به اهداف حملات باجافزار توصیه میکند که پولی نپردازند، اما بیشتر بیمارستانها این کار را میکنند زیرا ریسکها بسیار زیاد است. طبق گزارش Wired، در مورد Change Healthcare، گفته می شود که این شرکت 22 میلیون دلار باج پرداخت کرده است.
چرا بیمارستان ها و پزشکان بیشتر کار نمی کنند؟
علیرغم خطر، بیمارستانهای کوچکتر و مطبهای پزشکان اغلب پول لازم برای پرداخت اقدامات امنیتی پیشرفته یا تخصص لازم برای بررسی تهدیدات جدی را ندارند.
و فن آوری قدیمی تر به ندرت با آخرین استانداردهای امنیت سایبری سازگار است. مجموعهای از محصولات و فروشندگان متصل، درهای جانبی دیجیتال را باز میگذارند و هکرها را فریب میدهند. از آنجایی که هکها تا حد زیادی سیستمهای بیمارستانی را قبل از توقف تغییر هدف قرار داده بودند، گروهها خطر خود را دست کم گرفتند.
جکی مونسون، معاون ارشد سلامت ساتر و رئیس کمیته ملی آمار حیاتی و سلامت، گفت: «مردم باید تصمیم بگیرند که در چه چیزی سرمایهگذاری کنند، و امنیت سایبری معمولاً در صدر فهرست نیست. ”
پاسخ دولت چیست؟
چارچوب نظارتی نیز قدیمی و پراکنده است. بیمارستان ها مجاز به انتخاب از میان طیف وسیعی از استانداردهای امنیتی هستند و هیچ ممیزی قبلی برای انطباق وجود ندارد.
امنیت دیجیتال بین دفاتر مختلف در داخل HHS تقسیم شده است، و بسیاری از قدرت نظارتی آژانس هنوز به قانون 1996 متکی است که قبل از توسعه سیستمهای سلامت دیجیتال مدرن یا ظهور هک باجافزار نوشته شده بود. تمرکز نظارتی دولت به جای تقویت در برابر حملات، بر حفظ حریم خصوصی و انطباق بوده است.
مقررات امنیت دادههای بیمهگر حتی مبهمتر است، زیرا بیمههای سلامت عمدتاً در سطح ایالتی تنظیم میشوند. خانم مونسون گفت، بسیاری از فروشندگان مانند Change که خدمات دیجیتالی را به بیمارستان ها ارائه می دهند اما خود ارائه دهندگان مراقبت های بهداشتی نیستند نیز می توانند از شکاف های نظارتی عبور کنند.
ممکن است تغییر کند. دولت بایدن از HHS می خواهد تا اطمینان حاصل کند که بیمارستان ها از محافظت کافی برخوردار هستند. دولت همچنین در حال بررسی بازنگری در مقررات مربوط به نحوه اشتراک گذاری داده های بهداشتی است و ممکن است قوانین شفاف تری را برای اقدامات امنیتی دیجیتال برای بیمارستان ها وضع کند.
سناتور ران وایدن از اورگان، رئیس دموکرات کمیته مالی سنا، علاقه خود را برای ایجاد قوانین جدید سختتر نشان داده است.
او در جریان یک جلسه استماع اخیر در مورد بودجه رئیس جمهور گفت: «امروزه هیچ استاندارد فنی اجباری فدرال امنیت سایبری برای صنعت مراقبت های بهداشتی وجود ندارد، حتی با وجود اینکه مردم برای سال ها در مورد آن صحبت می کنند، چیزی شبیه به دهه ها». من می خواهم واضح بگویم: اکنون باید تغییر کند.
بهروزرسانی سیستمهای سراسری ممکن است گران باشد، بهویژه برای سازمانهای کوچکتر که با بودجههای محدود کار میکنند. زمانی که 20 سال پیش دولت بیمارستان ها را ملزم به رعایت استانداردهای امنیت سایبری برای تنظیم پرونده الکترونیک سلامت کرد، قوانین سختگیرانه ای را با مشوق های مالی عمده همراه کرد.
دولت بایدن 800 میلیون دلار اولیه برای کمک به بهبود سیستم بیمارستانی به عنوان بخشی از پیشنهاد بودجه اخیر خود درخواست کرده است. اما مشخص نیست که آیا کنگره امروز میتواند یا مایل به تامین بودجه برای نوسازی باشد.
و برخی از بیمارستانها همچنان به هزینههای خود برای آخرین فناوری MRI یا تعداد بیشتری از پرستاران از طریق حفاظتهای دیجیتالی دقیق ادامه خواهند داد.
ایلیانا پیترز، یک مقام سابق بهداشت فدرال متخصص در امنیت داده ها، گفت: “بدون منابع اضافی برای بالا بردن سطح، آن ارائه دهندگان مراقبت های بهداشتی و آن دسته از پرداخت کنندگان مراقبت های بهداشتی به انتخاب خود برای پرداخت هزینه های درمان یا امنیت سایبری ادامه می دهند.” یک وکیل در Polsinelli، یک شرکت حقوقی در واشنگتن دی سی