در یک جلسه پرتنش سنا در روز چهارشنبه، قانونگذاران به شدت از مدیریت UnitedHealth Group با حمله سایبری که سیستم مراقبت های بهداشتی ایالات متحده را فلج کرد، با اشاره به شکست سیستم های امنیتی آن و قرار گرفتن در معرض اطلاعات حساس پزشکی در مورد میلیون ها آمریکایی انتقاد کردند.
سناتورهای دموکرات و جمهوری خواه این سوال را مطرح کردند که آیا حمله سایبری به Change Healthcare، که یک سوم کل سوابق بیماران ایالات متحده و حدود 15 میلیارد تراکنش در سال را مدیریت می کند، بسیار بزرگ بوده است، زیرا UnitedHealth تقریباً در تمام جنبه های مراقبت های بهداشتی کشور بسیار عمیق است. گروه UnitedHealth نه تنها مادر Change، بلکه مادر بزرگترین بیمه سلامت کشور و اپراتور عمده داروخانه (Optum) است. یونایتد همچنین نزدیک به یک نفر از هر 10 پزشک در این کشور نظارت دارد.
سناتور ران وایدن، دموکرات اورگان که رئیس هیئت مدیره است، گفت: هک Change هشداری هولناک در مورد عواقب شرکتهای بزرگ «بسیار بزرگ برای شکست» است که سهام بزرگتر و بزرگتری از سیستم مراقبتهای بهداشتی را غارت میکنند. کمیته مالی .
سیستم مراقبت های بهداشتی ایالات متحده پس از 21 فوریه دچار هرج و مرج شد حمله کنند on Change که به عنوان بزرگراه دیجیتال بین شرکت های بیمه سلامت، بیمارستان ها و پزشکان عمل می کند. بیماران نمیتوانستند نسخهها را پر کنند و بیمارستانها و پزشکان به دلیل اینکه نمیتوانستند هزینه مراقبت خود را دریافت کنند، با بحران مالی جدی مواجه شدند.
مدیر عامل UnitedHealth، اندرو ویتی، برای شهادت در مقابل کمیته مالی سنا و کمیته انرژی و بازرگانی مجلس نمایندگان احضار شده است.
او صبح چهارشنبه از تلاش های شرکت برای بازگرداندن سرویس دفاع کرد و عذرخواهی کرد.
“در نتیجه این حمله سایبری مخرب، بیماران و ارائه دهندگان اختلالاتی را تجربه کردند و مردم نگران اطلاعات سلامت شخصی خود هستند.” برای همه کسانی که تحت تاثیر قرار گرفته اند، اجازه دهید خیلی واضح بگویم: من عمیقا، عمیقا متاسفم.
اما آقای ویتی تأیید کرد که امنیت دیجیتال ضعیفی که به هکرها اجازه ورود به شبکه Change را میداد و اذعان داشت که یونایتد در تلاشهای اولیه برای کمک به پوشش پرداختهای تامینکننده شکست خورده است.
همین هفته گذشته، یونایتد شروع به افشای این موضوع کرد که هکرها به برخی از دادههای بیماران دسترسی پیدا کردهاند، اگرچه آقای ویتی به سناتورها گفت که زمان زیادی طول میکشد تا شرکت بداند نقض اطلاعات بیماران چقدر گسترده است.
آقای ویتی گفت UnitedHealth در حال کار با تنظیمکنندهها برای تعیین زمان و نحوه شروع ارتباط با افراد آسیبدیده است.
او گفت: «ما میخواهیم سعی کنیم از ارتباطات مقطعی اجتناب کنیم.
یونایتد مجبور شد سیستمهای Change را برای چند هفته به طور کامل خاموش کند، که باعث گفتگوهای داغ بین سناتورها و آقای ویتی در مورد سرعت بازپرداخت هزینهها به بیمارستانها و سایر ارائهدهندگان شد.
آقای ویتی به سناتورها گفت که “جریان ادعاها در سراسر کشور اساساً به حالت عادی بازگشته است”. آقای Wyden گفت که از ارائه دهندگانی که در فوریه ادعاهایی را ارائه کرده بودند شنیده است که بازپرداخت حداقل تا ژوئن طول می کشد.
آقای ویتی گفت: «ما کاملاً میتوانیم سریعتر از آن حرکت کنیم.
آقای وایدن پاسخ داد: «تقریباً هر تأمینکنندهای که من با آنها معامله میکنم منتظر پرداخت پول هستند».
دقایقی بعد، سناتور مارشا بلکبرن، جمهوریخواه تنسی، آقای وایدن را تکرار کرد و آقای ویتی را متهم کرد که تصویری “روشن” از روند بازپرداخت هزینه ارائه کرده است و گفت دفتر او با تماس های ارائه دهندگان خدمات بهداشتی در انتظار پرداخت بمباران شده است. برای.
خانم بلکبرن خاطرنشان کرد که یک بیمارستان در ایالت ادعاهای مدیکر معادل درآمد یک ماهه را جمع آوری کرده بود.
“هر روز برای دریافت به روز رسانی تماس می گیرند. هر روز زنگ می زنند. و آنها هر روز و به طور مکرر توبیخ می شوند.» “مثل اینکه همه شما نمی توانید این را درک کنید.”
آقای ویتی همچنین اذعان کرد که این شرکت 22 میلیون دلار باج به مهاجمان پرداخت کرده است و گفت: «تصمیم برای پرداخت باج با من بود. این یکی از سخت ترین تصمیماتی بود که تا به حال باید می گرفتم.»
FBI و سایر مقامات در حال بررسی این هک هستند.
UnitedHealth به دلیل سخت گیری در مورد جزئیات این حمله مورد انتقاد قرار گرفته است.
آقای وایدن به آقای ویتی گفت: «شما از نظر مسئولیت شخصی در همه جا بوده اید. شما مدام نقش خود را در این امر کمرنگ می کنید».
آقای وایدن گفت UnitedHealth در اجرای اساسی ترین نوع اقدام امنیت سایبری – به اصطلاح احراز هویت چند عاملی – شکست خورده است.
آقای ویتی گفت که از روز چهارشنبه، همه «سیستمهای خارجی» UnitedHealth از این نوع احراز هویت استفاده میکنند. او افزود که این شرکت همچنین گروه های خارجی را برای انجام اسکن بیشتر از فناوری شرکت وارد کرده است و Mandiant، یک شرکت امنیت سایبری را به عنوان مشاور استخدام کرده است.
سناتور تام تیلیس از کارولینای شمالی در حالی که نسخهای از کتاب هک برای آدمکها را در دست گرفته است، گفت: «اینها چیزهای اساسی هستند که از قلم افتادهاند.
این جلسه به آقای ویتی فرصتی داد تا زمان بندی دقیق تری از هک و پاسخ به آن ارائه دهد.
مجرمان سایبری در 12 فوریه به سیستمهای Change دسترسی پیدا کردند، نه روز قبل از اینکه UnitedHealth بداند باید آنها را خاموش کند. آقای ویتی تاکید کرد که این شرکت به سرعت از گسترش این حمله فراتر از Change به شرکت مادر یا یکی از واحدهای دیگر آن مانند Optum یا بیمه سلامت جلوگیری کرد. او گفت: ما برد انفجار را محدود کردیم تا تفاوتی ایجاد کنیم.
آقای ویتی همچنین استدلال کرد که آسیب پذیری سیستم بهداشت در برابر هک فراتر از یونایتد است که به گفته او هر 70 ثانیه یک بار تلاش هک را به خودی خود لغو می کند. او گفت از آنجایی که یونایتد فقط ۱۸ ماه پیش سیستم Change را خریداری کرد، نتوانست به طور کامل «فناوریهای قدیمی» Change را که آن را در برابر هک آسیبپذیر میکرد، ارتقا دهد.
آقای ویتی در مرحله دیگری از جلسه گفت که با ارائه دهندگانی که تمایلی به استفاده مجدد از Change ندارند، همدردی می کند.
او گفت: «دلیل اینکه بازیابی بیش از حد انتظار طول می کشد این است که ما به معنای واقعی کلمه این پلت فرم را از ابتدا ساختیم تا بتوانیم به مردم اطمینان دهیم که هیچ عنصری از محیط حمله قدیمی در فناوری جدید وجود ندارد.»
خرید شبکه Change توسط یونایتد در سال 2022 توسط برخی از سناتورها به عنوان نمونه ای از ادغام گسترده در صنعت مراقبت های بهداشتی اشاره شده است. وزارت دادگستری که بر بیمهگران سلامت نظارت میکند، سعی کرد از خرید Change توسط یونایتد جلوگیری کند، اما نتوانست یک قاضی فدرال را متقاعد کند که این معامله ضدرقابتی است.
سناتور الیزابت وارن، D-Mass.، UnitedHealth را “انحصارگر استروئیدها” نامیده است و بیش از یک بار اشاره کرده است که یازدهمین شرکت بزرگ در جهان است.
او یونایتد را متهم کرد که از هرج و مرج ایجاد شده توسط هک برای به دست آوردن بیشتر پزشکان استفاده می کند و گفت که اکنون از هر 10 پزشک کشور یک نفر را کنترل می کند.
آقای ویتی با اشاره به بخش هایی که یونایتد در آنها تجارت نمی کند، ادعاهای خود را رد کرد. او گفت: «با وجود بزرگی ما، ما مالک بیمارستانها یا تولیدکنندگان دارو در آمریکا نیستیم.