BakerHostetler hukuk firmasının avukatı Sara Goldstein, Change Healthcare mega hack’inin 21 Şubat’tan bu yana şirketin yaklaşık 120 BT ürün ve hizmetini çevrimdışına aldığını ve siber kesintinin büyük aktörler de dahil olmak üzere tüm sağlık sektörü üzerinde ciddi ve yaygın bir etki yarattığını söyledi. .
UnitedHealth Group’un bir yan kuruluşu olan Optum’un bir birimi olan Change Healthcare, sağlık sektörü kuruluşlarına talep işleme ve eczane avantajlarından uygunluk kontrolleri ve ön izinlere kadar çok çeşitli kritik BT uygulamaları sağlar.
Şirket, teknolojisinin yılda 15 milyar sağlık hizmeti işlemini gerçekleştirmek için kullanıldığını ve klinik bağlantı çözümlerinin ABD’deki 3 hasta kaydından 1’ine “dokunduğunu” söylüyor (bkz: BlackCat, Federal Kapatmanın Ardından Sağlık Sektörüne Saldırıyor.)
Goldstein, “Dolayısıyla onlara aktarılan ve aktarılan bilginin miktarı ve hacmi ile sağlık hizmetlerinde sahip oldukları rol muazzamdır. Bunun etkisi çok büyük oldu” dedi.
“Birçok sağlık hizmeti sağlayıcısı talepleri, ödemeleri işleme koyamaz, hasta faturalandırmasını gerçekleştiremez. Bu hizmetler olmadan ve gelir elde edememek, birçok sağlık sistemi ve sağlık hizmeti sağlayıcısı için gerçekten istikrarsız bir mali durum yaratacaktır.”
Çarşamba günü, 15.000 grup tıbbi muayenehanesini ve 350.000 doktoru temsil eden Tıbbi Grup Yönetimi Derneği, ABD Sağlık ve İnsani Hizmetler Bakanlığı’na “bu etkileri azaltmak için elindeki tüm araçları kullanmaya, böylece tıbbi grupların bu önlemleri almasına gerek kalmaması” çağrısında bulundu. Faaliyette kalmaya yönelik sert eylemler.”
MGMA, HHS’ye “zaten ciddi olan durumun daha da kötüleşmesini önlemek için rehberlik, mali kaynaklar, yaptırım takdiri ve daha fazlasına ihtiyaç olduğunu” söyledi.
Perşembe günü Optum, yaptığı açıklamada Change Healthcare’e yapılan saldırının BlackCat/Alphv olduğunu iddia eden siber suçlular tarafından gerçekleştirildiğini doğruladı. Optum, Cuma günü olayla ilgili bir güncellemede, “insanların ihtiyaç duydukları ilaçlara ve bakıma erişmelerini sağlamak için birden fazla geçici çözüme sahip olduğunu” söyledi.
Optum ayrıca Cuma günü, Change Healthcare’in Rx eReçete hizmetinin “yeni bir örneğinin” artık etkilenen müşteriler için mevcut olduğunu söyledi.
Optum, şirketin devam eden soruşturmasına göre şu ana kadar Optum, UnitedHealthcare ve UnitedHealth Group sistemlerinin bu olaydan etkilendiğine dair bir gösterge bulunmadığını söyledi.
Ancak Goldstein, Change Healthcare ile sözleşmeye dayalı ilişkisi olmayan kuruluşların bile bundan etkilendiğini söyledi.
“Değişim ile ilişkileri olan satıcıları olabilir veya Değişim ile ilişkisi olan planlarla çalışıyor olabilirler. Dolayısıyla onlar da bundan etkileniyorlar. Ve bu kadar üretken hizmetler için geçici çözümler geliştirmek zor ve belki de bir veya birkaç tane var. Bu hizmetlerin iki ana sağlayıcısı” dedi.
“İşaretlenen şeylerden biri, sağlık hizmetlerinde bu tür satıcıların birleştirilmesinin olumsuz tarafıdır. Yani bu bir zorluktu. Bu oldukça felaket.”
Change Healthcare olayına ilişkin soruşturma, kişisel tanımlayıcı bilgilerin ve korunan sağlık bilgilerine saldırganlar tarafından erişildiğini veya bu bilgilerin ele geçirildiğini belirlerse, “bunun büyük bir ihlal bildirimi olayı olma potansiyeli vardır.”
Bilgi Güvenliği Medya Grubu ile yapılan bu röportajda (fotoğrafın altındaki ses bağlantısına bakın), Goldstein ayrıca şunları tartıştı:
- BT hizmetleri firmasına yapılan saldırının hastaların korunan sağlık bilgilerini tehlikeye atması durumunda Change Healthcare müşterilerinin çözmesi gereken HIPAA ihlali raporlaması ve diğer düzenleme sorunları;
- Change Healthcare olayından etkilenen şirketler için iş kesintisi, maliyet hususları ve siber sigorta sorunları;
- Change Healthcare saldırısından şu ana kadar ortaya çıkan diğer satıcı ve iş ortakları risk yönetimi sorunları;
- Sağlık sektörü kuruluşlarının, sözde “BT yardımı” personelini içeren dolandırıcılıklar da dahil olmak üzere, sosyal mühendislik ve kimlik avı saldırılarının kurbanı olmaktan kaçınmaları için ipuçları.
Goldstein, BakerHostetler hukuk firmasının veri güvenliği olaylarına müdahale uygulamasında lider konumdadır. Doğrudan müvekkillerle çalışır ve avukat ekibinin takip edeceği süreçler ve protokoller oluşturur. BakerHostetler’a katılmadan önce Goldstein, ülkenin en büyük ikinci bilgi yayınlama ve ifşa yönetimi hizmetleri sağlayıcısının başkan yardımcısı ve genel danışmanıydı. Gizlilik ve veri güvenliği üzerine çeşitli makaleler yazmış ve Drexel Üniversitesi’nde yardımcı hukuk profesörü olarak görev yapmıştır.