Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Ana Şirket UHG’nin İhlalle Mücadele Etmesiyle Sağlayıcılara Daha Fazla Yardım Çağrısı Geldi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Nisan 2024
Yirmi iki eyalet başsavcısı ve bazı endüstri grupları, Change Healthcare’in ana şirketini ve düzenleyicilerini şeffaf olmaya ve şirket son derece yıkıcı bir siber saldırıdan kurtulurken ve sağlık sektörü büyük ihlal bildirimlerine hazırlanırken nakit sıkıntısı çeken sağlayıcılara daha fazla mali yardım sağlamaya çağırıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Pazartesi günü UnitedHealth Group, ABD nüfusunun “önemli bir kısmı” için korunan sağlık bilgilerinin ve kişisel olarak tanımlanabilir bilgilerin siber saldırıdan etkilendiğinden korktuğunu söyledi (bkz: Sağlık Saldırısını Değiştir: Ayrıntılar Ortaya Çıkıyor; İhlal En İyi Rekoru Kıracak).
Veri ihlali, birçoğunun rekor kıran bir saldırı olarak tanımladığı olayla on milyonlarca kişiyi etkileyebilir. Şubat ayındaki saldırı, Change Healthcare’i, çoğu çok sayıda hastane, eczane ve muayenehane tarafından sigorta doğrulama ve geri ödeme için kullanılan 100’den fazla uygulamayı kapatmaya zorladı.
Perşembe günü UnitedHealth Group CEO’su Andrew Witty’ye yazdığı bir mektupta, ABD eyaletlerinin neredeyse yarısının başsavcıları, Change Healthcare’in bir siber saldırı sonucu “uzun süreli bağlantı kesilmesi ve bunu takiben platform hizmetlerinin sınırlı restorasyonuna” şimdiye kadar verdiği yanıttan duydukları hayal kırıklığını dile getirdi.
Minnesota Başsavcısı Keith Ellison mektubunda şunları söyledi: “Bölgelerimiz içindeki sağlık kuruluşları ve eczaneler çökme tehlikesiyle karşı karşıya olduklarını belirttiler. Hastalar, Change Healthcare’in başarısızlıklarının bir sonucu olarak bakımlarında aksaklıklar yaşandığını ve reçeteli ilaçlara erişimin geciktiğini veya reddedildiğini anlatıyor.” 21 eyaletteki akranları tarafından imzalandı.
“Eyaletlerimizin sağlık altyapısına ve ona güvenen hastalara daha fazla zarar vermekten kaçınmak için şu anda yaptığınızdan daha fazlasını yapmalısınız.”
AG’ler, Change Healthcare ile doğrudan sözleşme yapan sağlayıcıların, bakım sağlamaya devam etme ve borçlarını ödeyebilme yetenekleri üzerinde en önemli etkileri rapor etmelerine rağmen, kesintiden etkilenen tek tarafların kendileri olmadığını söyledi.
“Sigortacılar, Değişimin kesintiye uğraması nedeniyle sistemlerinin sekteye uğradığını gördükçe, Change Healthcare’i bilinçli olarak kullanmayan taraflar bile, Değişim’in başarısızlıklarının etkilerine katlandılar. Sonuç olarak, bakım sağlayıcılar ve tesisler başlangıçta hastalara bakım mı yoksa reçete mi sunacaklarını seçmek zorunda kaldılar gerekli onayları ve ön onayları tamamlamadan – dolayısıyla sigorta şirketleri tarafından daha sonra geri ödeme alamama riskiyle karşı karşıya kalarak – veya bu hizmetleri sunmayı reddederek hastaların sağlığını tehlikeye atarak.”
AG’ler, UHG’den aşağıdakiler de dahil olmak üzere çeşitli önlemler almasını talep ediyor:
- Etkilenen tüm sağlayıcılara, tesislere ve eczanelere mali yardımın genişletilmesi ve geliştirilmesi;
- Daha uzun geri ödeme süreleri için şartların revize edilmesi ve ödenen tazminatların mahsup edilmesi yoluyla geri ödemeye izin verilmesi;
- Ön izinlerin ve diğer bazı belge gerekliliklerinin askıya alınması;
- Sağlayıcıların, tesislerin, eczanelerin, düzenleyicilerin, etkilenen hastaların ve halkın hangi verilerin ele geçirildiği ve gelecekteki kimlik hırsızlığı veya sistem risklerini azaltmak için hangi adımların atılması gerektiği konusunda bilgilendirilmesinin sağlanması.
Cuma günü itibarıyla UHG, etkilenen sağlayıcılara şu ana kadar 6 milyar dolar mali yardım teklif ettiğini söyledi.
UHG, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada eyalet başsavcılığından gelen mektuptan haberdar olduğunu söyledi.
Açıklamada, “İlk günden bu yana, hastaların bakıma erişimine öncelik verdik ve ilgili bireylere, sağlayıcılara ve müşterilere kaynak ve destek sağlamaya devam ediyoruz. İhtiyacı olan sağlayıcılara mali yardım sağlamaya ve onları bizimle iletişime geçmeye teşvik etmeye devam ediyoruz.”
Büyük bir etki
Change Healthcare saldırısı, kısmen tıbbi bakım geri ödemelerini, hastaların hizmetlere uygunluğunu doğrulama olanağını ve bazıları için eczane reçetesi alma olanağını kesintiye uğrattığı için ABD sağlık hizmeti sağlayıcıları ve hastaları için büyük aksaklıklara neden oldu. Change Healthcare, ABD sağlık sistemi ödemelerinin yaklaşık %6’sını gerçekleştirmektedir.
UHG bu hafta da saldırıda fidye ödediğini doğruladı ancak ne kadar veya kime olduğunu belirtmedi. Şubat ayındaki saldırının arkasında olduğunu iddia eden fidye yazılımı grubu Alphv olarak da bilinen BlackCat’in batılı bir kolu, UnitedHealth Group’un BlackCat’e 22 milyon dolar fidye ödediğini söyledi. Bu bağlı kuruluş ayrıca BlackCat’in, bağlı kuruluşun kesintisini paylaşmak yerine bu büyük fidye ödemesinin tamamını sakladığını iddia etti ve ikinci bir grup olan RansomHub, çalınan verilerin örneklerini bir sızıntı sitesinde kısaca yayınladı ve bildirildiğine göre UHG’yi başka bir fidye talebiyle vurdu. Bu arada şirket hâlâ belirli BT sistemlerini ve hizmetlerini eski haline getirmek için çalışıyor ancak reçete hizmetleri ve ödeme işlemleri gibi diğerleri sırasıyla %99 ve %86 normal seviyelerde çalışıyor.
Amerikan Tabipler Birliği Çarşamba günü yaptığı açıklamada, kesintinin doktorlara ve özellikle küçük muayenehanelere yol açtığı “tahribat” nedeniyle UHG’yi azarladı.
Dernek, AMA üyelerinin aynı zamanda “Change Healthcare’in sisteminden çalınmış olabilecek büyük miktardaki hassas tıbbi verilerin kötü niyetli fidye yazılım gruplarının elinde olmasından” derin kaygı duyduğunu belirtti.
AMA, şirketi tıp camiasını siber olay ve ihlaldeki gelişmeler hakkında bilgilendirmeye ve “uygulamaların açık kalması ve hasta bakımı sağlaması için gereken mali yardım ve idari esneklikleri” sağlamaya çağırıyor.
AMA, “Change Healthcare’in sistemlerini kapatmasından yaklaşık iki ay sonra, doktorların büyük bir kısmı talep ödemelerinin askıya alındığını ve taleplerin iletilemediği veya faydaların doğrulanamadığı bildirdi.” dedi. “UHG’nin bu sorunların çoğunu tek seferde veya bir durumla çözmesi gerekiyor, bu nedenle küçük antrenmanların son sırada yer alması ve gerçekten zor durumda kalması şaşırtıcı değil.”
İhlal Raporlama Yükü
15.000 tıbbi grup muayenehanesini ve 350.000 doktoru temsil eden Tıbbi Grup Yönetimi Derneği, Perşembe günü ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi Direktörü Melanie Fontes Rainer’a yazdığı bir mektupta, kurumu Sağlık Hizmetinin Değiştirilmesi ihlaliyle ilgili belirli eylemlerde bulunmaya çağırdı. .
Bu eylemler arasında, Change Healthcare siber saldırısıyla ilgili ihlallere ilişkin ihlal bildirimi ve düzenleyici incelemelerin tüm yükünü tıbbi grupların değil, UHG’nin üstleneceğinin açıklığa kavuşturulması da yer alıyor.
MGMA özellikle HHS OCR’nin, ihlal bildirimlerine ilişkin sorumluluğun yalnızca Change ve UHG’ye ait olduğunu belirtmesini, “bu benzersiz durumda tamamen masum olan” sağlayıcıların her türlü düzenleyici incelemeden muaf olmasını sağlamasını ve Change ve UHG’nin “şartları yerine getirmesini” talep etmesini istiyor. Hızlı ve şeffaf bir şekilde verdikleri sözler var.”
UHG Pazartesi günü yaptığı açıklamada, verileri siber saldırıda ele geçirilmiş olabilecek diğer paydaşların raporlama yükümlülüklerini hafifletmeye yardımcı olmak için ihlal bildirimleri yapmayı ve “herhangi bir sağlayıcı veya müşteri adına ilgili idari gereklilikleri üstlenmeyi” teklif ettiğini söyledi.
Geçen hafta yayınlanan HIPAA kılavuzunda HHS OCR, Change Healthcare saldırısından etkilenen kuruluşların aynı zamanda HHS’ye ihlal raporları ve etkilenen kişilere bildirimleri “makul olmayan bir gecikme olmadan” sunması gerektiğini söyledi. Olaydan etkilenen iş ortakları da ihlalin tespit edilmesinin ardından etkilenen kuruluşlara bildirimde bulunmalıdır (bkz.: Fed’in Sağlık İhlali Raporlama Görevlerini Değiştirme Kılavuzu Yayınlanması).
HHS OCR ayrıca şunları söyledi: “Bu olaydan etkilenen HIPAA tarafından düzenlenen kuruluşlar, HIPAA ihlal bildiriminin nasıl gerçekleşeceğine ilişkin soruları için Change Healthcare ve UHG ile iletişime geçmelidir.”
HHS OCR, ISMG’nin MGMA’nın talepleri hakkında yorum yapma talebine hemen yanıt vermedi.
Minnesota’dan Ellison’a ek olarak, UHG’ye gönderilen mektubun diğer imzacıları Arizona, California, Connecticut, Hawaii, Maine, Michigan, Massachusetts, Mississippi, Nevada, Nebraska, New Hampshire, New York, Kuzey Carolina, Oregon’un başsavcılarıdır. , Pensilvanya, Rhode Island, Güney Dakota, Vermont, Utah, Washington ve Columbia Bölgesi.