Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
HHS OCR, UnitedHealth Group'a Co.'nun HIPAA Uyumluluğunu İnceleyeceğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Mart 2024
UnitedHealth Group, Change Healthcare BT hizmetleri birimine yapılan siber saldırının veri ihlaliyle sonuçlanıp sonuçlanmadığını henüz kamuoyuna doğrulamadı. Bu, federal düzenleyicilerin, potansiyel olarak milyonlarca kişiyi etkileyen, korunan sağlık bilgilerinin büyük ölçüde tehlikeye atılması konusunda tam teşekküllü bir soruşturma başlatmasını engellemiyor.
Ayrıca bakınız: Sağlık Sürümü: Üretken Yapay Zeka Aracının Benimsenmesinde Eğilimler ve Güvenlik Zorlukları
Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi Çarşamba günü yaptığı açıklamada, kurumun Change Healthcare'i ve şirketin hizmetlerini kullanan çok sayıda diğer sağlık kuruluşunu etkileyen siber güvenlik olayını araştıracağını şirkete bildirdiğini söyledi.
HHS OCR direktörü Melanie Fontes Rainer, “Sevgili Meslektaşım” mektubunda “Siber saldırı, ülke çapında sağlık ve fatura bilgileri operasyonlarını sekteye uğratıyor ve kritik olarak ihtiyaç duyulan hasta bakımı ve sağlık sektörünün temel operasyonlarına doğrudan bir tehdit oluşturuyor.” diye yazdı.
“Bu siber saldırının benzeri görülmemiş büyüklüğü göz önüne alındığında ve hastaların ve sağlık hizmeti sağlayıcılarının çıkarına olacak şekilde OCR, bu olayla ilgili bir soruşturma başlatıyor. OCR'nin Change Healthcare ve UHG hakkındaki soruşturması, korunan sağlık bilgilerinin ihlalinin olup olmadığına ve Change Healthcare'in ihlal edilip edilmediğine odaklanacak. ve UHG'nin HIPAA Kurallarına uygunluğu” ifadeleri yer alıyordu.
Mektupta “OCR'nin Change Healthcare ve UHG ile ortaklık kuran diğer kuruluşlara olan ilgisi ikinci plandadır” denildi.
Ajans genellikle bir ihlal raporu alana kadar HIPAA soruşturmalarını başlatmaz. Change Healthcare, web sitesinde yılda 15 milyar işlem gerçekleştirdiğini ve her 3 hastadan 1'ine dokunduğunu söylüyor.
Bu hafta Orlando, Florida'daki Sağlık Hizmetleri Bilgi ve Yönetim Sistemleri Topluluğu'na katılan bazı uzmanlar, Change Healthcare saldırısıyla ilgili potansiyel PHI uzlaşmasının boyutunun, 2014 sonlarında sağlık sigortası şirketi Anthem'e yapılan siber saldırıdan etkilenen yaklaşık 79 milyon kişiyi muhtemelen gölgede bırakabileceğini söyledi (bkz. : Devasa Satıcıların Oluşturduğu Yoğun Siber Risk).
Anthem olayı, neredeyse on yıldır ABD federal düzenleyicilerine bildirilen en büyük sağlık verisi ihlali olma rekorunu elinde tutuyor.
UnitedHealth Group Çarşamba günü yaptığı son güncellemede, gizlilik ofisi ve güvenlik bilgi ekiplerinin kişisel bilgilerin ele geçirilip geçirilmediği konusunda “üyeler, hastalar ve müşteriler üzerindeki etkisini anlamak için aktif olarak çalıştığını ve çalıştığını” söyledi (bkz: Bazı Değişiklikler Sağlık Hizmetleri Mart Ortasına Kadar Geri Dönecek).
BlackCat fidye yazılımı saldırganları, “tüm” Change Healthcare müşterilerinin dahil olduğu olayda en az 6 terabaytlık veriyi çaldıklarını iddia ediyor (bkz: BlackCat Fidye Yazılımı Grubu Nöbetinin Çıkış Dolandırıcılığı Olduğu Görünüyor).
UnitedHealth Group ayrıca şirketin saldırıdan etkilenen 100'den fazla Change Healthcare BT hizmeti ve ürününü ve bunun sonucunda ortaya çıkan BT kesintisini olayı kontrol altına almak için geri yükleme konusunda ilerleme kaydettiğini söyledi.
Şirket, eczane e-reçetesinin tamamen işlevsel olduğunu ve sağlayıcı elektronik ödemelerinin Cuma günü bağlantıya geçmesinin beklendiğini söyledi. Şirketin hasar sistemlerinin aşamalı olarak yeniden bağlanması ve test edilmesinin 18 Mart haftasında yapılması bekleniyor.
Cumartesi günü, HHS Sekreteri Xavier Becerra ve Çalışma Bakanlığı Sekreter Vekili Julie Su, ABD sağlık sektörüne ortak bir mektup yayınlayarak Biden yönetiminin, sağlayıcıların güvenli olmasını sağlamak için “sağlık hizmeti sağlayıcılarının karşılaştığı zorlukları ortadan kaldırarak ve bu siber saldırıyı doğrudan ele alarak” harekete geçtiğini belirtti. Kesintiden etkilenen kişiler maaş bordrosunu düzenleyebilir ve Amerikan halkına zamanında bakım hizmeti sunabilir.
Becerra ve Su ayrıca özel sektöre, özellikle de ödeme yapanlara, Sağlık Hizmeti Değişimi durumuna ve bunun ülke genelinde sağlık hizmeti sağlayıcılarına yol açtığı büyük aksaklığa değinerek “anı karşılamaya” çağrıda bulundu.
Açıklamada, “Özellikle UHG'yi, diğer sigorta şirketlerini, takas odalarını ve sağlık kuruluşlarına, bu saldırının hastalara ve sağlayıcılara, özellikle de güvenlik ağı sağlayıcılarımıza verdiği zararları azaltmak için ek adımlar atmaya çağırıyoruz” dedi.
Hükümet yetkilileri, UnitedHealth Group'un, Change Healthcare'e yapılan bu siber saldırıdan kaynaklanan nakit akışı zorluklarından hiçbir sağlayıcının ödün vermemesini sağlaması ve UnitedHealth Care'den avans ödemesi alan tüm sağlayıcılar için fonların etkilenen sağlayıcılara hızlı bir şekilde teslim edilmesini sağlaması gerektiğini söyledi.
Biden yönetimi ayrıca sigorta şirketlerini ve diğer ödeme yapanları, etkilenen sağlayıcılara geçici ödemeler yapmak da dahil olmak üzere harekete geçmeye çağırıyor. “Özellikle daha yüksek ödeme yapanlar, ön ödemeler için bilanço istikrarına sahiptir. Ödeme yapanlar, köprü ödemeleri ile devreye girerek nakit akışı endişelerini ortadan kaldırma fırsatına sahiptir” (bkz: Sağlıkta Değişim Fiyaskosuna Sonraki Büyük Bombalar Düşecek).