Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Ayrıca Senato Tasarısı, Siber 'Standartları' Karşılayan Firmalara Ödeme Kolaylığı Öneriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
22 Mart 2024
Midwest'teki bir huzurevi işletmecisi, mali sıkıntılarına katkıda bulunan faktörler olarak geçen sonbaharda gerçekleşen fidye yazılımı saldırısının etkilerini ve son Change Healthcare kesintisinden kaynaklanan etkileri öne sürerek iflas başvurusunda bulundu.
Ayrıca bakınız: Kamu Sektöründe Bulut Korumalı Alan ile Kötü Amaçlı Yazılım Güvenliğinin Modernleştirilmesi
Peoria, Illinois merkezli Petersen Health Care olarak faaliyet gösteren SC Healthcare Holdings LLC, Çarşamba günü yaptığı federal mahkeme başvurularında, Ekim fidye yazılımı saldırısından kaynaklanan devam eden mali sorunlar ve ödeme yapanların ödemelerinde meydana gelen kesintiler nedeniyle Bölüm 11 iflas koruması istediğini söyledi. Change Healthcare'e yönelik son siber saldırının yanı sıra bir dizi başka zorluk.
Diğer sorunlar arasında Kovid-19 salgınının kalıcı etkileri, personel alımındaki zorluklar ve gıda, ilaç ve tıbbi malzeme maliyetleri üzerindeki enflasyonist baskılar yer alıyor.
Cuma günü, Senatör Mark Warner, D-Va., bir siber olay durumunda, sağlayıcılar ve satıcıları minimum siber güvenliği karşıladığı sürece, hükümetin nakit sıkıntısı çeken sağlık hizmeti sağlayıcılarına ödemeleri ilerletmesine ve hızlandırmasına izin verecek bir yasa çıkardı. ABD Sağlık ve İnsani Hizmetler Bakanlığı tarafından belirlenen standartlar.
Warner'ın 2024 tarihli Sağlık Hizmetleri Siber Güvenliği İyileştirme Yasası, HHS'nin bir siber olay nedeniyle sağlık hizmeti sağlayıcılarına avans veya hızlandırılmış ödemeye ihtiyaç olup olmadığını belirlemesini zorunlu kılarak mevcut Medicare Hastanesi Hızlandırılmış Ödeme Programı ve Medicare Kısım B Peşin Ödeme Programının değiştirilmesini önermektedir. Kuruluşun minimum siber güvenlik standartlarını karşılaması şartıyla.
Warner Cuma günü yaptığı açıklamada, “Change Healthcare'in son saldırısı, tüm sağlık sektörünün savunmasız olduğunu ve oyununu hızlandırması gerektiğini hatırlatıyor” dedi.
Warner, Change Healthcare saldırısının “ülke çapındaki sağlayıcılar için faturalandırma hizmetlerini felç ederek birçok kişiyi mali açıdan aciz duruma düşme tehlikesiyle karşı karşıya bıraktığını” söyledi.
Petersen'in Mali Sıkıntıları
Mahkeme belgelerine göre Petersen, Illinois, Iowa ve Missouri'de toplamda 6.700'den fazla yatağa sahip 90 bakım evi işletiyor ve 4.000 işçi çalıştırıyor. Belgelere göre 2023 yılında yıllık işletme geliri 339,7 milyon doları aştı.
Mahkeme belgelerine göre şirketin, ABD Konut ve Kentsel Gelişim Bakanlığı tarafından sigortalanan krediler kapsamındaki 45 milyon dolar da dahil olmak üzere 295 milyon dolar borcu bulunuyor.
David, şirketin 21 Şubat Change Healthcare siber saldırısına ilişkin basında çıkan haberleri görmesinden kısa bir süre sonra, Petersen Health Care'in “belirli ödeme yapanlardan gelen geri ödemelerin yavaşladığını fark ettiğini ve ardından borçlulara borçlu olunan tutarların Change siber saldırısı nedeniyle askıya alındığına dair ödeme yapanlardan olumlu bir şekilde haber aldığını” söyledi. Petersen'in yeniden yapılanma şefi Campbell, bir mahkeme belgesinde.
Campbell, Petersen, Change Healthcare saldırısının etkisini değerlendirmeye devam ederken, “borçluların likidite profili üzerinde önemli bir etkisi olduğuna şüphe yok” dedi.
Campbell mahkeme belgelerinde, Change Healthcare saldırısıyla ilgili baskıların, Beyaz Ninja olarak tanımlanan bir grup tarafından Ekim ayında gerçekleştirilen fidye yazılımı saldırısının ardından Petersen'in hâlâ uğraştığı zorlukları artırdığını söyledi.
Campbell, saldırganların Petersen sistemlerinin çoğuna sızarak şirketin tarihi ve güncel fatura kayıtlarına, diğer kitaplara, kayıtlara ve e-postalara erişimini etkilediğini söyledi.
“Borçlular, fidye yazılımı saldırısının etkisinin giderilmesine yardımcı olmak için hızlı bir şekilde bir danışmanla temasa geçti ve saldırıyı FBI'a bildirdi” dedi. Petersen yeni sunucular, e-posta adresleri ve değiştirme yazılımıyla tekrar çevrimiçiyken, “saldırıda borçluların önemli miktardaki defterleri ve kayıtları kayboldu, bu da borçluların alacak hesaplarının takibinde inanılmaz zorluklara ve gecikmelere yol açtı. Campbell, mahkeme belgesinde “Borçluların gelirinin önemli bir kısmı.” dedi.
Bu zorluklar arttıkça “borçlular likidite sorunlarıyla karşı karşıya kaldılar ve ardından çeşitli kredi olanaklarıyla temerrüde düştüler” dedi.
Campbell, “Borçluların sakinlerine bakım sağlamaya devam etme ihtiyaçları göz önüne alındığında, borçlular danışmanlarıyla istişarede bulunarak, borç verenlere borçlu oldukları anapara ve faiz ödemelerinden vazgeçmeyi ve kritik sakin bakımının devam etmesini sağlamayı gerekli gördüler” dedi. “Bu temerrütler arttıkça, yedieminlik davaları açıldı ve borçluların likidite sorunları kötüleşti. Borçluların mevcut borç verenleri ek finansman sağlamayı reddettikten sonra bu Bölüm 11 Davalarının açılması gerekli hale geldi.”
Petersen Health Care, Information Security Media Group'un iflas başvurusuna ilişkin ek bilgi talebine hemen yanıt vermedi.
Yaygın Sektör Zorlukları
Petersen mahkeme belgelerinde kendisini ABD'deki en büyük huzurevi işletmecilerinden biri olarak tanımlıyor. Ancak ülke çapındaki çok daha küçük sağlık sağlayıcıları, Change Healthcare saldırısının talep işleme ve daha geniş mali operasyonlar üzerindeki etkisini özellikle hissediyor.
Albany, Mississippi merkezli Advanced Obstetrics & Gynecology PC, 14 Mart'ta uygulama ve UnitedHealth Group'a yapılan siber saldırı nedeniyle “ABD'deki taleplerin ve gelir döngüsü hizmetlerinin işlenmesinde gecikmeler yaşayan tüm tıbbi sağlayıcılar” adına toplu dava önerisi sundu. Sağlık birimini değiştirin (bkz.: Nakit Sıkıntısındaki Kadın Kliniği Saldırı Nedeniyle UnitedHealth'e Dava Açtı).
Kadın sağlığı kliniği bunu söyledi ve “binlerce olmasa da yüzlerce” sağlık hizmeti sağlayıcısı, ciddi nakit akışı ve Change Healthcare BT kesintisinden kaynaklanan mali sorunlar nedeniyle iflas olasılığıyla karşı karşıya.
Finansal derecelendirme şirketi Fitch Ratings, bu hafta Change Healthcare siber güvenlik olayının küçük sağlık hizmeti sağlayıcılarının, eczanelerin ve işletme sermayesi ile ilgili hizmetler için Change'e güvenen diğer şirketlerin kredi profillerini olumsuz etkileyebileceğine dair uyarıda bulunan bir rapor yayınladı.
“21 Şubat'ta Change'e düzenlenen siber saldırının ardından şirketlerin nakit akışlarının ne ölçüde bozulduğunu, mevcut likidite kaynaklarının yeterliliğini, hissedar ve borç veren desteği gibi diğer kaynakların olasılığını ve yeterliliğini değerlendiriyoruz. ve ihraççılar diğer hizmet sağlayıcılara geçtiğinde,” dedi Fitch.
Fitch, UnitedHealth Group tarafından sağlanan geçici likidite kaynaklarını ve HHS'nin Medicare & Medicaid Services Merkezleri tarafından 9 Mart'ta açıklanan Change Healthcare/Optum hızlandırılmış ödeme planını da değerlendirdiğini ekledi.
Change Healthcare, belirli BT işlevlerine erişimi yavaş yavaş yeniden sağlıyor ve UnitedHealth Group, taleplerin işlenmesi de dahil olmak üzere ek hizmetlerin bu hafta çevrimiçi olmaya başlayacağının sözünü vermişti.
Fitch, “Herhangi bir kredi etkisinin, geçici nakit akışı kesintilerine bile dayanabilecek sınırlı mali esneklikleri nedeniyle daha küçük şirketlerle sınırlı olacağına inanıyoruz” dedi. “Bu şirketler genellikle “CCC” veya düşük ila orta “B” kategorilerinde derecelendiriliyor ve bu da çok düşük güvenlik marjlarını gösteriyor. Özel kredi veren kuruluşlar gibi doğrudan kredi verenlerden borç alan şirketler, geçici olarak pazarlık yapabilirler. Borç verenler ve hissedarlarla koordineli olarak yardım.”
Fitch, genellikle halka açık olan yüksek dereceli şirketlerin bu tür aksaklıklara dayanabilecek yeterli esnekliğe sahip olduğunu varsaydığını söyledi. Fitch, “Bu, olayı 8-K'ların verilmesini garanti edecek kadar önemli görmeyen halka açık ihraççıların çoğu tarafından destekleniyor. Ancak olaydan etkilenen tüm şirketler için mali sonuçlara ilişkin ayrıntılar 1Ç24 sonuçları açıklandıktan sonra netleşecek” dedi.
Güvenlik firması Critical Insight'ın kurucusu ve CISO'su Mike Hamilton, “Change Healthcare saldırısının bir sonucu olarak küçük sağlayıcıların aldığı mali darbe henüz bitmedi ve çalışanların kaybı ve hastaların kaçışı da dahil olmak üzere bir süre daha yansıyacak” dedi.
Saldırıdan etkilenen kurumları bekleyen potansiyel zorlukların da artmaya devam edeceğini söyledi. “Önerildiği gibi, hâlâ askıda tutulan kayıtlar varsa ve bunlar kamuya açıklanırsa, her sağlayıcının kendi veri ihlali raporunu sunması gerekecek ve davaya ve daha fazla düzenleyici incelemeye tabi tutulabilecektir” (bkz.: Sağlıkta Değişim Fiyaskosunda Düşecek Bir Sonraki Büyük Bomba.)
Hamilton, Change Healthcare saldırısının “kademeli başarısızlığa” bir örnek olduğunu ve İç Güvenlik Bakanlığı'nın kritik altyapı koruma ekosisteminin hükümet ve sektör koordinasyon konseyleri aracılığıyla incelediği bir sorun olduğunu söyledi.
Saldırı aynı zamanda, kritik BT ürün ve hizmetlerinin satıcılarının, çok az seçeneğin kaldığı büyük, baskın tedarikçiler yaratan birleşme ve satın almalardan geçmesinin potansiyel etkisini de vurguluyor. UnitedHealth'in Optum birimi, Change Healthcare'i 2022'de satın aldı ancak bundan önce şirket bir dizi başka birleşme ve satın alma sürecinden geçmişti.
“Finansal hizmetlerin neredeyse tek bir sağlayıcıda birleştirilmesi sağlık sektörünün neredeyse başarısız olmasına neden olduğundan, temel hizmetleri birleştirmeye yönelik daha fazla girişimin, ABD Menkul Kıymetler ve Borsa Komisyonu ve diğer kuruluşlara danışmanlık yapacak olan DHS'nin incelemesinden sağ çıkması pek olası değil. Hamilton, “Bu tür konsolidasyonların yarattığı riskler konusunda ajansların dikkatini çektik ve bu öğrenilen bir derstir” dedi.
Ocak ayında HHS, Biden yönetiminin sağlık hizmetlerinde siber güvenliğin durumunu iyileştirme stratejisinin bir parçası olarak, sektör için gönüllü “temel” ve “geliştirilmiş” siber güvenlik performans hedeflerini ayrıntılarıyla anlatan bir kılavuz yayınladı (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
Warner'ın önerdiği mevzuatın ilerlemesi durumunda, bu CPG'lerin, bir siber saldırı sonrasında gelişmiş veya hızlandırılmış Medicare ödemelerine hak kazanmak için sağlık kuruluşlarının karşılaması gereken HHS tarafından belirlenen “minimum siber güvenlik standartları” arasında yer alması muhtemeldir.
Critical Insight'ın gelir sorumlusu Jake Milstein, Change Healthcare saldırısının daha fazla hükümet düzenlemesine yol açacağını söyledi.
Milstein, “HHS siber güvenlik performans hedefleri isteğe bağlıdır. Bunların zorunlu hale gelmesini bekleyin” dedi.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin güvenlik şefi Errol Weiss, Sağlık Hizmetlerini Değiştir saldırısının sağlık sektöründeki birçok kritik ihtiyaca ışık tuttuğunu söyledi.
“HHS, kritik olaylar sırasında yardım sağlamalıdır. Change Healthcare olayında, etkilenen sağlayıcılara mali yardım (kredi) sağlamalı ve UHG'nin restorasyon çabalarına odaklanmasına izin vermelidir” dedi.
Weiss, sağlık hizmetleri ve kamu sağlığı sektörü genelinde sistemik bir risk analizini tamamlamak için HHS tarafından finanse edilen, “on yıl önce finansal hizmetler sektöründe yapılana benzer şekilde” bir kamu/özel görev gücünün oluşturulması gerektiğini söyledi.
Ayrıca kamu ve özel sektörün, geniş çaplı etkileri olan kritik bir sektör olayı için önceden planlama yapması ve düzenli olarak egzersiz yapması gerektiğini söyledi.
“Sağlık sektörü bu planların daha fazla planlanması ve uygulanmasından faydalanacaktır, böylece HPH bir sonraki olayda müdahale etmeye daha hazırlıklı olacaktır.”