Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet , Sağlık Hizmetleri
Ana Şirket UHG, İşitme Konusunda Gösterilmiyor ve Veri Sızıntısıyla Karşı Karşıya, 1,6 Milyar Dolarlık Saldırı Maliyetiyle Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Nisan 2024
Change Healthcare siber saldırısının artçı şokları, iyileşme sürecinin üzerinden yaklaşık 60 gün geçmesine rağmen hâlâ sağlık sektöründe yankılanıyor. Ancak Salı günü, Kongre üyeleri ve sektör uzmanları, gelecekte tekrar yaşanmasının nasıl önleneceğiyle boğuştu; önemli bir tanık hariç: Change Healthcare’in ana şirketi UnitedHealth Group.
Saldırının sağlık sektörü üzerindeki etkisini bir toplantıda tartışmak için Washington DC’ye gitmek yerine Temsilciler Meclisi alt komitesi duruşmasında UnitedHealth Group kazançlarını açıkladı ve mali analistlere saldırının 2024’ün ilk çeyreği kazançları üzerinde 872 milyon dolarlık “olumsuz etkisi” olduğunu söyledi.
Ayrıca bakınız: Kamu Sektöründe Bulut Korumalı Alan ile Kötü Amaçlı Yazılım Güvenliğinin Modernleştirilmesi
Ancak şirketin gelirleri yıllık bazda yaklaşık 8 milyar dolar artarak 99,8 milyar dolara yükseldi; bu da Wall Street’in üç aylık beklentilerini aştı. Şirket, saldırının yıl içinde yaklaşık 1,6 milyar dolara mal olabileceğini söyledi.
Bu arada, Wall Street ve ABD Kongre Binası’ndan çok uzakta, karanlık ağdaki bilgisayar korsanlarının, Change Healthcare saldırısında çalındığını iddia ettikleri verileri sızdırmaya başladıkları bildiriliyor. Siber suç çetesi RansomHub’un, karanlık web sitesinde, başka bir fidye yazılımı grubunun (BlackCat/Alphv) bir bağlı kuruluşu tarafından çalındığı iddia edilen 4 terabaytlık verinin bir örneğini gösteren birkaç ekran görüntüsü yayınladığı bildirildi (bkz: İkinci Çete, UnitedHealth Grubunu Fidye İçin Salladı).
“RansomHub, UnitedHealth/ChangeHealthcare’in artık satılık olduğunu iddia ediyor” söz konusu Emsisoft’ta tehdit analisti olan Brett Callow Salı günü X’te (eski adıyla Twitter) konuştu.
RansomHub listesi, Change Healthcare/UnitedHealth Group veri deposunun Medicare ve Tricare dahil “onlarca sigorta şirketine” ait olduğunu iddia ediyor.
Çok Büyük ve Baskın mı?
UnitedHealth Grubu bu son karanlık web gelişmesiyle mücadele ederken, Temsilciler Meclisi Enerji ve Ticaret Komitesi’nin Sağlık Alt Komitesi üyeleri ve sektör tanıkları, Change Healthcare saldırısının neden olduğu kitlesel bozulmaya yol açan birçok faktör üzerinde tartıştı.
Örneğin milletvekilleri, şirketin siber güvenlik planının böyle bir olayı atlatacak kadar sağlam olup olmadığını sorguladı. Uzmanlar, işin iç yüzünü henüz bilmediklerini ifade etti. ABD hükümetinin yanlışlıkla UnitedHealth Group’un birleşme ve satın almalar yoluyla çok büyük ve güçlü büyümesine izin verip vermediği, hastaneleri ve doktor muayenehanelerini daha küçük bir kritik tedarikçi havuzuna bağımlı bırakıp bırakmadığı konusunda da sorular ortaya çıktı.
“UnitedHealth Group, Change Healthcare’i 2021’de satın almayı önerdiğinde AHA, Adalet Bakanlığı’na işlemle ilgili önemli endişelerini dile getiren bir mektup yazdı ve bu satın almanın aynı zamanda rekabet açısından hassas çok büyük miktarda veriyi en çok ellerde yoğunlaştıracağını açıkladı. Amerikan Hastaneler Birliği’nin ulusal siber güvenlik danışmanı John Riggi, “Amerika Birleşik Devletleri’nin güçlü bir sağlık sigortası şirketi” dedi.
AHA’ya katılmadan önce eski bir FBI yetkilisi olan Riggi, “Geçtiğimiz iki ay, Change’in yıllar önce bildiği şeyi herkese gösterdi: Sağlık sistemi, Change Healthcare olmadan çalışmıyordu” dedi.
Sağlık Sektörü Koordinasyon Konseyi İcra Direktörü Greg Garcia, yasa yapıcılara, ABD’li düzenleyicilerin, artan siber risk potansiyelini ve ekosistem üzerinde “tek nokta” içeren “felaket” etki potansiyelini tartmak için sağlık sektöründe gelecekteki birleşme ve satın almaları dikkatle değerlendirmesi gerektiğini söyledi. arıza” ve yedekli sistemlerin eksikliği.
Saldırıda Change Healthcare, hastanelerin, doktorların ve eczanelerin güvendiği 100’den fazla uygulamayı kapatmak zorunda kaldı. İki ay sonra şirket bu sistemlerin sonuncusunu geri yüklerken pek çok uygulama hâlâ bu olumsuzlukla uğraşıyor (bkz.: Sağlık Hizmeti Saldırısını ‘Yıkıcı’ Doküman Uygulamalarıyla Değiştirin).
Texas Spine Center’da ortopedi cerrahı olan Dr. Adam Bruggeman, diğer birçok küçük sağlayıcının aksine, muayenehanesinin, Change Healthcare kesintisi sırasında haftalarca herhangi bir ödeme almadan hastaları ameliyat etmeye ve tedavi etmeye devam etmek için neyse ki yeterli nakit rezervine sahip olduğunu ifade etti.
“Bu, kapılarımızı hemen kapatma ihtimaliyle karşı karşıya kalmadığımız anlamına geliyor. Ancak hâlâ önemli zorluklar vardı” dedi.
Sistemler tekrar çevrimiçi hale gelse bile ödeme ve diğer alanlardaki sorunlar devam ediyor ve halledilmesi gereken iş yükleri çok fazla. Bu, hastaların kesinti sırasında aldıkları bakım için aldıkları yanlış faturaları düzeltmelerine yardımcı olmayı da içeriyor; bu faturalar için uygulama, ödemeyi yapanlara talepte bulunamıyor. Bruggeman, “Personelimin hastalara bu hatalı faturaları dikkate almamalarını öğretmek için sayısız saatler harcaması gerekiyor” dedi.
Birçok tanık, sağlık hizmetlerinde daha güçlü siber uygulamaların ve kontrollerin benimsenmesini teşvik etme çabalarının önemli olduğunu ancak gönüllü olarak kalması gerektiğini ve ceza tehdidiyle zorlamak yerine bağışlar gibi hükümet kaynakları yoluyla teşvik edilmesi gerektiğini ifade etti.
MedStar Health CIO’su ve Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji başkanı Scott MacLean, bu tür mali yardıma özellikle daha küçük, uzmanlaşmış ve kırsal kuruluşların ihtiyaç duyduğunu ifade etti.
“Sağlık sektörü yalnızca en zayıf halkası kadar güçlü olduğundan, federal hükümetin, küçük ve yeterli kaynaklara sahip olmayan sağlık hizmetleri sunan kuruluşların kendilerini siber güvenlik tehditlerine karşı korumalarına, tespit etmelerine, yanıt vermelerine veya bu tehditlerden kurtulmalarına yardımcı olmak için tasarlanmış programlara öncelik vermesi zorunludur.” söz konusu.
“Siber güvenlik, yalnızca bir alt küme değil, sağlık hizmetleri ekosisteminin tamamındaki paydaşlar arasında ortak bir sorumluluk olmalıdır.”
UnitedHealth Grubu Gelecekte Tanıklık Edecek
Pazartesi günü, yani duruşmadan bir gün önce, Temsilciler Meclisi Enerji ve Ticaret Komitesi, UnitedHealth Group CEO’su Andrew Witty’ye, Change Healthcare saldırısı ve şirketin olaya tepkisi hakkında bir mektup gönderdi.
Uzun komite soruları listesi, şirketin “Change Healthcare’e yönelik siber saldırı hakkında, UnitedHealth’in Change Healthcare sistemlerinin güvenliğini artırmak ve uzun süreli sistem kesintisini önlemek için attığı adımları içeren bir eylem sonrası raporu” kamuoyuna yayınlamayı taahhüt edip etmeyeceğini sormayı da içeriyordu.
Duruşma sırasında, Meclis Sağlık Alt Komitesi’nin bazı üyeleri, Change Healthcare’in ana şirketi olan UnitedHealth Group’un Salı günkü duruşmada ifade vermek üzere bir tanık göndermeyi reddetmesinden şikayetçi oldu.
Hatta birden fazla komite üyesi, UHG’nin Kongre önünde ifade vermek üzere mahkemeye çağrılması gerektiğini bile önerdi. Ancak duruşmanın sonunda, D-Calif.’den kıdemli üye Anna Eshoo, UHG’nin yaklaşan kongre duruşmasında ifade vermeyi kabul ettiğini yeni öğrendiğini açıkladı. Hangisi olduğunu söylemedi.
Senato Finans Komitesi de Change Healthcare saldırısıyla ilgili bir duruşma yapmayı planlıyor ancak bir tarih veya tanık listesi açıklamadı.
UnitedHealth Group, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.