3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Ancak Hastane Lobi Grubu, Fonlamanın 'Zor' ve 'Son Derece' Sınırlı Olduğunu İddia Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
4 Mart 2024
Change Healthcare işletmesinde siber saldırı kaynaklı büyük bir kesintinin üzerinden iki hafta geçtikten sonra UnitedHealth Group, sigorta ödemelerindeki kesinti nedeniyle nakit akışları azalan bazı sağlık hizmeti sağlayıcılarına kısa vadeli mali yardım sunuyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Şirketin geçici, faizsiz ve ücretsiz finansman yardımı, Change Healthcare sistemi kesintisinden etkilenen bazı sağlayıcı kuruluşlar için Optum Finansal Hizmetler birimi aracılığıyla sunuluyor.
UnitedHealth Pazartesi günü yaptığı açıklamada, “Ödeme operasyonlarına devam etmenin ve sağlık ekosistemi aracılığıyla ödeme akışını sürdürmenin aciliyetini anlıyoruz.” dedi.
“Standart ödeme işlemlerine devam etmek için çalışırken, Change Healthcare tarafından işleme alınan ödeme yapanlardan ödeme alan bazı sağlayıcıların finansmana daha hızlı erişime ihtiyaç duyabileceğinin farkındayız.”
UnitedHealth, standart ödeme işlemleri devam ettiğinde “fonların geri ödenmesi gerekecek” dedi.
UnitedHealth Group, programın talep gönderiminde kesinti yaşayan sağlayıcılar için değil, ödeme yapanlar tarafından ödeme dağılımı etkilenen sağlayıcılar için olduğunu söyledi.
“Bu programı kolaylaştırmak için kullandığımız ödeme altyapısı, federal hükümetin, salgının en yoğun olduğu dönemde sağlayıcılara CARES Yasası finansman desteğini yönetmesine yardımcı olmak için kullandığımız yeteneğin aynısıdır” dedi. “Bu meseleyi çözmek için hızla çalışan UnitedHealth Group'un tam gücüne sahibiz.”
Bazı uzmanlar UnitedHealth Group'un yardım programının siber olayların etkilerini ele almanın alışılmadık bir yolu olduğunu söyledi.
Avukat Rachel Rose, “Bu yeni bir yaklaşım” dedi. Kendisinin karıştığı benzer davalarda “ne talep başvuruları ne de beklenen fonlar ele alındı” dedi.
Rose, “Etkilenen kişiler, nakit akışı açığını kapatmak için sigorta şirketleri, bankalar vb. ile iletişime geçmek zorunda kaldı” dedi.
UnitedHealth'in mali yardım sunma hamlesi aynı zamanda şirkete, azalan gelirlerden veya diğer ölçülebilir zararlardan etkilenen kuruluşlar tarafından açılacak olası davalarda da yardımcı olabilir. Rose, “Bu, zararları hafifletmenin önleyici bir yoludur” dedi.
Dar kapsam?
UnitedHealth'in sunduklarından herkes etkilenmez.
Amerikan Hastaneler Birliği Pazartesi günü yaptığı açıklamada mali yardım teklifini eleştirdi ve programın “son derece az sayıda” hastane ve sağlık sistemi için geçerli olduğunu söyledi.
AHA, programın “Sağlık Hizmeti kesintisinin neden olduğu finansmandaki boşlukları kapatmakta çok yetersiz kaldığını” söyledi. AHA, “Özellikle bu program, sağlık hizmetleri taleplerinin işlenmesinde karşılaşılan iki büyük sorundan yalnızca birini ele almayı amaçlıyor: ödeme yapanların Change Healthcare aracılığıyla ödeme yapamaması.” dedi.
“Sağlayıcıların karşılaştığı ikinci ve aynı derecede sorunlu sorunu tamamen göz ardı ediyor: ödeme yapanlara taleplerin doğru ve zamanında gönderilememesi. Başka bir deyişle, bu 'yardım programı', devam eden ödemeler nedeniyle ödeme yapanlara fatura kesemeyen sağlayıcılar için çok sınırlı bir rahatlama sağlıyor. AHA, Change Healthcare'in yaygın takas merkezinin ve talep gönderme sistemlerinin kesintiye uğradığını belirtti.
Ayrıca mali yardım anlaşmasının hüküm ve koşullarını da “şok edici derecede külfetli” olarak nitelendirdi.
Süreç Geçici Çözümleri
Change Healthcare'in ana şirketi UnitedHealth, Pazartesi günü yaptığı durum güncellemesinde şirketin 21 Şubat'ta tespit edilen Change Healthcare siber saldırısından etkilenen BT ortamını eski haline getirmek için “birden fazla yaklaşım” üzerinde çalıştığını söyledi (bkz: Gruplar Sağlık Sektörünü Değişim Konusunda Uyardı Sağlık Hizmetlerinde Siber Serpinti).
Şirket, “tüm sistemlerimizde proaktif ve agresif olmaya devam ettiğini ve sistemde herhangi bir sorundan şüphelenirsek derhal harekete geçeceğimizi” söyledi.
Bu arada şirket, “eczane geçici çözümleriyle ilgili iş yükünün azaltılmasına yardımcı olmak için çevrimiçi bir ortam olan e-reçetenin artık aktif olduğunu” söyledi. Bu geçici çözümler arasında bilgi göndermek, uygunluğu kontrol etmek, talepte bulunmak için talep durumuna bakmak, ön izinleri temizlemek ve reçeteleri doldurmak için manuel süreçler yer alır.
UnitedHealth, “Biz sorunu çözerken, en çok etkilenen ortaklar sistemlerimizden ayrılan ve/veya geçici çözümleri uygulamayı seçmeyenlerdir” dedi.
Pazartesi itibarıyla Change Healthcare'in 100'den fazla BT ürünü hâlâ çevrimdışıydı. Buna klinik, gelir döngüsü yönetimi ve hastaneler, eczaneler, diş muayenehaneleri ve sigortacılar da dahil olmak üzere çok çeşitli sağlık sektörü kuruluşlarını etkileyen bir dizi başka uygulama dahildir.
UnitedHealth, “Sistemleri ve hizmetleri geri yüklemek için hızlı ve güvenli bir şekilde 24 saat çalışıyoruz” dedi. “Bilgilerimizi, müşteri ve tüketici bilgilerimizi veya sistemlerimize olan bağlantımızı korumak söz konusu olduğunda kısayollara veya herhangi bir ek riske girmeyeceğiz.”
Change Healthcare'i 2022 yılında 7,8 milyar dolara satın alan UnitedHealth Group'un bir birimi olan Optum, Change Healthcare'in yılda 15 milyar sağlık hizmeti işlemi gerçekleştirdiğini söyledi. Şirket, Change Healthcare'in klinik bağlantı çözümlerinin ABD'deki 3 hasta kaydından 1'ine “dokunduğunu” söyledi (bkz: Sağlık Hizmetlerinde Mega Hack Değişiminin Yaygın Etkisi).
Geçen hafta şirket, BlackCat'i iddia eden siber suç tehdit aktörleri tarafından gerçekleştirilen bir siber güvenlik olayıyla karşı karşıya olduğunu doğruladı. Yine AlphV'nin de çalıştığı Rusça konuşan fidye yazılımı grubu, geçtiğimiz hafta karanlık ağda Change Healthcare'den şirketin “tüm” müşterilerine ait 6 terabaytlık “son derece seçici verileri” sızdırdığını yayınladı (bkz: BlackCat, Federal Kapatmanın Ardından Sağlık Sektörüne Saldırıyor).
UnitedHealth, gizlilik ve güvenlik ekiplerinin olayda hasta, üye veya müşteri bilgilerinin tehlikeye girip girmediğini “anlamak için çalıştığını” söyledi.
UnitedHealth ayrıca olayın yalnızca Change Healthcare BT sistemlerini kapsadığına ve saldırının Optum, UnitedHealthcare ve UnitedHealth Group sistemlerini etkilemediğine dair “yüksek düzeyde güvene” sahip olduğunu söyledi.
UnitedHealth, Mandiant ve Palo Alto Networks'ün araştırma ve kurtarma konusunda UnitedHealth ile birlikte çalıştığını ve Microsoft ve Amazon Web Services'in şirketin bulut ortamının “ek taraması” için anlaştıklarını söyledi.
UnitedHealth, “Çapraz bulaşma olduğuna veya bunun bu sınırların ötesine geçtiğine dair hiçbir kanıt yok” dedi.
Eczane Kesintileri
Büyük perakende zincirlerinden askeri hastane ve kliniklerdekilere kadar eczaneler, kesintiden en çok etkilenen sağlık sektörü kuruluşları arasında yer alıyor (bkz: Sağlık Hizmeti Kesintisi Dünya Çapındaki Askeri Eczaneleri Etkiliyor).
UnitedHealth, “Tüm eczane yönetim sistemleri çevrimdışı talepleri işleyebilir ve eczanelerle birlikte çalışarak onların bu kesinti sırasında tüketicilere yönelik reçeteleri nasıl dolduracaklarını bilmelerini sağlamak için çalışıyoruz” dedi. “Çevrimdışı işlemenin yanı sıra, pek çok büyük perakende eczane, taleplerini, talep gecikmelerini önlemeye yardımcı olacak bir yedek olan Relay Health ağı aracılığıyla yönlendirme olanağına sahip.”
UnitedHealth, eczaneler geçici çözümler üretmeye devam ederken, veriler eczane taleplerinin “normale yakın seviyelerde aktığını” gösteriyor.
UnitedHealth, “Çevrimiçi Change Healthcare eczane ağını ayrı bir ortamda geri getirmeye devam ediyoruz. Bu kesintiden önce Change eczane işlemlerimizin bir kısmını zaten bulutta ayrı bir ortamda işliyorduk” dedi.
“Artık bu ortamı ölçeklendiriyoruz ve eczaneler ve ödeme yapanlarla kapsamlı bağlantılar kuruyoruz, bu nedenle önümüzdeki hafta başında bu eczane değişikliği lansmanının zaman çizelgesini duyurma konusunda kendimize güveniyoruz. Bu ağı oluşturmak, eczane talep gönderimlerini mümkün kılacaktır.”
UnitedHealth Group, Information Security Media Group'un mali yardım programı ve Change Healthcare siber saldırısıyla ilgili ek ayrıntılara yönelik talebine hemen yanıt vermedi.
Siber Sigorta Konuları
Haynes Boone hukuk firmasının ortaklarından Avukat Peter Halprin, Change Healthcare saldırısının, üçüncü taraf hizmetlerine bağımlı olan kuruluşların, hizmet sağlayıcı kesintileriyle ilişkili gelir kayıplarına kadar uzanan sigorta almalarının öneminin altını çizdiğini söyledi.
“Bu tür saldırıların potansiyel mali sonuçları göz önüne alındığında, şirketlerin siber sigortanın sağladığı temel korumayı dikkate alması gerekiyor” dedi. Özellikle bu tür politikalar “geniş iş kesintisi kapsamı sağlayabilir.”