3. Taraf Risk Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Optum'un BT Hizmetleri Birimi'ne Yapılan Saldırı, Sağlık Sektörünü Vuracak En Kötü Saldırı Olabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Mart 2024
ABD sağlık ekosistemindeki binlerce kuruluşun liderlerinin, BT hizmetleri sağlayıcısı Change Healthcare'e yapılan BlackCat fidye yazılımı saldırısının da dahil olduğu devam eden hikayenin sonuçlarından korktuğunu düşünmek adil bir tahmin.
Ayrıca bakınız: İlk Yıllık Üretken Yapay Zeka Çalışması – İş Ödülleri ve Güvenlik Riskleri: Araştırma Raporu
Düşebilecek bir sonraki büyük bomba nedir? Olayın ABD sağlık sektörünü vuran en kötü siber saldırı olarak şekillendiği göz önüne alındığında, aralarından seçim yapabileceğiniz pek çok olasılık var (bkz.: BlackCat Fidye Yazılımı Grubunun 'Nöbet' Çıkış Dolandırıcılığı Olduğu Görünüyor).
Sağlık sektörü pek çok yıkıcı saldırıya maruz kaldı ancak çoğu durumda etki, neyin ve kimin etkilendiği açısından bölgesel veya sınırlıydı.
2014'ün sonlarına doğru, rapor edilen en büyük sağlık verisi ihlali olma rekorunu elinde bulunduran (yaklaşık 79 milyon kişi etkilendi) kötü şöhretli Anthem siber saldırısı bile tüm sağlık ekosisteminin aksamasını içermedi.
Şu ana kadar Change Healthcare, tıbbi talepleri işleme almak gibi çoğunlukla görünmez ama kazançlı olan işi gerçekleştirdi. Bir tahmine göre, UnitedHealth Group'un Optum yan kuruluşu tarafından 2022'de 7,8 milyar dolara satın alınmadan önce, fatura pazarının yaklaşık dörtte üçünü kontrol ediyordu.
Change Healthcare, doktorları ödeme yapanlarla bağlayan bir bağdır ve bu bağın bozulması, sağlık sektörünün ayağa kalkmasını engelleyen dizin kırılmasına eşdeğerdir. Ülkenin en büyük bağımsız hekim muayenehaneleri ağı olan Aledade'nin CEO'su Farzad Mostashari, Salı günü The Washington Post'a yaptığı açıklamada, doktor muayenehanelerinin dörtte birinin ciddi mali sıkıntı içinde olduğunu söyledi. Mostashari, eski Başkan Barack Obama döneminde ABD Sağlık ve İnsani Hizmetler Bakanlığı'nın sağlık bilişimi ulusal koordinatörüydü.
Etkilenen birçok kuruluş için Change Healthcare'in siber olayı, çok uzun bir süre boyunca üstesinden gelmeye çalıştıkları nakit akışı sorunlarından kaynaklanan ciddi mali zorluklar anlamına geliyor ve bu durum, potansiyel olarak bazılarını hayatta kalma sınırına itebilir.
Amerikan Hastaneler Birliği bu hafta gönderdiği bir mektupta Kongre'ye, Sağlık Hizmetlerini Değiştirme olayının “Amerika'nın en büyük sağlık şirketlerinden birine yönelik benzeri görülmemiş bir saldırı” olduğunu ve hastaların reçete alma ve bakım planlama konusunda zorluk yaşamasına neden olduğunu söyledi.
“Şaşırtıcı gelir kaybı, bazı hastanelerin ve sağlık sistemlerinin klinisyenlerin ve bakım ekibinin diğer üyelerinin maaşlarını ödeyememesi, gerekli ilaç ve malzemeleri alamaması ve fiziksel güvenlik gibi alanlarda görev açısından kritik sözleşmeli işler için ödeme yapamaması anlamına geliyor. AHA milletvekillerine “Diyet ve çevresel hizmetler” dedi.
Diğerleri için bu olay, Change Healthcare'in gelir döngüsü, talep işleme, hasta yetkilendirmesi, klinik bilgi alışverişi ve çok daha fazlasına kadar değişen 100'den fazla BT ürününün sonuçta etkilenmesi nedeniyle geçici manuel süreçlerden otomatik süreçlere uzun ve zor bir geçişle uğraşmak anlamına geliyor. tekrar çevrimiçi olun (bkz: Sağlık Hizmeti Kesintisi Dünya Çapındaki Askeri Eczaneleri Etkiliyor).
Muhtemelen her Change Healthcare müşterisi için, başlarının üzerinde sallanan bir sonraki büyük bomba, Change Healthcare fidye yazılımı saldırısında korunan sağlık bilgilerinin tehlikeye girdiği konusunda kaç hastasının bilgilendirilmesi gerektiğini bir kez ve tamamen öğrenmektir. Binlerce mi? Yüz binlerce? Milyonlarca mı? Kim bilir? Ancak BlackCat saldırganlarının Change Healthcare'den 6 terabaytlık veri sızdırdığını iddia etmesiyle, bu kesinlikle çok fazla olacaktır.
İhlallerin yanı sıra başka birçok ekstra yük ve belirsizlik de gelecektir. Change Healthcare müşterileri kaç davada müşterek davalı olarak adlandırılabilir? Mevzuat ihlali raporlama ve soruşturma sürecinin bir parçası olarak kaç aşamadan geçmeleri gerekecek?
Salı günü HHS, Change Healthcare saldırısından sonra toparlanmaya devam ederken birçok kuruluşun karşılaştığı nakit akışının ve diğer baskıların bir kısmının hafifletilmesine yardımcı olmak için çeşitli düzenleyici manevralarla devreye girdiğini söyledi.
AHA, şu ana kadar alınan HHS önlemlerinin “kapsamının dar olduğunu ve bu siber olayın karmaşık yansımalarını yeterince ele almadığını” ileri sürüyor.
Change Healthcare saldırısının hemen ardından son büyük bombalar da düştüğünde, bu olayın şirketin BT ortamı ve dolayısıyla sektörün geri kalanı üzerinde nasıl bu kadar yaygın bir etkiye sahip olduğuna dair kesinlikle çok sayıda inceleme ve analiz yapılacak. .
UnitedHealth Group, bazı sağlayıcıların nakit akışı zorluklarıyla karşı karşıya kalmalarına yardımcı olmak için kısa vadeli finansman şeklinde bazı mali yardımlar sunma konusunda benzeri görülmemiş bir adım attı. Hiçbir büyük üçüncü taraf satıcı, ihlal edildikten sonra bunu yapmadı. Ancak yine de AHA ve diğer gruplar, sunulan mali yardımın uygun kuruluşlar açısından çok sınırlı olduğunu söylüyor.
Her durumda, UnitedHealth Group'un bir sonraki büyük adımı, edindiği dersleri sağlık güvenliği topluluğuyla paylaşmak olmalıdır.
Umarız, saldırının otopsisinden, yalnızca gelecekte bu büyüklükte benzer bir olayın önlenmesine yardımcı olmak için değil, aynı zamanda sektörü “bir dahaki sefere” daha iyi hazırlamak için pek çok aydınlatıcı ders ortaya çıkacaktır.