Veri ihlali bildirimi, veri gizliliği, veri güvenliği
Milletvekilleri, yeni ihlal ve büyüyen serpinti ortasında UHG’den cevaplar talep ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
7 Ağustos 2025
ABD tarihindeki en büyük sağlık veri ihlalinin kurbanı olduğunuzda ve aylardır yoğun ve düzenleyici bir inceleme altında olduğunuzda, yapmak istediğiniz son şey, sonuncusundan bir yıldan daha az bir büyük ihlal bildirmektir.
Ayrıca bakınız: Ondemand Web Semineri | Yapay zeka ile çalışan önceliklendirme ile güvenlik açığı gürültüsünün% 99’unu ortadan kaldırın
Ancak bu sadece UnitedHealth Group’a oldu ve Kongre üyeleri cevaplar talep ediyor. Bir kez daha, UHG’nin agresif büyüme stratejisi ve riski yönetme yeteneği gündemde.
Haziran ayında, yakın zamana kadar çok fazla insanın UHG’nin bir parçası olduğu hakkında hiç duymadığı ve hiçbir fikri olmayan bir tıbbi kodlama şirketi olan Episource, 5.4 milyon Amerikalıyı ABD Sağlık ve İnsan Hizmetleri Departmanına etkileyen bir hack olayı bildirdi.
Perşembe itibariyle, epizource hack, 2025’te HHS’nin Sivil Haklar Ofisi’ne bildirilen ikinci en büyük sağlık verileri ihlali olarak sıralandı. Ancak başka bir UHG ihlali – 2024 Hack Health BT hizmet birimine kıyasla – epizource olayı küçük patates.
UHG’nin Optum yan kuruluşu, Optum’un Change Healthcare’i satın almasından yaklaşık bir yıl sonra 2023’te epizource satın aldı. Şu an itibariyle, fidye yazılımı grubu ALPHV/Black Cat’in Şubat 2024 Saldırısı Sağlık Healthcare’e saldırı, tek büyük HIPAA ihlali ve ABD Sağlık Sektörüne çarpacak en yıkıcı siber saldırı olarak Infamy’de yaşamaya mahkum gibi görünüyor.
Healthcare’in 2024’ün sonlarında federal düzenleyicilere son güncellenen kamu ihlali raporunu değiştirme, saldırının 190 milyon insanın korunan sağlık bilgilerini tehlikeye attığını söyledi. Bu, başka bir sağlık sigortası – Anthem Inc. – – yıllarca yaklaşık 79 milyon kişiyi etkileyen 2014 hackleme olayı ile en büyük ihlal unvanını gerçekleştirdiğini göz önünde bulundurarak göz kamaştırıcı bir numara (bkz: bkz: Sağlık Hizmetini Değiştirme artık 190 milyon veri ihlali kurbanını sayıyor).
Ancak New Hampshire’ın başsavcılığına gönderilen bir mektupta UHG’ye göre, şimdi değişim sağlık ihlalinin kurbanı geçen hafta 192.7 milyon kişiye tırmanarak daha da yüksek.
Bu ihlal, 2024’te ABD nüfusunun yaklaşık% 57’sini temsil ediyor. Ve bu, değişim sağlık fidye yazılımı saldırısından kısa bir süre sonra UHG’nin orijinal tahmininden, üçte bir Amerikalıların etkileneceği.
HHS OCR, Mart 2024’te değişim sağlık olayıyla ilgili bir soruşturma başlattı. HIPAA İcra Ajansı Perşembe günü ISMG’ye genel olarak mevcut veya açık soruşturmalar hakkında yorum yapmadığını ve ISMG’nin değişim sağlık ihlali ile ilgili diğer ayrıntılar talebine hemen yanıt vermediğini söyledi.
HHS OCR, değişim sağlık ihlali veya bölüm hackiyle ilgili soruşturması hakkında bir kamu raporu yayınladığında – belki de UHG’ye karşı bir karar sözleşmesi veya sivil para cezası şeklinde – muhtemelen hatalı risk analizi bulgularının dikkate alınacağı güvenli bir bahis. Bu, ihlalleri takiben HHS OCR tarafından araştırılan HIPAA kaplı firmaların ve iş ortaklarının çoğunluğu ile devam eden bir zayıflık oldu.
Yaklaşık 2.700 iştirak ve iş birimi ile UHG, şüphesiz kapsamlı bir işletme çapında HIPAA güvenlik risk analizinde ve güncel tutmada bazı karmaşık zorluklarla karşı karşıya. Değişim sağlık hizmetlerinin ve bölümünün – UHG tarafından satın alınmasından hemen önce veya hemen sonra – daha iyi risk analizi, bu hack’lere katkıda bulunan bazı güvenlik açıklarını almış mıydı?
Belki UHG tüm kurumsal riskleri yönetemeyecek kadar büyümüştür. Belki büyük bir şirket bunu yapamaz ve hastalar da daha fazlasını beklememelidir.
Kongre aynı soruları bir yıldan fazla bir süredir soruyor ve UHG’nin son hackleri, gereken özen ve risk analizi ile ilgili sorular da dahil olmak üzere yeni bir hükümet incelemesi turu yapıyor.
Bu haftanın başlarında, iki ABD senatörü – Bill Cassidy, R -La. Ve Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi Başkanı – ve Maggie Hassan, DN.H. – UHG CEO’su Stephen Hemsley’e epizource ihlali ve UHG’nin geçen yıl değişim sağlık siber saldırısının ardından güvenliği desteklemek için attığı adımlar hakkında bir mektup gönderdi.
Senatörler, “Change Healthcare’deki hack, UHG’nin UHG’nin değişim sağlık hizmetini satın aldıktan sonra çok faktörlü kimlik doğrulama uygulanamamasından ve eski sistemleri yükseltmemesinden kaynaklanıyordu.” Diyerek şöyle devam etti: “UHG’nin 2023’te satın aldığı epizource hack, şirketteki tekrarlanan güvenlik başarısızlıkları göz önüne alındığında, şirketin PHI’yi güvence altına alma taahhüdüyle ilgili sorular gündeme getiriyor.”
Mektupta, “Sağlık saldırısının sağlık sistemi üzerindeki değişiminin geniş bir etkisi göz önüne alındığında, iç sistemleri düzgün bir şekilde güvence altına alamaması, özellikle rahatsız edicidir.” Dedi. Diyerek şöyle devam etti: “Siber saldırılar riski sağlık sektörünü tehdit etmeye devam ediyor. İran dahil düşman aktörlerin sağlık kuruluşları üzerinde poz verdiği son tehdidi gördük ve UHG’nin bu tür saldırılara karşı korunma başarısızlıkları hasta sağlığını tehlikeye atıyor.”
Milletvekilleri, UHG’nin, UHG’nin güvenlik risklerini göz önünde bulundurması için kazandığı şirketler için gerekli tespiti nasıl yürüttüğünde, UHG’nin herhangi bir değişiklik yapıp yapmadığı – ve değişiklik türleri de dahil olmak üzere yaklaşık 10 soru listesine cevap vermesini istedi.
Senatörler UHG’den 18 Ağustos’a kadar soruşturmalarına cevap vermelerini istedi.
UHG, ISMG’ye yaptığı açıklamada, şirketin senatörlerin mektubunu aldığını ve onlara bilgi vermeyi “dört gözle gördüğünü” söyledi.
“6 Şubat 2025’te Episource, platformunda bir siber olayın meydana geldiğini keşfetti ve riski azaltmak ve konuyu kolluk kuvvetlerine ve müşterilere bildirmek için acil adımlar attık. Olay bölüm ortamına izole edildi.” Dedi.
UHG, ISMG’nin bölüm olayı ve değişim sağlık ihlali ile ilgili en son gelişmelere ilişkin diğer sorularına hemen cevap vermedi.
Cassidy ve Hassan’ın mektubu, değişim sağlık saldırısının ardından UHG’nin güvenlik uygulamalarının son kongre araştırmasıdır.
O zamandan beri istifa eden UHG CEO’su Andrew Witty, geçtiğimiz Mayıs ayında iki kongre komitesi tarafından sağlık hizmeti saldırısına yol açan güvenlik başarısızlıkları hakkında ızgara yapıldı.
Bu olay sadece milyonlarca Amerikan verisini tehlikeye atmakla kalmadı, aynı zamanda ABD sağlık sektörünün iş süreçlerinin çoğunu aylar boyunca neredeyse kapattı ve bazı küçük tıbbi bakım sağlayıcılarını talep ödemeleri ve diğer kritik faaliyetler duruştu.
UHG, Change Healthcare’in devasa BT kesintisi sırasında nakit krizini hisseden etkilenen varlıklara yardımcı olmak için yaklaşık 9 milyar dolarlık mali yardım sağladı, ancak bu krediler geçici ve Wall Street Journal da dahil olmak üzere, şirketin geri ödeme için hala mücadele eden sağlayıcıları sarsarak tehdit edici mektuplar gönderdiğini bildirdi.
Tabii ki UHG ve veri güvenliği uygulamalarının son incelemesi turu, şirketin geçen yıl uğraştığı diğer birçok dikenli sorundur.
En kasvetli, geçen Aralık ayının ortasında bir şirket toplantısına yürürken UHG’nin United Healthcare Birimi CEO’su Brian Thompson’un suikastiydi. Bu şok edici olay, Tıbbi Talepler ödemekten kaçınmak için UHG’nin “inkar et, savunma ve görevden alın” uygulamalarını iddia ettiği iddia edilen bir kamusal furor dalgasını hemen serbest bıraktı. (Görmek: CEO’nun cinayeti, UHC’nin kapsama inkarları üzerinde çığlık atıyor).
Veri ihlalleri ile ilgili olanların yanı sıra, UHG, şirketin çeşitli tıbbi bakımın kapsamını yetkilendirmeyi reddettiği iddia edilen yapay zeka araçlarını kullanmasından – diğer bazı sağlık sektörü şirketlerini satın almasını reddettiği iddia edilen diğer konularda davaların puanları ve düzenleyici problarla da karşı karşıyadır (bakınız: Mahkeme: UnitedHealth, yapay zeka temelli talep reddi için cevap vermelidir).
Peki, UHG’den hangi dersleri öğrendik? Riskleri ele alamayacak kadar büyük olma konusunda daha geniş sorulara ek olarak, bir risk analizi yapmanın ve bu önerilere hızla hareket etmenin öneminin altını çiziyor. Gez, bir megabreach’ten çok daha pahalıya mal olur.
Diğer ders hala oynuyor. UHG’nin bu son inceleme turuna nasıl tepki verdiği, sadece kendi itibar ve operasyonları için değil, aynı zamanda daha geniş sağlık sektörünün artan siber teller, yaygın birleşme ve satın alımlar ve sıkı siber kaynakların sıkıcı bir çağında hasta verilerini koruma yaklaşımı için de etkileri olabilir.
Sağlık sektörüne ve Amerikalıların hassas sağlık bilgisi gizliliği ve güvenliğine olan güven uğruna, yakın zamanda sağlık hackini değiştiren ve UHG’nin mevcut sorunlarının tümü küçük görünmesini sağlayan başka bir veri ihlali olmadığını umalım.