Pe fondul unui atac paralizant de ransomware, federale verifică conformitatea UnitedHealth cu HIPAA

Pe măsură ce sistemele de sănătate din SUA se confruntă încă cu un atac ransomware fără precedent asupra celui mai mare procesator de plăți pentru îngrijirea sănătății din țară, Departamentul de Sănătate și Servicii Umane din SUA este deschiderea unei anchete pentru a stabili dacă acel procesor și compania sa-mamă, UnitedHealthcare Group, au respectat regulile federale pentru a proteja datele private ale pacienților.

Atacul a vizat Change Healthcare, o unitate a UnitedHealthcare Group (UHG) care oferă servicii financiare zeci de mii de furnizori de servicii medicale din întreaga țară, inclusiv medici, stomatologi, spitale și farmacii. Potrivit unui proces antitrust intentat împotriva UHG de către Departamentul de Justiție în 2022, 50 la sută din toate cererile medicale din SUA trec prin centrul de schimb de date electronice al Change Healthcare. (DOJ și-a pierdut cazul pentru a preveni achiziționarea de către UHG a Change Healthcare și anul trecut a abandonat planurile de recurs.)

După cum a raportat Ars anterior, atacul a fost dezvăluit pe 21 februarie de filiala UHG, Optum, care conduce acum Change Healthcare. Pe 29 februarie, UHG a acuzat renumita bandă de ransomware vorbitoare de limbă rusă, cunoscută atât sub numele de AlphV, cât și ca BlackCat, că este responsabilă. Potrivit The Washington Post, atacul a implicat furtul datelor pacienților, criptarea fișierelor companiei și solicitarea de bani pentru a le debloca. Rezultatul este o paralizie a procesării cererilor și a plăților, determinând spitalele să rămână fără numerar pentru salarizare și servicii și împiedicând pacienții să primească îngrijire și rețete. În plus, se crede că atacul a expus datele de sănătate a milioane de pacienți din SUA.

La începutul acestei luni, Rick Pollack, președintele și CEO-ul Asociației Spitalelor Americane, a numit atacul ransomware asupra Change Healthcare „cel mai semnificativ și mai important incident de acest fel împotriva sistemului de sănătate al SUA din istorie”.

Acum, la trei săptămâni de la atac, multe sisteme de sănătate încă se luptă. Marți, membrii administrației Biden s-au întâlnit cu directorul general al UHG, Andrew Witty, și cu alți lideri din industria sănătății la Casa Albă, pentru a le cere să facă mai mult pentru a stabiliza situația furnizorilor și a serviciilor de sănătate și pentru a oferi asistență financiară. Unele îmbunătățiri pot fi la vedere; miercuri, UHG a postat o actualizare spunând că „toate farmaciile majore și sistemele de plată sunt în funcțiune și mai mult de 99 la sută din volumul cererilor pre-incident curge”.

Conformitatea HIPAA

Cu toate acestea, încălcarea datelor lasă mari întrebări cu privire la amploarea prejudiciului adus confidențialității pacienților și la adecvarea protecțiilor în viitor. Într-o dezvoltare suplimentară miercuri, Biroul pentru Drepturi Civile (OCR) al departamentului de sănătate a anunțat că deschide o investigație asupra UHG și Change Healthcare în legătură cu incidentul. Acesta a menționat că o astfel de investigație a fost justificată „dată fiind amploarea fără precedent a acestui atac cibernetic și în interesul pacienților și al furnizorilor de servicii medicale”.

În o scrisoare „Dragă coleg” datată miercuri, OCR a explicat că ancheta „se va concentra asupra faptului că a avut loc o încălcare a informațiilor de sănătate protejate și dacă Schimbarea respectării asistenței medicale și a UHG cu regulile HIPAA”. HIPAA este Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate, care stabilește cerințele de confidențialitate și securitate pentru informațiile de sănătate protejate, precum și cerințele de notificare a încălcării.

Într-o declarație pentru presă, UHG a spus că va coopera cu ancheta. „Obiectivul nostru imediat este să ne restabilim sistemele, să protejăm datele și să îi sprijinim pe cei ale căror date ar fi putut fi afectate”, se arată în declarație. „Colaborăm cu forțele de ordine pentru a investiga amploarea datelor afectate”.

Postul notează că guvernul federal are o istorie de investigare și penalizare a organizațiilor de îngrijire a sănătății pentru că nu au implementat măsuri de protecție adecvate pentru a preveni încălcarea datelor. De exemplu, furnizorul de asigurări de sănătate Anthem a plătit o decontare de 16 milioane de dolari în 2020, în urma unei breșe de date din 2015, care a expus datele private a aproape 79 de milioane de oameni. Datele expuse au inclus nume, numere de securitate socială, numere de identificare medicală, adrese, date de naștere, adrese de e-mail și informații despre angajare. Ancheta OCR asupra încălcării a descoperit că atacul a început cu e-mailuri de tip spear phishing de care a căzut cel puțin un angajat al unei filiale Anthem, deschizând ușa unor noi intruziuni care au rămas nedetectate între 2 decembrie 2014 și 27 ianuarie 2015.

„Din păcate, Anthem nu a reușit să pună în aplicare măsuri adecvate pentru detectarea hackerilor care au obținut acces la sistemul lor pentru a colecta parole și a fura informațiile private ale oamenilor”, a spus directorul OCR, Roger Severino, la acea vreme. „Știm că marile entități de îngrijire a sănătății sunt ținte atractive pentru hackeri, motiv pentru care se așteaptă ca aceștia să aibă politici puternice de parole și să monitorizeze și să răspundă la incidentele de securitate în timp util sau să pună în aplicare riscurile de către OCR”.