Faturalandırma ve ödeme devi Change Healthcare'e yönelik son siber saldırı, ABD sağlık sistemindeki güvenlik açıklarının ciddiyetini ortaya çıkardı ve sektör liderlerini ve politika yapıcıları daha iyi dijital güvenliğe yönelik acil ihtiyaç konusunda uyardı.
Hastaneler, sağlık sigortası şirketleri, doktor muayenehaneleri ve sektördeki diğer yerler giderek artan şekilde büyük hacklerin hedefi haline geldi ve bu saldırı, 21 Şubat'ta dev UnitedHealth Grubunun bir birimi olan Change'e yapılan saldırıyla sonuçlandı.
Tüm hasta kayıtlarının üçte birini tutan ülkenin en büyük bilgi toplama merkezine yapılan fidye yazılımı saldırısının geniş çaplı etkileri oldu. Reformlar ve çözümler bazı zorlukları hafifletti ancak hizmet sağlayıcılar hâlâ milyarlarca dolarlık ödemeleri toplayamıyor. Birçok hastane ve küçük tıbbi ofis, Change'in birçok sistemini kapatmak zorunda kalmasının üzerinden bir aydan uzun bir süre geçmesine rağmen hâlâ ödeme almakta zorluk yaşıyor.
Saldırının kesin niteliği ve kapsamı hakkında bugüne kadar çok az bilgi ortaya çıktı. UnitedHealth, zor durumdaki sağlayıcılara 3 milyar dolardan fazla para sağladığını ve sistemleri tekrar çevrimiçi hale getirirken önümüzdeki haftalarda daha fazla Değişim hizmetinin sunulmasını beklediğini söyledi.
FBI ile Sağlık ve İnsani Hizmetler Bakanlığı, hasta kayıtlarının ve kişisel bilgilerin ele geçirilip geçirilmediği de dahil olmak üzere Change hack'ini araştırıyor. Change ağı, bir hastanın ilk doktor ziyaretinden kanser veya depresyon gibi bir teşhise ve daha sonra sosyal yardımlar ve ödemeler için sağlık sigortası şirketine sunulan tedaviye kadar olan bilgileri birbirine bağlayan dijital bir santral görevi gördüğünden, insanların tıbbi geçmişlerinin çalınması riski vardır. yıllarca maruz kaldı. .
“Değişime” yönelik saldırı, sağlık sektöründe neredeyse sıradan hale gelen şeyin yalnızca geniş kapsamlı bir örneğidir. Veri güvenliği firması Emsisoft'a göre, sahipleri bilgisayar korsanlarına ödeme yapmadıkça suçluların bilgisayar sistemlerini kilitlediği fidye yazılımı saldırıları, 2022'de 25 olan hastane sistemini geçen yıl 46'ya çıkardı. Bilgisayar korsanları son yıllarda tıbbi transkripsiyon ve faturalandırma gibi hizmetler sağlayan şirketleri de çökertti.
Problem ne kadar büyük?
Siber güvenlik danışmanları ve hükümet yetkilileri, sağlık hizmetini sürekli olarak ABD ekonomisinin saldırılara karşı en savunmasız sektörü ve ülkenin enerji ve su gibi kritik altyapısının bir parçası olarak tanımlıyor.
Sigorta şirketi Devoted Health'in baş teknoloji sorumlusu ve federal Bilim ve Teknoloji Politikası Ofisi'nin eski baş veri bilimcisi DJ Patel, “Hepimiz dehşete düşmüş olmalıyız” dedi. Kendisi ve diğerleri, 2017'de Britanya Ulusal Sağlık Servisi'ndeki tıbbi kayıtların kilitlenmesine neden olan ve hastalar için büyük aksamalara yol açan fidye yazılımı saldırısı gibi dramatik olaylara rağmen, ABD sağlık sistemlerindeki korumaların yetersizliğini vurguladı.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin baş güvenlik görevlisi Errol Weiss, sektörü sektörün sanal canlı gözlemcisi olarak tanımlayarak, “Siber güvenlik ve bilgi güvenliği söz konusu olduğunda tüm sektör ciddi şekilde yetersiz kaynaklara sahip” dedi.
Değişim saldırısı hükümetin dikkatini soruna çekti. Beyaz Saray ve federal kurumlar sektör yetkilileriyle çeşitli toplantılar düzenledi. Kongre'deki milletvekilleri de soruşturma başlattı ve senatörler bu baharda UnitedHealth CEO'su Andrew Witty'yi ifade vermesi için mahkemeye çağırdılar.
Finans sektörü, savunmasız alanları tespit edip sağlamlaştırarak onları sistematik saldırılara karşı daha az savunmasız hale getirmeye çalıştı. Ancak merkezi Salt Lake'te bulunan büyük bir bölgesel sağlık sistemi olan Intermountain Health'in bilgi güvenliği sorumlusu Eric Decker, “sağlık hizmetlerinin, ihlal riski altındaki ana tıkanıklık noktalarının tam olarak nerede bulunduğunu anlamak için haritalama sürecinden geçmediğini” söyledi. Şehir. şehir.
Aynı zamanda federal hükümete danışmanlık yapan Sağlık Siber Güvenliği Özel Sektör Çalışma Grubu'nun başkanı olarak da görev yapan Bay Decker, “Bir ders aldık; bunu yapmamız gerekiyor” dedi.
Wall Street ve ülkenin bankacılık sistemi, bilgisayar korsanlarının paralarını çalabilmesi ve sektörün daha sıkı hükümet düzenlemeleriyle karşı karşıya kalması nedeniyle savunmalarını güçlendirmek için güçlü mali teşviklere sahipti.
Sağlık ihlalleri ölümcül sonuçlar doğurabilir.
Yapılan araştırmalar saldırının ardından hastanelerdeki ölüm oranının arttığını gösteriyor. Örneğin doktorlar önceki tıbbi bakıma bakamaz, meslektaşlarına geri bildirimde bulunamaz veya hastaların alerjilerini kontrol edemez.
Siber saldırının elektronik iletişimleri veya tıbbi kayıtları ve diğer sistemleri kesintiye uğratması nedeniyle planlanmış ameliyatlar iptal ediliyor ve bazen acil durumlarda bile ambulanslar başka hastanelere yönlendiriliyor. Araştırmalar, hacklemelerin kademeli bir etkiye sahip olduğunu, bunun da yakındaki hastanelerde bakım kalitesinin düşmesine ve ek hasta almak zorunda kalmasına yol açtığını gösteriyor.
Sağlık hizmetleri uyumluluk firması Clearwater'ın CEO'su Steve Cagle, “Siber güvenlik bir hasta güvenliği sorunu haline geldi” dedi.
Bazı durumlarda bilgisayar korsanları hastaların sağlığıyla ilgili hassas verileri yayınladı. Lehigh Valley Sağlık Ağı, Change Healthcare'e yapılan saldırıda şüphelenilen aynı kuruluşun talep ettiği fidyeyi ödemeyi reddetti. Kurbanlardan birinin açtığı davaya göre, bilgisayar korsanları daha sonra meme kanseri tedavisi gören kadın hastaların çıplak fotoğraflarını internette yayınladı. Yüzlerce hastanın fotoğrafı çalındı.
Sağlık sektörü neden hedefte?
Tıbbi kayıtlar çalıntı bir kredi kartından kat kat daha fazla para gerektirebilir. Hızlı bir şekilde iptal edilebilen kredi kartından farklı olarak kişinin tıbbi bilgileri değiştirilemez.
Bir ticaret grubu olan Amerikan Hastaneler Birliği'nin ulusal siber güvenlik ve risk danışmanı John Riggie, “Teşhisinizi iptal edip size yeni bir teşhis gönderemeyiz” dedi.
Ancak aynı zamanda kayıtların değerli olduğunu, çünkü “sağlık hizmetlerinde sahtekarlık yapmanın kolay olduğunu” da söyledi. Sağlık sigortası şirketleri, bankalardan farklı olarak, sahte iddialarda bulunmayı kolaylaştıran karmaşık dolandırıcılık tespit yöntemlerini sıklıkla kullanmaz.
Çalınan Sosyal Güvenlik numaraları ve diğer finansal bilgilerden endişe duyan kişiler bir kredi izleme kurumuna kayıt yaptırabilir, ancak kişisel sağlık bilgileri çalınırsa hastaların çok az kaynağı olur.
Hastane ağları ve diğer sağlık grupları da hastaların maruziyetini sınırlamak için fidye ödemeye başladı; bu karar yalnızca bilgisayar korsanlarını ödüllendirmeye ve cesaretlendirmeye hizmet ediyor. FBI, fidye yazılımı saldırılarının hedeflerine ödeme yapmamalarını tavsiye ediyor, ancak çoğu hastane, risklerin çok yüksek olması nedeniyle bunu yapıyor. Wired'ın haberine göre, Change Healthcare vakasında şirketin 22 milyon dolar fidye ödediği bildirildi.
Hastaneler ve doktorlar neden daha fazlasını yapmıyor?
Risklere rağmen, küçük hastaneler ve doktor muayenehaneleri genellikle gelişmiş güvenlik önlemleri için ödeyecek paraya veya ciddi tehditleri tarayacak uzmanlığa sahip değildir.
Eski teknoloji en son siber güvenlik standartlarını nadiren karşılar; Birbirine bağlı ürünler ve satıcıların bir karışımı, dijital yan kapıları açık bırakarak bilgisayar korsanlarının ilgisini çekiyor. Saldırılar değişimi bozmadan önce büyük ölçüde bireysel hastane sistemlerini hedef aldığı için gruplar risklerini hafife aldı.
Sutter Health'in kıdemli başkan yardımcısı ve Ulusal Yaşam ve Sağlık İstatistikleri Komisyonu başkanı Jackie Munson, “İnsanlar neye yatırım yapacaklarına karar vermek zorunda ve siber güvenlik genellikle listenin başında yer almıyor” dedi.
Hükümetin tepkisi ne?
Düzenleyici çerçeve de eski ve parçalıdır. Hastanelerin çeşitli güvenlik standartları arasından seçim yapmasına izin verilmektedir ve önceden uyumluluk incelemesi yapılmamaktadır.
Dijital güvenlik, Sağlık ve İnsani Hizmetler Departmanı içindeki farklı ofisler arasında bölünmüştür ve ajansın düzenleyici otoritesinin büyük bir kısmı hâlâ, modern dijital sağlık sistemlerinin geliştirilmesinden veya fidye yazılımı korsanlığının ortaya çıkmasından önce yazılmış olan 1996 yasasına dayanmaktadır. Hükümetin düzenleyici odağı, saldırılara karşı bağışıklık sağlamaktan ziyade mahremiyet ve uyumluluk olmuştur.
Sağlık sigortası şirketleri büyük ölçüde devlet düzeyinde düzenlendiğinden, sigorta şirketlerinin veri güvenliğine ilişkin düzenlemeler daha değişkendir. Bayan Munson, hastanelere dijital hizmetler sunan ancak kendileri sağlık hizmeti sağlayıcısı olmayan Change gibi birçok tedarikçinin de mevzuat çatlaklarından kaçabileceğini söyledi.
Bu değişebilir. Biden yönetimi, Sağlık ve İnsani Hizmetler Bakanlığı'na hastanelerin yeterli korumaya sahip olmasını sağlamaya çağrıda bulunuyor. Yönetim ayrıca sağlık verilerinin nasıl paylaşılacağına ilişkin düzenlemelerde değişiklik yapmayı da düşünüyor ve hastanelerin dijital güvenlik önlemlerine ilişkin daha net kurallar getirebilir.
Senato Finans Komitesi'nin Demokrat başkanı Oregon Senatörü Ron Wyden, yeni ve daha sert kurallar koymaya ilgi duyduğunu ifade etti.
Başkanın bütçesi üzerine yakın zamanda yapılan bir duruşmada, “İnsanlar uzun süredir, neredeyse onlarca yıldır bunlar hakkında konuşuyor olsalar da, bugün, sağlık sektörü için teknik siber güvenliğe ilişkin zorunlu federal standartlar yok” dedi. “Açık olmak istiyorum: Bunun artık değişmesi gerekiyor.”
Sistemlerin genel olarak güncellenmesi, özellikle sınırlı bütçelerle çalışan küçük kuruluşlar için pahalı olabilir. Hükümet, 20 yıl önce hastanelerin elektronik sağlık kayıtları oluşturmak için siber güvenlik standartlarını karşılamasını zorunlu kıldığında, katı kuralları büyük mali teşviklerle birleştirdi.
Biden yönetimi, son bütçe teklifi kapsamında hastane sistemlerinin iyileştirilmesine yardımcı olmak için başlangıç olarak 800 milyon dolar talep etti. Ancak bugün Kongre'nin modernizasyon için gerekli finansmanı sağlayıp sağlayamayacağı veya sağlamaya istekli olup olmadığı açık değil.
Bazı hastaneler katı dijital güvenlik önlemleri yerine en son MRI teknolojisine veya daha fazla hemşireye para harcamaya devam edecek.
Veri güvenliği konusunda uzmanlaşmış ve şu anda çalışan eski bir federal sağlık yetkilisi olan Eliana Peters, “Çıtayı yükseltecek ek kaynaklar olmadığında, sağlık hizmeti sağlayıcıları ve ödeme yapanlar tedavi veya siber güvenlik için ödeme yapma konusunda seçim yapmaya devam edecek” dedi. Washington DC'deki Polsinelli Hukuk Bürosunda Avukat
