Генеральный директор UnitedHealth Group Эндрю Уитти 1 мая дал показания перед Палатой представителей и Сенатом о сейсмической кибератаке 21 февраля на дочернюю компанию UHG Change Healthcare, в которую проникла банда вымогателей ALPHV.
Он признал, что отсутствие многофакторной аутентификации на устаревшем сервере обеспечило киберпреступникам успешный вектор атаки.
И хотя судебно-медицинское расследование компании будет продолжаться в обозримом будущем, Уитти признал, что, по его оценке, была украдена личная информация и защищенная медицинская информация примерно одной трети американцев.
«Я хочу еще раз сказать всем пострадавшим: мне очень жаль», — заявил Уитти Подкомитету Палаты представителей по надзору и расследованиям, проведя большую часть двух часов, отвечая на разгневанные члены комитета финансовые, оперативные и технические вопросы.
«Мы неустанно работаем над раскрытием и пониманием каждой возможной детали, которую мы будем использовать, чтобы сделать нашу киберзащиту сильнее, чем когда-либо», — сказал он.
Извинения и заверения
В своих показаниях перед Конгрессом Уитти сказал, что UnitedHealth решила заплатить выкуп в размере 22 миллионов долларов в биткойнах, потому что скомпрометированные устаревшие системы Change Healthcare нанесли ущерб операциям – для нее самой и многих ее клиентов.
Его показания позволили взглянуть на техническую сторону атаки и реакцию UHG на инцидент.
«С того момента, как я узнал о вторжении, я почувствовал глубокую ответственность за то, чтобы сделать все возможное, чтобы сохранить доступ к медицинской помощи и поддержать наших клиентов и клиентов», — сказал Уитти во время своего выступления. вступительные показания.
«Наш ответ и реакция на эту атаку были основаны на трех принципах: обеспечить безопасность систем; обеспечить пациентам доступ к уходу и лекарствам и помочь поставщикам услуг с их финансовыми потребностями».
Несколько членов Конгресса воспользовались своим временем, чтобы задаться вопросом, как компания намерена помочь пациентам, поставщикам медицинских услуг и государственным служащим, подвергшимся и продолжающим страдать от финансовых затруднений в связи с отключением электроэнергии.
Другие, в том числе законодатели, которые по профессии являются поставщиками медицинских услуг, и один независимый фармацевт, задавали вопросы о предварительных разрешениях, управлении аптечными льготами, продлении сроков подачи медицинских претензий из-за перебоев в работе информационно-координационного центра и других жалобах участников на то, как UHG принимает решения, влияющие на доступ и пациентов. Забота.
Многие из представителей упомянули о доходах UHG в размере 370 миллиардов долларов в прошлом году, когда они спросили о финансовой нагрузке на пациентов и поставщиков услуг, вызванной атакой и последующими отключениями.
Американская медицинская ассоциация заявила, что не имея возможности обрабатывать платежи по претензиям, согласно недавнему опросу, проведенному с 26 марта по 3 апреля, небольшие медицинские практики закроются из-за кибератаки Change.
Уитти признал, что более мелкие поставщики восстанавливаются дольше всего и что именно они получают большую часть беспроцентных кредитов без комиссий. По состоянию на 26 апреля UHG предоставила ускоренные выплаты на сумму $6,5 млрд, сообщила компания.
Провайдеры «не прекратили свою работу» после атаки, когда увидели прекращение денежного потока, отметила конгрессмен Диана ДеГетт, демократ от штата Колорадо, и спросила Уитти о первоначальном сроке кредита, который позволил Optum, подразделению UHG, управляющему Change, забрать средства без предупреждения.
«Мы сразу поняли [the terms] были неуместны», — ответил он. «Я полностью согласен, что это была ошибка».
Опасения по поводу будущих отклонений претензий
Во время слушания член палаты представителей доктор Ким Шриер, демократ от Вашингтона, также задал вопросы о слиянии 2022 года: которое Министерство юстиции США пыталось заблокировать.
Хотя усилия по исправлению ситуации и авансовые выплаты приветствуются, она сказала: «Реальность такова, что эта масштабная и далеко идущая атака непропорционально сильно повлияла на небольшие независимые практики, которые уже изо всех сил пытались остаться на плаву».
Хотя другие плательщики «ничего не сделали, чтобы помочь», она сказала, что кредитов было недостаточно, описывая «опустошительный» опыт Balance Physical Therapy в Иссакуа, штат Вашингтон. Владельцы практики, использующие шесть физиотерапевтов им пришлось заложить свой дом, чтобы платить арендную плату и зарплату», — сказал Шриер. «А теперь эти деньги закончились».
По ее словам, в первом раунде кредитования UHG Бэлансу заплатили 70 долларов, держа в руках бумагу, которую можно было бы внести в качестве экспоната.
Затем Шриер сказал, что UHG должна иметь достаточно информации об опыте претензий, чтобы понять, какие практики выставили счета в предыдущем месяце и предыдущем году, «и должна быть в состоянии добиться большего».
Она спросила, поможет ли UHG погасить стоимость этого заложенного дома, поскольку он сказал, что «не успокоится», пока UHG не исправит ситуацию.
«Госпожа конгрессмен, абсолютно точно», — сказал он.
Одна из причин, по которой некоторые провайдеры не получили поддержки и, возможно, до сих пор ее не имеют, заключается в том, что у UHG нет «видимости потоков, не связанных с United», объяснил Уитти.
«Поскольку мы пытались помочь быстро, мы промахнулись, и в данном случае мы сильно промахнулись».
Она также сказала, что слышала, что условия кредита были очень подозрительными, например, о том, что получатель не мог использовать услуги конкурента UHG, и что некоторые клиники и больницы в ее районе решили не брать их.
И, учитывая репутацию «Юнайтед», скупающей практику поставщиков, «которые находятся в беде», она спросила, какие гарантии может дать Уитти комитету, что «Юнайтед» не «нанесет ущерб этой практике, не возместив достаточное возмещение, выставив эти несправедливые условия, а затем уйдя и просто скупая практики».
«Все эти условия теперь отменены», и пейвайдер «никогда не захочет действовать оппортунистически, исходя из этого», заверил Уитти.
Ранее генеральный директор UHG заявил, что здравоохранение проводит регулярные брифинги для поставщиков услуг, которым нужна поддержка в восстановлении подключения к возобновленной платежной службе, а затем сказал, что поставщики услуг и пациенты в любом округе должны связаться с UHG по телефону 866-262-5342. (Есть также Страница ресурса UHG.)
Позже он отметил, что 142 000 налоговых номеров воспользовались программой бесплатного кредитования, и он много раз подчеркивал на протяжении слушаний, что поставщикам не нужно начинать выплачивать выплаты до тех пор, пока они не решат, что их деятельность вернулась в нормальное русло.
«Мы обязуемся сделать все, что в наших силах, чтобы исправить их систему или обеспечить их денежный поток, вот и все», – пообещал он уже в своих вступительных показаниях.
Хотя большая часть претензий и функциональность платежной системы восстановлены, согласно сообщению от 29 апреля. письмо От Американской ассоциации больниц до сенаторов Рона Уайдена, демократа от штата Орегон, председателя Финансового комитета, и Майка Крапо, от штата Айдахо, высокопоставленного члена, системы здравоохранения и больницы обеспокоены возвратами средств.
«Воссоединение — не единственный шаг к выздоровлению», — заявили в AHA.
«Сбои и задержки в подаче претензий неизбежно приведут к многочисленным отказам, тем более что большинство плательщиков не отказались от определенных административных требований, на которые повлиял сбой в работе Change Healthcare».
Восстановление устаревших систем
Несколько членов комитета Палаты представителей задали основные вопросы о том, где защита развалилась, о соблюдении HIPAA и о том, прислушалась ли компания к предупреждениям федерального агентства о группе, преследуемой международными правоохранительными органами, поскольку АЛЬФВ БлэкКэт В эксплуатации с ноября 2021 года.
Без настоящей изоляции резервных копий в облаке и устаревшего сервера без MFA компания Change Healthcare возложила на свою материнскую компанию ответственность за ущерб, который простирается от побережья до побережья.
Член рейтинга Фрэнк Паллоне, DN.J., сказал, что хотел бы знать, почему UHG не сделал этого. обновить старые системы или внедрить адекватное резервное копирование за полтора года с момента приобретение было выполнено.
Только после того, как компания была приобретена, UHG смогла взглянуть на сеть, и с тех пор системы Change обновлялись, пояснил Уитти.
«Изменения, этот риск существовали еще до приобретения «Юнайтед», — сказал он.
Конкретная атака программы-вымогателя привела к неработоспособности основных систем и резервных копий.
«Это один из уроков, которые мы должны извлечь из этого с точки зрения того, как мы обеспечиваем настоящую изоляцию при резервном копировании, и, возможно, просто подчеркнуть важность наличия этих сервисов в облаке по сравнению со старыми локальными центрами обработки данных, которые Так было в унаследованной среде Change», — сказал он.
Уитти также сообщил члену палаты представителей доктору Марианнетт Миллер-Микс из штата Айдахо, которая была приглашена принять участие в слушаниях, что вина лежит в глубоко укоренившихся в «маленькой» компании устаревших системах.
«Я верю, что проблема риска действительно существовала, когда Change была довольно маленькой независимой компанией или, по сути, публичной компанией, но довольно маленькой публичной компанией. Она вошла в организацию, и, к большому сожалению, эта атака произошла в первые дни из нас, владеющих этим бизнесом».
Но наличие старых резервных копий и находящихся в процессе обновлений не оправдывает UHG для некоторых наблюдателей.
«В отличие от небольших организаций, эти отраслевые гиганты часто располагают большими ресурсами, не оставляя оправданий слабому подходу к обеспечению безопасности данных», — сказал Асаф Кочан, соучредитель и президент Sentra, нью-йоркской облачной платформы безопасности данных. Новости ИТ в сфере здравоохранения по электронной почте.
«Отлично то, что у «Юнайтед» есть финансовые возможности решить эту проблему, и я верю, что мы сможем перестроить Change в гораздо более современную и безопасную платформу», — сказал Уитти.
Член палаты представителей Бретт Гатри, республиканец от Кентукки, также спросил об устаревшем оборудовании Change и о том, есть ли еще устаревшие системы, которые могут быть скомпрометированы.
«Мы неустанно пытаемся исключить такую возможность. Мы используем третьи стороны, чтобы гарантировать, что это произойдет», – ответил он.
«В реконструкции Перемен – одна из причин, почему восстановление Перемен занимает больше времени, чем вы ожидаете, заключается в том, что мы создаем большую часть этой платформы с нуля, используя совершенно новые современные технологии, часто основанные на облачных технологиях. с гораздо большими встроенными возможностями безопасности, чем все, что существовало до атаки».
Отвечая на вопрос о реализации мер в рамках совместного консультирования Агентства по кибербезопасности и безопасности инфраструктуры, Федерального бюро расследований и Службы здравоохранения и социальных служб США, Уитти сказал, что в ходе расследования UHG пытается выяснить, почему все системы изменений не были проверены.
Политика UHG заключается в том, чтобы учитывать уроки, извлеченные в случае любого нарушения или «любого промаха», сказал Уитти. «Каждый раз мы проводим анализ первопричин».
Последствия нарушения широки и неясны.
Уитти сказал во время слушания, что UHG работает регулярно, чтобы взять на себя ответственность уведомить всех пострадавших.
Член палаты представителей Гэри Палмер, республиканец от штата Алабама, спросил о продолжительности последствий кибератаки. Он сказал, что его коллеги проделали хорошую работу, расспросив о последствиях, но он хотел спросить о тысячах государственных служащих с «очень высоким уровнем допуска», которые могут быть включены в данные.
Он попросил Уитти уделить приоритетное внимание информированию федеральных служащих о том, что их личные данные могли быть раскрыты, и дал свои заверения.
«Некоторые из наших худших опасений сбываются», — сказал Пол Тонко, DN.Y., поскольку данные о здоровье миллионов американцев оказались под угрозой из-за утечки данных.
Хотя HIPAA требует минимальных стандартов безопасности данных, Палмер спросил, полностью ли Change соответствует HIPAA, и поручил UHG проанализировать системы Change на предмет соответствия HIPAA.
Уитти сказал, что они смогут анализировать системы только после покупки: «Учитывая их размер и сложность, это требует некоторого времени».
Затем Тонко спросил, почему до сих пор не было подано уведомление о нарушении в HHS.
Уитти ответил, что у UHG не было доступа к данным, которые были украдены, до середины марта, и они все еще их анализируют.
«Я крайне обеспокоен тем, что мы только видим начало последствий этой кибератаки», — сказал Шриер.
Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.
2024-05-02 13:54:09
1714724507
#UHG #заявляет #что #перестраивает #Change #Healthcare #помощью #облачной #безопасности
