Naruszenie danych w Change Healthcare, potwierdzone 22 października 2024 r. przez UnitedHealth, stało się jednym z największych naruszeń danych w opiece zdrowotnej w historii Stanów Zjednoczonych. W wyniku tego cyberataku ujawniono wrażliwe dane osobowe i zdrowotne ponad 100 milionów osób. Było to spowodowane atakiem oprogramowania ransomware na Change Healthcare, spółkę zależną UnitedHealth, w lutym 2024 r. W tym miejscu przedstawiamy jasny i kompleksowy przegląd incydentu, jego konsekwencji oraz pytań, jakie mogą mieć ludzie.
Zmień naruszenie danych w opiece zdrowotnej: co się stało?
W lutym 2024 r. firma Change Healthcare została dotknięta atakiem oprogramowania ransomware zorganizowanym przez grupę ALPHV/BlackCat. Napastnicy wykorzystali skradzione dane uwierzytelniające do włamania się do firmowego systemu zdalnego dostępu, w którym brakowało uwierzytelniania wieloskładnikowego (MFA). Umożliwiło im to kradzież około sześciu terabajtów danych i zaszyfrowanie systemów informatycznych firmy, co doprowadziło do powszechnych przestojów w całym sektorze opieki zdrowotnej. Atak dotknął wiele placówek opieki zdrowotnej, w tym szpitale, przychodnie i apteki, które w dużym stopniu polegały na Change Healthcare w zakresie rozpatrywania roszczeń ubezpieczeniowych i innych niezbędnych operacji.
UnitedHealth, spółka matka Change Healthcare, przyznała się do zapłacenia atakującym okupu w wysokości 22 milionów dolarów za program odszyfrowujący i obietnicę usunięcia skradzionych danych. Jednakże podmioty stowarzyszone z grupą zajmującą się oprogramowaniem ransomware twierdziły, że nadal posiadają dane i zażądały dodatkowej zapłaty, co doprowadziło do drugiej rundy prób wyłudzeń. Skutkowało to przedłużającą się niepewnością i stresem dla dotkniętych osób, podmiotów świadczących opiekę zdrowotną i pacjentów, którzy nie byli pewni bezpieczeństwa swoich wrażliwych informacji.
Atak doprowadził również do znacznych zakłóceń w ogólnej funkcjonalności systemu opieki zdrowotnej. Brak dostępu do krytycznych systemów oznaczał, że podmioty świadczące opiekę zdrowotną miały trudności ze skutecznym świadczeniem usług, a pacjenci borykali się z opóźnieniami w otrzymywaniu niezbędnego leczenia. Naruszenie danych w Change Healthcare uwypukliło kruchość infrastruktury informatycznej sektora opieki zdrowotnej, szczególnie gdy jest ona celem dobrze skoordynowanych cyberataków.
Informacje ujawnione w wyniku naruszenia bezpieczeństwa danych w Change Healthcare
Naruszenie danych ujawniło ogromną ilość informacji osobistych i związanych z opieką zdrowotną, w tym:
- Informacje o ubezpieczeniu zdrowotnym: Szczegóły zasad, identyfikatory członków i informacje Medicaid/Medicare. Tego typu dane są bardzo wrażliwe, ponieważ mogą zostać wykorzystane do fałszywych roszczeń ubezpieczeniowych i kradzieży tożsamości.
- Informacje zdrowotne: Numery dokumentacji medycznej, diagnozy, leczenie, leki, wyniki badań i szczegóły opieki. Takie informacje są nie tylko wrażliwe, ale także głęboko osobiste, a ich ujawnienie może mieć poważne konsekwencje dla prywatności i dobrego samopoczucia osób fizycznych.
- Informacje rozliczeniowe i finansowe: Numery roszczeń, szczegóły płatności oraz informacje finansowe i bankowe. Ujawnienie informacji finansowych naraża zainteresowane osoby na ryzyko oszustw finansowych i kradzieży tożsamości.
- Identyfikatory osobiste: Numery ubezpieczenia społecznego, numery praw jazdy i paszportów. Identyfikatory te mają kluczowe znaczenie dla ustalenia tożsamości danej osoby, przez co narażenie na nie jest szczególnie niebezpieczne.
Rodzaj skradzionych informacji różnił się w zależności od osoby i nie u wszystkich osób dotkniętych kradzieżą cała historia medyczna została naruszona. Jednak sama ilość i różnorodność skradzionych danych sprawia, że jest to jedno z najbardziej niepokojących naruszeń w najnowszej historii. Potencjalne niewłaściwe wykorzystanie tych informacji stwarza poważne ryzyko dla prywatności, bezpieczeństwa finansowego i ogólnego dobrostanu osób fizycznych.
Lutowy atak ransomware spowodował znaczne zakłócenia w systemie opieki zdrowotnej. Lekarze, kliniki i apteki borykały się z trudnościami w rozpatrywaniu roszczeń ubezpieczeniowych, co miało wpływ na dostęp pacjentów do wcześniej zatwierdzonych leków i terapii. Szczególnie dotknięci zostali mniejsi świadczeniodawcy i apteki wiejskie, a niektórym z nich groziła nawet niewypłacalność z powodu wstrzymania płatności. Niemożność terminowego rozpatrywania roszczeń i płatności doprowadziła do poważnych obciążeń finansowych mniejszych dostawców, z których wielu działa przy napiętych budżetach.
Naruszenie uwypukliło również luki w bezpieczeństwie danych dotyczących opieki zdrowotnej, co zrodziło pytania dotyczące praktyk UnitedHealth w zakresie cyberbezpieczeństwa. Podczas przesłuchania w Kongresie dyrektor generalny UnitedHealth, Andrew Witty, przyznał, że naruszeniu danych w Change Healthcare można było zapobiec, gdyby firma zastosowała uwierzytelnianie wieloskładnikowe. Pomimo wydawania 300 milionów dolarów rocznie na cyberbezpieczeństwo, UnitedHealth nie wdrożyło tego podstawowego środka ochronnego. Ta awaria nie tylko umożliwiła atakującym uzyskanie dostępu, ale także wzbudziła obawy co do skuteczności ogólnej strategii cyberbezpieczeństwa UnitedHealth.
Naruszenie danych w Change Healthcare doprowadziło również do wzmożonej kontroli ze strony organów regulacyjnych i prawodawców. Amerykański Departament Zdrowia i Opieki Społecznej (HHS) oraz inne organy regulacyjne wszczęły dochodzenia w sprawie praktyk UnitedHealth w zakresie cyberbezpieczeństwa i braku ochrony wrażliwych danych dotyczących opieki zdrowotnej. Ustawodawcy wezwali do wprowadzenia bardziej rygorystycznych przepisów i bardziej rygorystycznych wymogów dla organizacji opieki zdrowotnej, aby zapewnić, że takie naruszenia nie powtórzą się. Incydent ten wywołał szerszą dyskusję na temat potrzeby poprawy standardów cyberbezpieczeństwa w całej branży opieki zdrowotnej.
Co robić?
Zjednoczona Grupa Zdrowia udostępnił kluczowe wskazówki dotyczące kroków, jakie możesz podjąć po niedawnym incydencie naruszenia bezpieczeństwa danych.
1. Zapisz się na bezpłatny monitoring kredytowy
- Uzyskaj dostęp do bezpłatnych usług monitorowania kredytu: United Health Group oferuje dwa lata bezpłatnego monitorowania kredytów i ochrony tożsamości za pośrednictwem IDX. Aby się zapisać, kliknij link „Zarejestruj się teraz” lub zadzwoń pod numer 1-888-846-4705.
- Chroń swoją tożsamość: ta usługa monitoruje potencjalne niewłaściwe wykorzystanie Twoich informacji, zapewniając alerty i pomoc w przypadku wykrycia podejrzanej aktywności. Ubezpieczenie jest opłacane przez dwa lata przez Change Healthcare.
2. Monitoruj swoją dokumentację zdrowotną i finansową
- Przejrzyj swoje oświadczenia dotyczące opieki zdrowotnej: Regularnie sprawdzaj swoje wyjaśnienia dotyczące świadczeń (EOB) i dokumenty od podmiotów świadczących opiekę zdrowotną, aby wykryć nieznane lub nieautoryzowane usługi.
- Sprawdź sprawozdania finansowe: Sprawdź wyciągi bankowe i karty kredytowe, a także dokumentację podatkową pod kątem nieoczekiwanych opłat lub transakcji.
- Zgłaszaj podejrzane działania: Jeśli zauważysz jakąkolwiek nietypową aktywność, natychmiast skontaktuj się ze swoim dostawcą opieki zdrowotnej, planem ubezpieczeniowym lub instytucją finansową. W przypadku nieuprawnionego działania należy zgłosić sprawę policji lokalnym organom ścigania.
3. Bądź informowany o naruszeniu
- Sprawdź swoje powiadomienie: Firma Change Healthcare rozpoczęła wysyłanie powiadomień do osób dotkniętych naruszeniem. To powiadomienie zawiera szczegółowe informacje na temat tego, jakie dane mogły zostać naruszone. Jeśli uważasz, że Cię to dotyczy, upewnij się, że Twoje dane kontaktowe zostały zaktualizowane w United Health Group.
- W razie potrzeby szukaj wsparcia: Dostępne jest dedykowane centrum telefoniczne (1-866-262-5342), w którym można odpowiedzieć na pytania, zapewnić pomoc w monitorowaniu kredytu i zaoferować wsparcie emocjonalne za pośrednictwem przeszkolonych lekarzy.
4. Wzmocnij swoje bezpieczeństwo finansowe
- Zamów bezpłatny raport kredytowy: Uzyskaj dostęp do rocznego raportu kredytowego z każdego biura informacji kredytowej za pośrednictwem www.annualcreditreport.com lub dzwoniąc pod numer 877-322-8228. Ten raport pomaga zidentyfikować nieznane konta lub kontrole kredytowe.
- Umieść ostrzeżenie o oszustwie: Alarm o oszustwie powiadamia wierzycieli o konieczności podjęcia dodatkowych kroków weryfikacyjnych przed otwarciem nowych kont na Twoje nazwisko. Możesz dodać ostrzeżenie o oszustwie, kontaktując się z jednym z biur informacji kredytowej:
- Equifax: 800-525-6285
- Eksperyment: 888-397-3742
- TransUnia: 800-680-7289
- Zamroź swój kredyt: Zamrożenie zabezpieczeń uniemożliwia otwarcie nowego kredytu na Twoje nazwisko. Skontaktuj się z każdym biurem informacji kredytowej, aby poprosić o zamrożenie:
- Equifax: 800-525-6285
- Eksperyment: 888-397-3742
- TransUnia: 800-680-7289
5. Zrozum zabezpieczenia
- Alert o oszustwie a zamrożenie bezpieczeństwa:
- Alarm o oszustwie: Dodaje powiadomienie do raportu kredytowego, że możesz być ofiarą oszustwa. Wierzyciele muszą zweryfikować Twoją tożsamość przed otwarciem nowych kont.
- Zamrożenie bezpieczeństwa: Uniemożliwia wierzycielom całkowity dostęp do Twojego raportu kredytowego i blokuje nowe konta, chyba że zniesiesz zamrożenie.
Skutki finansowe naruszenia danych w Change Healthcare
Skutki finansowe naruszenia bezpieczeństwa danych w Change Healthcare były znaczne. Lutowy atak spowodował straty w wysokości 872 mln dolarów, które do końca września 2024 r. wzrosły do 2,45 mld dolarów. Koszty te obejmowały przyspieszone płatności i nieoprocentowane pożyczki dla dotkniętych podmiotów świadczących opiekę zdrowotną, odbudowę systemów Change Healthcare oraz działania związane z reagowaniem na incydenty. Obciążenie finansowe nie ograniczało się wyłącznie do UnitedHealth; wielu świadczeniodawców, którzy korzystali z usług Change Healthcare, również stanęło w obliczu znacznych trudności finansowych.
Oprócz bezpośrednich kosztów reakcji na naruszenie firma UnitedHealth poniosła również straty w reputacji. Naruszenie podważyło zaufanie do zdolności UnitedHealth do ochrony wrażliwych danych, a utrata zaufania może mieć długoterminowe konsekwencje finansowe. Pacjenci i podmioty świadczące opiekę zdrowotną mogą wahać się przed współpracą z firmą, która doświadczyła tak znaczącej luki w zabezpieczeniach, potencjalnie prowadzącej do utraty działalności i przychodów.
Skutki finansowe objęły także dotknięte osoby. Osoby, których dane osobowe i finansowe zostały naruszone, były narażone na ryzyko kradzieży tożsamości i oszustw finansowych. Wiele osób musiało podjąć kroki, aby się zabezpieczyć, takie jak zamrożenie kredytu, monitorowanie rachunków finansowych i zachowanie czujności pod kątem oznak kradzieży tożsamości. Koszt tych środków ochronnych, zarówno pod względem czasu, jak i pieniędzy, zwiększył ogólne obciążenie związane z naruszeniem.
Ile osób dotknęło naruszenie?
Naruszenie danych w ramach Change Healthcare dotknęło ponad 100 milionów osób. To sprawia, że jest to jedno z największych naruszeń danych dotyczących opieki zdrowotnej w historii. Liczba dotkniętych osób podkreśla skalę ataku i szeroki zasięg działań Change Healthcare w całych Stanach Zjednoczonych.
Jakiego rodzaju informacje zostały skradzione?
Skradzione dane obejmowały szczegóły ubezpieczenia zdrowotnego, dokumentację medyczną, informacje o rachunkach i płatnościach, numery ubezpieczenia społecznego i inne dane osobowe. Nie u wszystkich osób doszło do kradzieży tego samego rodzaju informacji, jednak różnorodność skradzionych danych oznacza, że potencjalne ryzyko jest zróżnicowane i znaczące. Ujawnienie tak szerokiego zakresu informacji sprawia, że naruszenie to jest szczególnie niepokojące zarówno dla osób fizycznych, jak i dla całego sektora opieki zdrowotnej.
Kto był odpowiedzialny za naruszenie danych w Change Healthcare?
Atak ransomware został przeprowadzony przez grupę ALPHV/BlackCat, rosyjskojęzyczny gang zajmujący się oprogramowaniem ransomware. Po początkowej zapłacie okupu podmiot stowarzyszony z grupą utworzył nową operację związaną z oprogramowaniem ransomware o nazwie RansomHub, żądając dodatkowej zapłaty od UnitedHealth. Ta seria wydarzeń uwydatnia wyzwania stojące przed grupami zajmującymi się oprogramowaniem ransomware, ponieważ nawet zapłacenie okupu nie gwarantuje bezpieczeństwa skradzionych danych.
#ALPHV oszukani partnerzy? Zapłacono i wypłacono 22 miliony dolarów pic.twitter.com/0ocKoXNLme
— 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) 4 marca 2024 r
Jakie środki podjęła firma Change Healthcare w odpowiedzi na naruszenie?
Change Healthcare stara się powiadamiać osoby dotknięte chorobą i oferuje wsparcie konsumentom i podmiotom świadczącym opiekę zdrowotną. Odbudowali także fragmenty swojej sieci i wdrożyli dodatkowe środki bezpieczeństwa. Środki te obejmują ulepszenie protokołów cyberbezpieczeństwa, wdrożenie uwierzytelniania wieloskładnikowego i przeprowadzenie dokładnego przeglądu praktyk bezpieczeństwa, aby zapobiec przyszłym incydentom. Czas pokaże jednak skuteczność tych środków w przywracaniu zaufania i zapobieganiu przyszłym naruszeniom.
Czy temu naruszeniu można było zapobiec?
Zdaniem dyrektora generalnego UnitedHealth, Andrew Witty’ego, naruszeniu danych w Change Healthcare można było zapobiec, gdyby firma zastosowała uwierzytelnianie wieloskładnikowe w celu ochrony swoich systemów zdalnego dostępu. Podkreśla to brak wdrożenia podstawowych protokołów cyberbezpieczeństwa. Fakt, że tak prosty środek mógł zapobiec jednemu z największych w historii naruszeń danych dotyczących opieki zdrowotnej, podkreśla znaczenie przestrzegania najlepszych praktyk w zakresie cyberbezpieczeństwa. Rodzi także pytania o szerszy stan cyberbezpieczeństwa w branży opieki zdrowotnej i potrzebę wprowadzenia bardziej rygorystycznych przepisów.
Jakie są długoterminowe konsekwencje tego naruszenia?
Długoterminowe konsekwencje obejmują potencjalne niewłaściwe wykorzystanie skradzionych danych do kradzieży tożsamości lub dalszych planów wymuszenia. Naruszenie danych w Change Healthcare doprowadziło również do utraty zaufania do zdolności UnitedHealth do zabezpieczania wrażliwych informacji zdrowotnych i spowodowało kontrolę regulacyjną ich praktyk w zakresie cyberbezpieczeństwa. Dodatkowo naruszenie wywołało szerszą dyskusję na temat potrzeby poprawy standardów cyberbezpieczeństwa w sektorze opieki zdrowotnej. Długoterminowy wpływ na poszczególne osoby, podmioty świadczące opiekę zdrowotną i całą branżę będzie zależał od tego, jak skutecznie UnitedHealth i inni interesariusze sprostają tym wyzwaniom i wdrożą niezbędne zmiany.
Ponieważ atak ten dotknął ponad 100 milionów osób, skutki tego ataku przypominają o pilnej potrzebie zapewnienia lepszych zabezpieczeń i odpowiedzialności w sektorze opieki zdrowotnej. Incydent ujawnił istotne luki w sposobie ochrony danych dotyczących opieki zdrowotnej i wywołał wezwania do wprowadzenia silniejszych przepisów i skuteczniejszych praktyk bezpieczeństwa.
Trwające dochodzenia mają na celu wyśledzenie osób odpowiedzialnych i zapobieżenie podobnym zdarzeniom w przyszłości. Jednak naruszenie danych w ramach Change Healthcare miało już daleko idące konsekwencje, wpływając na miliony osób, świadczeniodawców i szerzej rozumiany system opieki zdrowotnej. Wnioski wyciągnięte z tego naruszenia należy wykorzystać do wprowadzenia znaczących zmian w sposobie zabezpieczania danych dotyczących opieki zdrowotnej, zapewniając, że prywatność i bezpieczeństwo wrażliwych informacji osób fizycznych będą traktowane priorytetowo w coraz bardziej cyfrowym świecie.
Kredyty obrazkowe: Kerem Gülen/Ideogram
