Çarşamba günü yapılan gergin Senato duruşmasında milletvekilleri, UnitedHealth Group'un ABD sağlık sistemini felce uğratan siber saldırıyı ele almasını, güvenlik sistemlerinin başarısızlığını ve milyonlarca Amerikalının hassas tıbbi bilgilerinin potansiyel olarak ifşa edilmesini öne sürerek sert bir şekilde eleştirdiler.
Demokrat ve Cumhuriyetçi senatörler, ABD'deki tüm hasta kayıtlarının üçte birini ve yılda yaklaşık 15 milyar işlemi yöneten Change Healthcare'in siber saldırısının bu kadar büyük olup olmadığını, çünkü UnitedHealth'in ülkenin tıbbi bakımının neredeyse her alanına fazlasıyla kök salmış olup olmadığını sorguladılar.
2023 yılında 372 milyar dolar gelir bildiren ve ülkedeki en büyük şirketlerden biri olan UnitedHealth Group, yalnızca Change'in ana şirketi değil, aynı zamanda ülkenin en büyük sağlık sigortası şirketinin ana şirketi ve büyük bir eczane sosyal yardım yöneticisinin ( OptumRx) ana şirketidir. . United ayrıca ülkedeki neredeyse 10 doktordan birine hizmet veriyor.
Oregon Demokratı ve Finans Komitesi başkanı Senatör Ron Wyden, “Değişim hack'i, sağlık sistemindeki daha büyük payları tüketmede başarısız olamayacak kadar büyük mega şirketlere izin vermenin sonuçlarına dair ciddi bir uyarıdır” dedi.
Sağlık sigortacıları, hastaneler ve doktorlar arasında dijital bir otoyol görevi gören Change'e 21 Şubat'ta düzenlenen saldırının ardından ABD sağlık sistemi kaosa sürüklendi. Hastalar reçetelerini dolduramıyor, hastaneler ve doktorlar tedavi masraflarını karşılayamadıkları için ciddi nakit sıkıntısıyla karşı karşıya kalıyorlardı.
Kongre üyeleri, saldırının nasıl gerçekleştiği ve UnitedHealth'in bu soruna çözüm bulmak için ne yaptığı hakkında daha fazla bilgi talep etti ve şirket, geçen ay Ev Sağlık Alt Komitesi huzuruna çıkma talebini reddetti. Çarşamba günü, UnitedHealth CEO'su Andrew Witty, hem Senato Finans Komitesi hem de Temsilciler Meclisi Enerji ve Ticaret Komitesi heyeti önünde ifade vermek üzere mahkeme celbi aldı.
Öğleden sonra Temsilciler Meclisi Demokratları, özellikle şirketin muazzam büyüklüğü göz önüne alındığında endişelerini dile getirdi. Washington Cumhuriyetçisi ve Meclis komitesi başkanı Temsilci Cathy McMorris Rodgers, UnitedHealth'in “sağlık sistemimizin her köşesine giderek daha fazla sızmasını” tanımladı ve şirketin eylemlerinin muhtemelen “krizin kötü yönetimi konusunda bir örnek olay” haline geleceğini söyledi.
Sabah Bay Witty, şirketin hizmetleri yeniden sağlama çabalarını savundu ve özür diledi.
“Bu kötü niyetli siber saldırının bir sonucu olarak hastalar ve sağlayıcılar kesinti yaşadı ve insanlar özel sağlık bilgilerinden endişe duyuyor” dedi. “Etkilenen herkese çok açık bir şekilde şunu söylemek isterim: Çok üzgünüm.”
Ancak Bay Witty, bilgisayar korsanlarının Change ağına erişmesine izin veren dijital güvenliğin yetersiz olduğunu ve yetersiz yedekleme planının da bulunduğunu kabul etti ve United'ın satıcı ödemelerini karşılamaya yönelik ilk çabaları engellediğini kabul etti.
Daha geçen hafta United, bilgisayar korsanlarının bazı hasta verilerine erişim elde ettiğini açıklamaya başladı, ancak Bay Witty senatörlere, şirketin hasta verilerinin bu ihlalinin ne kadar kapsamlı olduğuna dair net bir görüşe sahip olmasının epey zaman alacağını söyledi.
Bay Wyden özellikle United'ın tüketicilere ne kadar az bilgi sağladığından duyduğu hayal kırıklığını dile getirdi. “Amerikalılar, hassas bilgilerinin ne kadarının çalındığı konusunda hâlâ karanlıktalar” diye ekledi. Şirketin kredi izleme çabalarını “veri ihlalleriyle ilgili düşünceler ve dualar” olarak nitelendirerek reddetti.
Ayrıca şirketin sorumlu olduğu aktif askeri personele ilişkin hassas tıbbi verilerin ifşa edilmesiyle ilgili endişeleri de vurguladı ve bunu “ulusal güvenliğe açık bir tehdit” olarak nitelendirdi.
Bay Witty, UnitedHealth'in etkilenenlerle ne zaman ve nasıl iletişim kurmaya başlayacağını belirlemek için düzenleyicilerle birlikte çalıştığını söyledi.
“Parçalı iletişimden kaçınmaya çalışmak istiyoruz” dedi.
United, Change'in sistemlerini birkaç hafta boyunca tamamen kapatmak zorunda kaldı ve bu durum, senatörler ile Bay Witty arasında hastanelere ve diğer hizmet sağlayıcılara yapılan geri ödemelerin hızı konusunda hararetli tartışmalara yol açtı.
Bay Witty senatörlere “ülke genelindeki taleplerin esasen normale döndüğünü” söyledi. Bay Wyden, Şubat ayında talepte bulunan sağlayıcılardan geri ödemenin en azından Haziran ayına kadar süreceğini duyduğunu söyledi.
Bay Witty, “Kesinlikle daha hızlı hareket edebiliriz” dedi ve Bay Wyden'a şikayette bulunan herhangi bir kuruluşla temasa geçilmesini istedi.
Bay Wyden, “Neredeyse karşılaştığım her satıcı ödemeyi bekliyor” diye yanıtladı.
Dakikalar sonra Tennessee Cumhuriyetçisi Senatör Marsha Blackburn de Bay Wyden'a katıldı ve Bay Witty'yi geri ödeme sürecinin “pembe” bir resmini sunmakla ve ofisinin ödeme bekleyen sağlık hizmeti sunucularından gelen çağrılarla bombardımana tutulduğunu söylemekle suçladı.
Bayan Blackburn, eyaletteki bir hastanede bir aylık gelire eşdeğer Medicare alacaklarının birikmiş olduğunu tespit etti.
“Her gün bir güncelleme için arıyorlar. Her gün arıyorlar. Ve her gün tekrar tekrar yanıltılıyorlar” dedi. “Sanki siz bunu anlayamıyorsunuz.”
Bay Witty ayrıca şirketin saldırganlara 22 milyon dolar fidye ödediğini de itiraf ederek şunları söyledi: “Fidye ödeme kararı bana aitti.” Bu, “şimdiye kadar karşılaştığım” en zor kararlardan biriydi.
FBI ve diğer yetkililer hack olayını araştırıyor.
UnitedHealth, saldırının ayrıntıları konusunda suskun kaldığı için eleştirildi.
Bay Wyden, Bay Witty'ye “Kişisel sorumluluk söz konusu olduğunda her şeyi doğru yaptınız” dedi. “Bu olaydaki rolünüzü defalarca küçümsediniz.”
Bay Wyden, UnitedHealth'in çok faktörlü kimlik doğrulama adı verilen en temel siber güvenlik önlemini uygulama konusunda başarısız olduğunu söyledi.
Bay Witty, Çarşamba gününden itibaren UnitedHealth'in “dışa dönük sistemlerinin” tamamının bu kimlik doğrulama biçimini kullandığını söyledi. Şirketin ayrıca, şirketin teknolojisinin ek taraması için dışarıdan gruplar getirdiğini ve bir siber güvenlik firması olan Mandiant'ı danışman olarak işe aldığını ekledi.
Kuzey Carolina Cumhuriyetçisi Senatör Thom Tillis, “Aptallar için Hacking” kitabının bir kopyasını göstererek, “Bunlar gözden kaçan bazı temel şeyler” dedi.
Duruşma, Bay Witty'ye hack ve buna verilecek yanıtla ilgili daha ayrıntılı bir zaman çizelgesi sunma fırsatı verdi.
Siber suçlular, Change'in sistemlerine 12 Şubat'ta, yani UnitedHealth'in bu sistemleri kapatması gerektiğini fark etmesinden dokuz gün önce erişim sağladı. Bay Witty, şirketin saldırının Change'in ötesine geçerek ana şirkete veya Optum veya sağlık sigortası şirketi gibi diğer birimlerine yayılmasını hızla önlediğini vurguladı. “Değişimi mümkün kılmak için patlama menzilini sınırladık” dedi.
Bay Witty ayrıca sağlık sisteminin hack'lere karşı savunmasızlığının United'ın çok ötesine uzandığını savundu. United'ın Change sistemini yalnızca 18 ay önce satın alması nedeniyle, Change'in kendisini hacklenmeye karşı savunmasız kılan “eski teknolojilerini” tamamen elden geçiremediğini söyledi.
Bay Witty, duruşmanın başka bir noktasında, Change'i tekrar kullanmakta tereddüt eden sağlayıcılara sempati duyduğunu söyledi.
“İyileşmenin beklenenden daha uzun sürmesinin nedeni, bu platformu kelimenin tam anlamıyla sıfırdan yeniden inşa etmemizdir, böylece yeni teknolojiye eski tehlikeye atılmış ortamın hiçbir unsurunun dahil edilmediğine dair insanlara güvence verebiliriz” dedi.
United'ın 2022'de Change Network'ü satın alması, bazı senatörler tarafından sağlık sektöründeki kitlesel konsolidasyonun bir örneği olarak görüldü. Sağlık sigortacılarını denetleyen Adalet Bakanlığı, United'ın Change'i satın almasını engellemeye çalıştı ancak federal yargıcı anlaşmanın rekabete aykırı olduğuna ikna edemedi.
Departman, şirketin faaliyetlerinin rekabeti engelleyip engellemediği konusunda daha geniş bir soruşturma başlattı.
Massachusetts Demokratı Senatör Elizabeth Warren, UnitedHealth'i “steroidler üzerinde tekel” olarak nitelendirdi ve dünyanın en büyük 11. şirketi olduğuna defalarca dikkat çekti.
United'ı, hacklemenin neden olduğu kaosu daha fazla tıbbi muayenehane edinmek için kullanmakla suçladı ve şirketin şu anda ülkede 10 doktordan birinden fazlasına sahip olduğunu söyledi.
Bay Witty, United'ın iş yapmadığı sektörleri işaret ederek iddialara karşı çıktı. “Büyüklüğümüze rağmen Amerika'da hastanemiz ve ilaç üreticimiz yok” dedi.
Federal sağlık yetkilileri ayrıca Amerikalıların tıbbi kayıtlarına ilişkin mahremiyet korumalarının daha sıkı olup olmayacağını düşünüyor. Milletvekilleri, sağlık şirketlerinin siber saldırılara karşı en savunmasız şirketler arasında yer aldığını ve bazılarının hasta verilerinin hacklenmesi nedeniyle para cezası ödediğini belirtti.
Daha geçen hafta, Kaiser Permanente 13,4 milyon kişiye kişisel bilgilerinin ihlal edilmiş olabileceğini, çünkü verilerin istemeden çeşitli üçüncü taraflarla paylaşılmış olabileceğini bildirdi.
.
Demokrat ve Cumhuriyetçi senatörler, ABD'deki tüm hasta kayıtlarının üçte birini ve yılda yaklaşık 15 milyar işlemi yöneten Change Healthcare'in siber saldırısının bu kadar büyük olup olmadığını, çünkü UnitedHealth'in ülkenin tıbbi bakımının neredeyse her alanına fazlasıyla kök salmış olup olmadığını sorguladılar.
2023 yılında 372 milyar dolar gelir bildiren ve ülkedeki en büyük şirketlerden biri olan UnitedHealth Group, yalnızca Change'in ana şirketi değil, aynı zamanda ülkenin en büyük sağlık sigortası şirketinin ana şirketi ve büyük bir eczane sosyal yardım yöneticisinin ( OptumRx) ana şirketidir. . United ayrıca ülkedeki neredeyse 10 doktordan birine hizmet veriyor.
Oregon Demokratı ve Finans Komitesi başkanı Senatör Ron Wyden, “Değişim hack'i, sağlık sistemindeki daha büyük payları tüketmede başarısız olamayacak kadar büyük mega şirketlere izin vermenin sonuçlarına dair ciddi bir uyarıdır” dedi.
Sağlık sigortacıları, hastaneler ve doktorlar arasında dijital bir otoyol görevi gören Change'e 21 Şubat'ta düzenlenen saldırının ardından ABD sağlık sistemi kaosa sürüklendi. Hastalar reçetelerini dolduramıyor, hastaneler ve doktorlar tedavi masraflarını karşılayamadıkları için ciddi nakit sıkıntısıyla karşı karşıya kalıyorlardı.
Kongre üyeleri, saldırının nasıl gerçekleştiği ve UnitedHealth'in bu soruna çözüm bulmak için ne yaptığı hakkında daha fazla bilgi talep etti ve şirket, geçen ay Ev Sağlık Alt Komitesi huzuruna çıkma talebini reddetti. Çarşamba günü, UnitedHealth CEO'su Andrew Witty, hem Senato Finans Komitesi hem de Temsilciler Meclisi Enerji ve Ticaret Komitesi heyeti önünde ifade vermek üzere mahkeme celbi aldı.
Öğleden sonra Temsilciler Meclisi Demokratları, özellikle şirketin muazzam büyüklüğü göz önüne alındığında endişelerini dile getirdi. Washington Cumhuriyetçisi ve Meclis komitesi başkanı Temsilci Cathy McMorris Rodgers, UnitedHealth'in “sağlık sistemimizin her köşesine giderek daha fazla sızmasını” tanımladı ve şirketin eylemlerinin muhtemelen “krizin kötü yönetimi konusunda bir örnek olay” haline geleceğini söyledi.
Sabah Bay Witty, şirketin hizmetleri yeniden sağlama çabalarını savundu ve özür diledi.
“Bu kötü niyetli siber saldırının bir sonucu olarak hastalar ve sağlayıcılar kesinti yaşadı ve insanlar özel sağlık bilgilerinden endişe duyuyor” dedi. “Etkilenen herkese çok açık bir şekilde şunu söylemek isterim: Çok üzgünüm.”
Ancak Bay Witty, bilgisayar korsanlarının Change ağına erişmesine izin veren dijital güvenliğin yetersiz olduğunu ve yetersiz yedekleme planının da bulunduğunu kabul etti ve United'ın satıcı ödemelerini karşılamaya yönelik ilk çabaları engellediğini kabul etti.
Daha geçen hafta United, bilgisayar korsanlarının bazı hasta verilerine erişim elde ettiğini açıklamaya başladı, ancak Bay Witty senatörlere, şirketin hasta verilerinin bu ihlalinin ne kadar kapsamlı olduğuna dair net bir görüşe sahip olmasının epey zaman alacağını söyledi.
Bay Wyden özellikle United'ın tüketicilere ne kadar az bilgi sağladığından duyduğu hayal kırıklığını dile getirdi. “Amerikalılar, hassas bilgilerinin ne kadarının çalındığı konusunda hâlâ karanlıktalar” diye ekledi. Şirketin kredi izleme çabalarını “veri ihlalleriyle ilgili düşünceler ve dualar” olarak nitelendirerek reddetti.
Ayrıca şirketin sorumlu olduğu aktif askeri personele ilişkin hassas tıbbi verilerin ifşa edilmesiyle ilgili endişeleri de vurguladı ve bunu “ulusal güvenliğe açık bir tehdit” olarak nitelendirdi.
Bay Witty, UnitedHealth'in etkilenenlerle ne zaman ve nasıl iletişim kurmaya başlayacağını belirlemek için düzenleyicilerle birlikte çalıştığını söyledi.
“Parçalı iletişimden kaçınmaya çalışmak istiyoruz” dedi.
United, Change'in sistemlerini birkaç hafta boyunca tamamen kapatmak zorunda kaldı ve bu durum, senatörler ile Bay Witty arasında hastanelere ve diğer hizmet sağlayıcılara yapılan geri ödemelerin hızı konusunda hararetli tartışmalara yol açtı.
Bay Witty senatörlere “ülke genelindeki taleplerin esasen normale döndüğünü” söyledi. Bay Wyden, Şubat ayında talepte bulunan sağlayıcılardan geri ödemenin en azından Haziran ayına kadar süreceğini duyduğunu söyledi.
Bay Witty, “Kesinlikle daha hızlı hareket edebiliriz” dedi ve Bay Wyden'a şikayette bulunan herhangi bir kuruluşla temasa geçilmesini istedi.
Bay Wyden, “Neredeyse karşılaştığım her satıcı ödemeyi bekliyor” diye yanıtladı.
Dakikalar sonra Tennessee Cumhuriyetçisi Senatör Marsha Blackburn de Bay Wyden'a katıldı ve Bay Witty'yi geri ödeme sürecinin “pembe” bir resmini sunmakla ve ofisinin ödeme bekleyen sağlık hizmeti sunucularından gelen çağrılarla bombardımana tutulduğunu söylemekle suçladı.
Bayan Blackburn, eyaletteki bir hastanede bir aylık gelire eşdeğer Medicare alacaklarının birikmiş olduğunu tespit etti.
“Her gün bir güncelleme için arıyorlar. Her gün arıyorlar. Ve her gün tekrar tekrar yanıltılıyorlar” dedi. “Sanki siz bunu anlayamıyorsunuz.”
Bay Witty ayrıca şirketin saldırganlara 22 milyon dolar fidye ödediğini de itiraf ederek şunları söyledi: “Fidye ödeme kararı bana aitti.” Bu, “şimdiye kadar karşılaştığım” en zor kararlardan biriydi.
FBI ve diğer yetkililer hack olayını araştırıyor.
UnitedHealth, saldırının ayrıntıları konusunda suskun kaldığı için eleştirildi.
Bay Wyden, Bay Witty'ye “Kişisel sorumluluk söz konusu olduğunda her şeyi doğru yaptınız” dedi. “Bu olaydaki rolünüzü defalarca küçümsediniz.”
Bay Wyden, UnitedHealth'in çok faktörlü kimlik doğrulama adı verilen en temel siber güvenlik önlemini uygulama konusunda başarısız olduğunu söyledi.
Bay Witty, Çarşamba gününden itibaren UnitedHealth'in “dışa dönük sistemlerinin” tamamının bu kimlik doğrulama biçimini kullandığını söyledi. Şirketin ayrıca, şirketin teknolojisinin ek taraması için dışarıdan gruplar getirdiğini ve bir siber güvenlik firması olan Mandiant'ı danışman olarak işe aldığını ekledi.
Kuzey Carolina Cumhuriyetçisi Senatör Thom Tillis, “Aptallar için Hacking” kitabının bir kopyasını göstererek, “Bunlar gözden kaçan bazı temel şeyler” dedi.
Duruşma, Bay Witty'ye hack ve buna verilecek yanıtla ilgili daha ayrıntılı bir zaman çizelgesi sunma fırsatı verdi.
Siber suçlular, Change'in sistemlerine 12 Şubat'ta, yani UnitedHealth'in bu sistemleri kapatması gerektiğini fark etmesinden dokuz gün önce erişim sağladı. Bay Witty, şirketin saldırının Change'in ötesine geçerek ana şirkete veya Optum veya sağlık sigortası şirketi gibi diğer birimlerine yayılmasını hızla önlediğini vurguladı. “Değişimi mümkün kılmak için patlama menzilini sınırladık” dedi.
Bay Witty ayrıca sağlık sisteminin hack'lere karşı savunmasızlığının United'ın çok ötesine uzandığını savundu. United'ın Change sistemini yalnızca 18 ay önce satın alması nedeniyle, Change'in kendisini hacklenmeye karşı savunmasız kılan “eski teknolojilerini” tamamen elden geçiremediğini söyledi.
Bay Witty, duruşmanın başka bir noktasında, Change'i tekrar kullanmakta tereddüt eden sağlayıcılara sempati duyduğunu söyledi.
“İyileşmenin beklenenden daha uzun sürmesinin nedeni, bu platformu kelimenin tam anlamıyla sıfırdan yeniden inşa etmemizdir, böylece yeni teknolojiye eski tehlikeye atılmış ortamın hiçbir unsurunun dahil edilmediğine dair insanlara güvence verebiliriz” dedi.
United'ın 2022'de Change Network'ü satın alması, bazı senatörler tarafından sağlık sektöründeki kitlesel konsolidasyonun bir örneği olarak görüldü. Sağlık sigortacılarını denetleyen Adalet Bakanlığı, United'ın Change'i satın almasını engellemeye çalıştı ancak federal yargıcı anlaşmanın rekabete aykırı olduğuna ikna edemedi.
Departman, şirketin faaliyetlerinin rekabeti engelleyip engellemediği konusunda daha geniş bir soruşturma başlattı.
Massachusetts Demokratı Senatör Elizabeth Warren, UnitedHealth'i “steroidler üzerinde tekel” olarak nitelendirdi ve dünyanın en büyük 11. şirketi olduğuna defalarca dikkat çekti.
United'ı, hacklemenin neden olduğu kaosu daha fazla tıbbi muayenehane edinmek için kullanmakla suçladı ve şirketin şu anda ülkede 10 doktordan birinden fazlasına sahip olduğunu söyledi.
Bay Witty, United'ın iş yapmadığı sektörleri işaret ederek iddialara karşı çıktı. “Büyüklüğümüze rağmen Amerika'da hastanemiz ve ilaç üreticimiz yok” dedi.
Federal sağlık yetkilileri ayrıca Amerikalıların tıbbi kayıtlarına ilişkin mahremiyet korumalarının daha sıkı olup olmayacağını düşünüyor. Milletvekilleri, sağlık şirketlerinin siber saldırılara karşı en savunmasız şirketler arasında yer aldığını ve bazılarının hasta verilerinin hacklenmesi nedeniyle para cezası ödediğini belirtti.
Daha geçen hafta, Kaiser Permanente 13,4 milyon kişiye kişisel bilgilerinin ihlal edilmiş olabileceğini, çünkü verilerin istemeden çeşitli üçüncü taraflarla paylaşılmış olabileceğini bildirdi.
.