El director ejecutivo de UnitedHealth es criticado por un ciberataque masivo fallido que interrumpió la atención médica • Missouri Independent


WASHINGTON – Miembros del Congreso de ambos partidos interrogaron el miércoles al director ejecutivo de UnitedHealth Group por el mayor ciberataque jamás sufrido por la industria de la atención médica en Estados Unidos. Los ataques han retrasado los pagos a proveedores de atención médica y farmacias, y han dejado a millones de pacientes sin saber si su información ha sido expuesta en la web oscura.

En febrero, una organización cibercriminal vinculada a Rusia conocida como Black Cat se infiltró en un servidor vulnerable en Change Healthcare, una subsidiaria del gigante de la salud UnitedHealth, con sede en Minnesota. Los piratas informáticos exigieron un rescate a cambio de los datos robados.

El director ejecutivo de UnitedHealth, Andrew Whitty, dijo al Comité de Finanzas del Senado que la decisión de pagar el rescate de 22 millones de dólares en Bitcoin fue “mía y una de las decisiones más difíciles que he tomado”.

“Quiero dejar claro a todos los que se han visto afectados: lo siento profundamente”, dijo Whitty en su discurso de apertura.

En su última actualización de finales de abril, la compañía dijo que una investigación preliminar en curso reveló que la salud personal y la información identificable “que puede haber afectado a un porcentaje significativo de estadounidenses” se habían visto comprometidas.

“El señor Whitty le debe una explicación al pueblo estadounidense”.

La disculpa del Sr. Whitty explica fallas básicas de ciberseguridad, pérdidas significativas de ingresos y demoras en notificar a los pacientes si su información personal estaba entre los datos robados por los ciberdelincuentes. Ha hecho poco para bloquear las demandas de los legisladores.

“El fracaso comienza desde arriba”, dijo el senador Ron Wyden, presidente del comité.

“El señor Whitty explicó por qué una empresa del tamaño e importancia de UHG no implementó la autenticación multifactor en servidores que brindan acceso abierto a información de salud protegida; su plan de recuperación fue lamentablemente inadecuado”. Le debemos al pueblo estadounidense explicar por qué; y, en última instancia, cuánto tiempo llevará hacer que todos nuestros sistemas sean seguros”, dijo el demócrata de Oregón.

UnitedHealth Group, una de las empresas más grandes del país, adquirió Change Healthcare en un acuerdo controvertido en 2022, ampliando aún más la enorme huella de la empresa en la industria de la salud de EE. UU.

Change Healthcare es una autopista de la información que maneja pagos, solicitudes de autorización de tratamiento a compañías de seguros y aproximadamente un tercio de los registros médicos de los estadounidenses. La compañía dice que procesa 14 mil millones de “transacciones clínicas, financieras y operativas” anualmente.

Whitty dijo a los legisladores que la adquisición de Change también compró la “tecnología heredada” de la compañía que UnitedHealth estaba actualizando.

Tanto Wyden como el miembro de mayor rango del comité, Mike Crapo de Idaho, criticaron al Departamento de Salud y Servicios Humanos de Estados Unidos por no asumir un papel más importante después del ataque.

Wyden criticó a la agencia por no realizar “una auditoría proactiva de ciberseguridad durante siete años”.

El HHS, que publica estándares de ciberseguridad recomendados para la industria de la salud, no respondió a las solicitudes de comentarios. El departamento publicó una declaración y una guía sobre ciberataques el 5 de marzo.

Crapo dijo que no fue lo suficientemente rápido y que “los retrasos de la administración exacerban una situación ya incierta y dejan a los trabajadores de la salud y a los pacientes con preocupaciones legítimas sobre el acceso a servicios de salud esenciales y medicamentos que salvan vidas”, dijo.

No es una perspectiva optimista

Los ciberdelincuentes que atacaron Change Healthcare supuestamente utilizaron credenciales robadas para acceder al servidor.

Whitty confirmó al comité que los piratas informáticos habían estado en el sistema durante nueve días antes de ser descubiertos, ya que el servidor no tenía autenticación multifactor (un proceso de inicio de sesión de dos pasos ampliamente utilizado).

Wyden dijo que “Ciberseguridad 101” podría haber evitado el ataque.

“No creo que haya ninguna excusa para eso”, dijo Wyden.

Whitty dijo que después de que la compañía descubrió la intrusión, se comunicó inmediatamente con la Oficina Federal de Investigaciones y desconectó a Change de su red.

La interrupción detuvo la facturación, las aprobaciones de seguros y otras actividades durante semanas, lo que costó a los proveedores de atención médica más de 100 millones de dólares al día, según la Asociación Médica Estadounidense.

Según el testimonio escrito presentado por el Sr. Whitty, UnitedHealth dijo que las facturas médicas han vuelto a niveles “casi normales”, el procesamiento de pagos está en el 86% de los niveles anteriores al accidente y “aumenta a medida que se restablecen capacidades adicionales”, dijo. reclamos.

Whitty dijo a los legisladores que la compañía había realizado pagos por 6.500 millones de dólares y préstamos sin intereses a proveedores de atención médica hasta el viernes.

La senadora Marsha Blackburn dijo que su oficina se ha visto inundada de llamadas sobre el ataque de Change. La realidad que describen los pacientes y los proveedores de atención médica es “muy diferente del panorama color de rosa que se pinta”, dijo.

El republicano de Tennessee dijo que está escuchando a hospitales y médicos que enfrentan semanas de retrasos en la facturación y los pagos.

“Aquí hay un buen ejemplo: un hospital privado, pequeño e independiente en el oeste de Tennessee que presenta diligentemente todos los reclamos, pero tiene una acumulación de reclamos de Medicare equivalente a 30 días de ingresos. Estamos esperando que estos reclamos se envíen a Medicare”. Dijo Blackburn.

“Todo esto se debe a los errores que todos ustedes cometieron”.

El senador James Lankford, republicano por Oklahoma, preguntó a Whitty cuál es la “fecha objetivo para que todos se recuperen por completo”.

“Tenemos la esperanza de que sea dentro del próximo mes o seis semanas”, dijo Witty.

datos del paciente

“Esto es lo básico”, le dijo a Whitty el senador de Carolina del Norte Thom Tillis, sosteniendo un libro llamado “Hacking for Dummies” que, según dice, utiliza como material de referencia en varios comités del Senado.

“Todo su negocio se basa en mover e intercambiar datos”, dijo Tillis, un republicano, durante una sesión de preguntas y respuestas. “Así es como se crea valor… Si hay una infracción, ese es su problema, no el mío. Entonces, lo que debe hacer para mantener intactos a los perjudicados en el informe. Es sólo una función de hacer negocios. ¿Está de acuerdo con esto? “

“Sí, lo hago”, respondió el Sr. Whitty. “Nos esforzamos por asumir toda la responsabilidad por las notificaciones y estamos a la espera de recibirlas. Ya contamos con protección de crédito y protección contra robo de identidad, y nuestros clientes pueden contactarnos a través del número gratuito o de soporte cibernético”.

La empresa tiene un centro de llamadas al 1-866-262-5342 y un sitio web en changecybersupport.com.

Whitty le dijo a la senadora Catherine Cortez Masto que el plazo para notificar a los proveedores de atención médica y a los pacientes si sus datos han sido violados tomará “varias semanas”, como lo exige la ley federal y estatal.

“Usted dice que este ataque ocurrió hace años, hace 69 días, pero ¿han pasado incluso más semanas?”, preguntó Cortez Masto, un demócrata de Nevada.

“Sí, gracias por su pregunta. Pudimos comenzar este proceso sólo después de que recuperamos el conjunto de datos aproximadamente un mes después del ataque y comenzamos una investigación. Es un proceso muy complejo”, respondió Witty.

Los manifestantes permanecieron de pie por un momento después de que concluyó la audiencia, gritando: “Andrew Whitty, no puedes esconderte. Vemos tu lado codicioso”.

Whitty también testificó el miércoles ante el Comité de Energía y Comercio de la Cámara de Representantes de Estados Unidos.

El Departamento de Justicia no respondió a las solicitudes de comentarios sobre su investigación sobre el ataque.



Fuente: https://missouriindependent.com/2024/05/02/unitedhealth-ceo-savaged-for-failings-in-massive-cyberattack-thats-crippled-health-care/