Los estadounidenses tienen derecho a que se proteja su información médica confidencial. Desde el ciberataque del 21 de febrero a Change Healthcare, los senadores republicanos del Comité de Energía y Comercio han estado discutiendo cómo ocurrió el ataque, cómo se puede prevenir en el futuro y cómo pueden los estadounidenses. Estamos trabajando activamente para comprender cómo podemos continuar facilitar el acceso a la atención médica.
problema
Change Healthcare es una de las empresas de procesamiento de pagos de atención médica más grandes del mundo. La empresa actúa como una cámara de compensación que procesa 15 mil millones de reclamaciones médicas cada año, lo que representa aproximadamente el 40 % de todas las reclamaciones.
Un ciberataque en febrero dejó fuera de línea a Change Healthcare, una subsidiaria del gigante mundial de la salud UnitedHealth, y dejó una acumulación de facturas impagas. Esto ha dejado a las clínicas y hospitales con graves problemas de financiación, amenazando el acceso de los pacientes a la atención sanitaria.
Más tarde se reveló que es posible que se haya filtrado a la web oscura información médica confidencial de millones de estadounidenses, a pesar de que UnitedHealth pagó un rescate a los ciberatacantes.
Acción de ingeniería y construcción
Desde el principio, los legisladores de energía y comercio han trabajado con la administración y Change Healthcare para ayudar a los proveedores de atención médica, especialmente los proveedores de atención médica pequeños y rurales, a navegar por el nuevo y complejo proceso para recibir reembolsos. Hemos ayudado a que nuestras clínicas permanezcan abiertas para que puedan hacerlo. centrarse en la atención al paciente.
Los legisladores republicanos sobre energía y comercio fueron informados por la Oficina de Preparación y Respuesta Estratégica, los Centros de Servicios de Medicare y Medicaid y Change Healthcare en las semanas posteriores al ataque. Después de la aclaración, líderes bipartidistas en energía y comercio escribieron una carta a UnitedHealth exigiendo respuestas sobre el ataque. El Subcomité de Salud celebró una audiencia pública el 17 de mayo para examinar las vulnerabilidades de ciberseguridad en el sector de la salud y discutir soluciones.
Esta semana, el Subcomité de Supervisión e Investigaciones convocó al director ejecutivo de UnitedHealth, Sir Andrew Whitty, para discutir lo que sucedió antes y durante el ataque y cómo está respondiendo la compañía. Explicó al pueblo estadounidense cuál era su plan para evitar que tal ataque vuelva a ocurrir. .
Que aprendí
1. El ataque se produjo porque UnitedHealth no utilizó autenticación multifactor. [MFA]Adopte prácticas estándar de la industria para proteger uno de sus sistemas más críticos.
Sr. Whitty:
Todavía estamos investigando por qué ese servicio en particular no tenía MFA. Evidentemente, no hubo AMF. Estoy tan frustrado como usted porque nos enteramos y pudimos regresar y descubrir cómo sucedió esta situación.
Change Healthcare se unió a la organización a finales de 2022, después del momento de la declaración que mencionaste anteriormente.
Change Healthcare era una empresa relativamente antigua y utilizaba tecnología más antigua. La empresa ha estado trabajando para actualizar su tecnología desde la adquisición. Todavía estamos investigando, pero por alguna razón MFA no se instaló en este servidor en particular.
2. Se estima que la información sanitaria confidencial de un tercio de los estadounidenses se filtró a la web oscura como resultado de este ataque.
Morgan Griffiths, presidente del Subcomité de Supervisión:
¿Qué quiere decir con “un porcentaje significativo de la población estadounidense”? ¿Qué porcentaje es 20%, 50%, 70%?
Monte Whitty:
Señor Presidente, seguimos analizando la cantidad de datos involucrados aquí. Creo que será una cantidad considerable. Me temo que seré demasiado preciso al respecto y cometeré un error en el futuro porque aún no he completado el proceso. No quiero engañar a nadie sobre ese punto.
Presidente Griffiths:
Bueno, tampoco quiero causar ningún malentendido. Pero si dice “mucho”, al menos dé algo de margen. No importa si es un límite inferior o un límite superior. También puede indicar un rango. ¿De 20 a 50?
Sr. Whitty:
Creo que probablemente sea aproximadamente un tercio de ese nivel.
3. Puede que este no sea el final de las filtraciones. Aunque UnitedHealth ha pagado el rescate a los delincuentes, no podemos garantizar que no se verá comprometida más información confidencial de los estadounidenses.
Presidenta Cathy McMorris Rogers:
¿Cómo se comunicaron los piratas informáticos con UnitedHealth para obtener el dinero del rescate? ¿Tuvo algún contacto directo con los piratas informáticos?
Monte Whitty:
no lo hizo. No.
Presidente Rogers:
¿Cuánto pagaste como rescate? Además, ¿cómo pagaste? ¿Es un dólar? ¿Bitcoin u otras criptomonedas?
Sr. Whitty:
22 millones de dólares en Bitcoin.
Presidente Rogers:
¿En qué fecha pagaste el rescate?
Sr. Whitty:
Lo sentimos mucho. No me preocupa eso. Sin embargo, definitivamente nos comunicaremos con usted con respecto a ese asunto.
Presidente Rogers:
¿Puede estar seguro de que el hacker al que pagó no hizo una copia de sus datos personales o protegidos y la publicó en Internet en una fecha posterior?
O la web oscura.
Sr. Whitty:
No puedo decir eso con certeza. No.
4. UnitedHealth tiene recursos para ayudar a personas y proveedores.
Dr. Burgess:
Si el problema persiste, ¿existe un sitio web o un número de teléfono disponible públicamente con el que la clínica pueda comunicarse de inmediato?
Sr. Whitty:
Sí. Gracias por su pregunta.
Entonces [https://support.changehealthcare.com/] Es el mejor sitio web al que cualquiera puede acceder, ya sea un proveedor o un individuo.
Pero también quiero mencionar el número 1-800 al que las personas pueden llamar si tienen alguna pregunta sobre datos o algo así.
El número de teléfono es 1 (866) 262-5342. Esta línea de servicio está disponible y el proceso es muy simple. Si busca servicios como protección de crédito y protección contra robo de identidad, todos estos servicios se pueden solicitar con una sola llamada telefónica.
Haga clic aquí para ver la audiencia completa.
Vea algunas de las noticias sobre la audiencia.
La respuesta de UnitedHealth a la crisis probablemente “se convertirá en un estudio de caso sobre el fracaso de la gestión de crisis en las próximas décadas”, dijo la representante Cathy McMorris Rodgers, presidenta del Comité de Energía y Comercio de la Cámara (R-Wash.).
Whitty fue interrogado por senadores del Comité de Energía y Comercio de la Cámara de Representantes sobre el fracaso de la compañía para prevenir la infracción y contener su impacto.
Cuando se le pidió detalles sobre los datos comprometidos, Whitty dijo que “probablemente un tercio de la información de salud protegida y de la información de identificación personal de los estadounidenses” fue robada.
Los miembros del Comité de Energía y Comercio de la Cámara de Representantes preguntaron a Whitty por qué la aseguradora de atención médica más grande del país no había tomado medidas básicas de ciberseguridad antes del ataque.
“Change Healthcare es una empresa relativamente antigua y utilizaba tecnología más antigua. Desde la adquisición, hemos estado trabajando para actualizar esa tecnología”, afirmó Witty. “Sin embargo, por alguna razón, que aún estamos investigando, este servidor en particular no tenía instalado MFA”.
El representante Gary Palmer (R-Ala.) pidió al Subcomité de Supervisión e Investigaciones del Comité de Energía y Comercio de la Cámara de Representantes durante una audiencia por la tarde que aclarara cuántos empleados gubernamentales con autorización de seguridad estaban involucrados en la filtración. Le pregunté al Sr. Whitty si había sido informado. . Dijo que este tipo de robo representaría un riesgo para la seguridad nacional.
Aún así, el representante Earl L. “Buddy” Carter (R-Ga.) ha criticado las prácticas de integración vertical de la compañía, en las que adquiere consultorios médicos, administradores de beneficios farmacéuticos y otros actores del sistema de salud.
“Estoy comprometido a continuar trabajando para resolver esta situación”, dijo Carter. “Esta integración vertical que existe en la atención sanitaria tiene que terminar”.
Varios miembros también aprovecharon la oportunidad para criticar el uso de la autorización previa por parte de United Healthcare. Whitty dijo que las autorizaciones previas se reanudaron para los planes Medicare Advantage el 15 de abril.
El representante John Joyce (republicano por Pensilvania) dijo que la compañía debería “considerar cuidadosamente cómo la autorización previa ha afectado los resultados de los pacientes”.
Fuente: https://energycommerce.house.gov/posts/what-we-learned-change-healthcare-cyber-attack
