El director ejecutivo de UnitedHealth Group, Andrew Witty, testificó el 1 de mayo ante la Cámara y el Senado sobre el ciberataque sísmico del 21 de febrero a la filial de UHG, Change Healthcare, que fue infiltrada por la banda de ransomware ALPHV.
Reconoció que la ausencia de autenticación multifactor en un servidor heredado proporcionó a los ciberdelincuentes su vector de ataque exitoso.
Y, aunque la investigación forense de la compañía continuará en el futuro previsible, Witty admitió que, en su opinión, se robó información de identificación personal e información de salud protegida de aproximadamente un tercio de los estadounidenses.
“Quiero decirles nuevamente a todos los afectados que lo siento profundamente”, dijo Witty al Subcomité de Investigaciones y Supervisión de la Cámara de Representantes mientras pasaba la mayor parte de dos horas respondiendo preguntas financieras, operativas y técnicas de los enojados miembros del comité.
“Estamos trabajando incansablemente para descubrir y comprender cada detalle que podamos, que usaremos para hacer que nuestras defensas cibernéticas sean más fuertes que nunca”, afirmó.
Disculpas y garantías.
En su testimonio ante el Congreso, Witty dijo que UnitedHealth decidió pagar un rescate de 22 millones de dólares en Bitcoin porque los sistemas obsoletos comprometidos de Change Healthcare habían paralizado sus operaciones, tanto para sí mismo como para muchos de sus clientes.
Su testimonio ofreció una idea del aspecto técnico del ataque y de la respuesta de UHG al incidente.
“Desde el momento en que me enteré de la intrusión, sentí un profundo sentido de responsabilidad de hacer todo lo posible para preservar el acceso a la atención y apoyar a nuestros clientes”, dijo Witty durante su testimonio de apertura.
“Nuestra respuesta y reacción a este ataque se ha basado en tres principios: proteger los sistemas; garantizar el acceso de los pacientes a la atención y los medicamentos y ayudar a los proveedores con sus necesidades financieras”.
Varios miembros del Congreso aprovecharon su tiempo para preguntar cómo piensa la compañía ayudar a los pacientes, proveedores y empleados gubernamentales expuestos y que continúan sufriendo tensiones financieras durante el apagón.
Otros, incluidos legisladores que son proveedores de atención médica de profesión y un farmacéutico independiente, preguntaron sobre las autorizaciones previas, la gestión de beneficios farmacéuticos, la extensión de los plazos para la presentación de reclamos médicos debido a la interrupción de la cámara de compensación y otras quejas de los electores sobre cómo UHG toma decisiones que afectan el acceso y el paciente. cuidado.
Muchos de los representantes mencionaron los 370 mil millones de dólares en ingresos de UHG el año pasado cuando preguntaron sobre la tensión financiera sobre los pacientes y proveedores causada por el ataque y la posterior interrupción.
Al no poder procesar los pagos de reclamaciones, la Asociación Médica Estadounidense dijo que, según su reciente encuesta, realizada del 26 de marzo al 3 de abril, Pequeñas consultas médicas cerrarán debido al ciberataque Change.
Witty reconoció que los proveedores más pequeños están experimentando la recuperación más larga y que son los que reciben la mayoría de los préstamos sin intereses y sin comisiones. UHG ha proporcionado 6.500 millones de dólares en pagos acelerados hasta el 26 de abril, informó la compañía.
Los proveedores “no detuvieron su trabajo” después del ataque cuando vieron que cesaba el flujo de caja, señaló la congresista Diana DeGette, demócrata por Colorado, y preguntó a Witty sobre un plazo de préstamo inicial que permitía a Optum, la entidad de UHG que opera Change, recuperar fondos sin previo aviso.
“Nos dimos cuenta inmediatamente [the terms] “No fueron apropiados”, respondió. “Acepto plenamente que fue un paso en falso”.
Preocupaciones por futuras denegaciones de reclamaciones
Durante la audiencia, el representante Dr. Kim Schrier, demócrata por Washington, también hizo preguntas sobre la fusión de 2022. que el Departamento de Justicia de Estados Unidos había intentado bloquear.
Si bien se agradecen los esfuerzos para abordar la situación y los pagos por adelantado, dijo, “la realidad es que este ataque masivo y de gran alcance ha impactado de manera desproporcionada a las prácticas pequeñas e independientes que ya estaban luchando por mantenerse a flote”.
Aunque otros pagadores “no han hecho nada para ayudar”, dijo que los préstamos han sido insuficientes, y describió la experiencia “devastada” de Balance Physical Therapy de Issaquah, Washington. Los propietarios de la práctica que emplea seis fisioterapeutas Tuvieron que hipotecar su casa para pagar el alquiler y la nómina”, dijo Schrier. “Y ahora ese dinero se ha acabado”.
En la primera ronda de préstamos de UHG, a Balance se le pagaron 70 dólares, dijo, sosteniendo un papel para ingresar como prueba.
Schrier luego dijo que UHG debería tener suficiente información sobre experiencia en reclamos para comprender qué prácticas facturaron en el mes anterior y el año anterior, “y debería poder hacerlo mejor que eso”.
Ella preguntó si UHG ayudaría a pagar el valor de esa casa hipotecada, ya que él dijo que “no descansaría” hasta que UHG arreglara las cosas.
“Señora congresista, absolutamente”, dijo.
Parte de la razón por la que algunos proveedores no recibieron apoyo, y es posible que todavía carezcan de apoyo, es que UHG no tiene “visibilidad de los flujos fuera de United”, explicó Witty.
“Como estábamos tratando de ayudar rápidamente, nos quedamos cortos, y en este caso nos quedamos muy cortos”.
También dijo que escuchó que las condiciones del préstamo eran muy sospechosas, como una cláusula según la cual el beneficiario no podía utilizar un competidor de UHG, y algunas clínicas y hospitales de su distrito decidieron no aceptarlas.
Y, dada la reputación de United de comprar prácticas de proveedores “que están en problemas”, preguntó qué garantía podría darle Witty al comité de que United no “dañará estas prácticas al no reembolsar lo suficiente, al poner estos términos injustos y luego ir y simplemente comprando las prácticas.”
“Todos esos términos ya no existen” y el proveedor de pago “nunca querría actuar de manera oportunista a raíz de esto”, aseguró Witty.
Anteriormente, el director ejecutivo de UHG había dicho que el servicio de atención médica realiza llamadas informativas periódicas para los proveedores que necesitan ayuda para volver a conectarse al servicio de pago que se ha reanudado, y luego dijo que los proveedores y pacientes de cualquier distrito deben comunicarse con UHG al 866-262-5342. (También hay una Página de recursos de UHG.)
Posteriormente, señaló que 142,000 números de identificación fiscal se han beneficiado del programa de préstamos sin cargo, y enfatizó muchas veces durante la audiencia que los proveedores no tienen que comenzar a pagar hasta que decidan que sus operaciones han vuelto a la normalidad.
“Nos comprometemos a hacer todo lo que esté a nuestro alcance para arreglar su sistema o garantizar su flujo de caja, así de simple”, prometió ya en su testimonio inicial.
Si bien se ha restablecido gran parte de la funcionalidad del sistema de reclamos y pagos, según un informe del 29 de abril carta desde la Asociación Estadounidense de Hospitales hasta los senadores Ron Wyden, demócrata por Oregon, presidente del Comité de Finanzas, y Mike Crapo, republicano por Idaho, miembro de alto rango, los sistemas de salud y los hospitales están preocupados por las recuperaciones.
“Reconectarse no es el único paso hacia la recuperación”, afirmó la AHA.
“La interrupción y el retraso en la presentación de reclamaciones conducirán inevitablemente a muchas denegaciones, especialmente porque la mayoría de los pagadores no renunciaron a ciertos requisitos administrativos afectados por la interrupción de Change Healthcare”.
Reconstrucción de sistemas heredados
Algunos miembros del comité de la Cámara de Representantes hicieron preguntas básicas sobre dónde fallaron las defensas, el cumplimiento de HIPAA y si la compañía había prestado atención a las advertencias de las agencias federales sobre el grupo objetivo de las autoridades internacionales, como ALPHV Gato Negro Está en funcionamiento desde noviembre de 2021.
Sin un verdadero aislamiento de las copias de seguridad en la nube y un servidor heredado sin MFA, Change Healthcare ha dejado a su empresa matriz responsable de una estela de daños que se extiende de costa a costa.
El miembro de mayor rango Frank Pallone, DN.J., dijo que quería saber por qué UHG no actualizar sistemas antiguos o implementar un respaldo adecuado en el año y medio transcurrido desde la adquisición Se completó.
Sólo cuando se adquirió la empresa UHG pudo echar un vistazo a la red y desde entonces los sistemas de Change se estuvieron actualizando, explicó Witty.
“El cambio, este riesgo, ya existía antes de la adquisición de United”, afirmó.
El ataque de ransomware en particular dejó inoperables los sistemas principales y las copias de seguridad.
“Esa es una de las lecciones que tenemos que aprender de esto en términos de cómo construir un verdadero aislamiento en las copias de seguridad, y tal vez simplemente enfatizar el punto sobre la importancia de tener esos servicios en la nube versus centros de datos locales más antiguos, que fue el caso en el entorno de cambio heredado”, dijo.
Witty también le dijo a la representante Dra. Mariannette Miller-Meeks, republicana por Idaho, quien fue invitada a unirse a la audiencia, que la falla residía en los sistemas heredados profundamente arraigados de la “pequeña” empresa.
“Creo que la cuestión del riesgo realmente existía cuando Change era una empresa independiente bastante pequeña o, de hecho, una empresa pública, pero una empresa pública bastante pequeña. Entró en la organización y, muy lamentablemente, este ataque ocurrió en los primeros días. nosotros somos dueños de este negocio.”
Pero la presencia de copias de seguridad más antiguas y las actualizaciones en proceso no excusan a UHG para algunos observadores.
“A diferencia de las organizaciones más pequeñas, estos gigantes de la industria a menudo tienen mayores recursos a su disposición, lo que no deja excusas para adoptar posturas laxas en materia de seguridad de datos”, dijo Asaf Kochan, cofundador y presidente de Sentra, una plataforma de seguridad de datos nativa de la nube con sede en la ciudad de Nueva York. Noticias de TI para el cuidado de la salud vía correo electrónico.
“Lo diferente es que United tiene la capacidad financiera para resolver este problema y creo que reconstruirá Change para convertirlo en una plataforma mucho más moderna y segura”, dijo Witty.
El representante Brett Guthrie, republicano por Kentucky, también preguntó sobre el equipo heredado de Change y si hay más sistemas obsoletos que podrían verse comprometidos.
“Estamos tratando incansablemente de extinguir esa posibilidad. Estamos utilizando a terceros para asegurarnos de que eso ocurra”, respondió.
“En la reconstrucción del Cambio, una de las razones por las que está tardando más de lo esperado en recuperar el Cambio es porque estamos construyendo gran parte de esta plataforma desde cero con tecnologías modernas completamente nuevas, a menudo basadas en la nube. con capacidades de seguridad integradas mucho mayores que cualquier cosa que existiera antes del ataque”.
Cuando se le preguntó sobre la implementación de medidas en el asesoramiento conjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Oficina Federal de Investigaciones y los Servicios Humanos y de Salud de EE. UU., Witty dijo que con la investigación, UHG está tratando de descubrir por qué no se revisaron todos los sistemas de cambio.
Es política de UHG analizar las lecciones aprendidas en cualquier incumplimiento o “cualquier cuasi accidente”, dijo Witty. “Cada vez hacemos un análisis de causa raíz”.
El impacto de la infracción es amplio y poco claro
Witty dijo durante la audiencia que UHG está trabajando con los reguladores para determinar su voluntad de asumir la responsabilidad de notificar a todas las personas afectadas.
El representante Gary Palmer, republicano por Alabama, preguntó sobre la duración de las consecuencias del ciberataque. Dijo que sus colegas habían hecho un buen trabajo al preguntar sobre los impactos, pero quería preguntar sobre miles de empleados gubernamentales con “autorizaciones de muy alta seguridad” que podrían incluirse en los datos.
Le pidió a Witty que priorizara informar a los empleados federales que su PII podría haber sido expuesta y les dio su seguridad.
“Algunos de nuestros peores temores se están haciendo realidad”, dijo Paul Tonko, DN.Y., mientras millones de datos de salud de estadounidenses están en riesgo debido a la filtración de datos.
Si bien HIPAA requiere estándares mínimos de seguridad de datos, Palmer preguntó si Change cumple totalmente con HIPAA e hizo que UHG analizara los sistemas de Change para verificar el cumplimiento de HIPAA.
Witty dijo que sólo podían analizar los sistemas después de la compra: “Dado su tamaño y complejidad, esto lleva algo de tiempo”.
Tonko luego preguntó por qué aún no se había presentado una notificación de incumplimiento al HHS.
Witty respondió que UHG no tuvo acceso a los datos exfiltrados hasta mediados de marzo y que todavía los están analizando.
“Estoy extremadamente preocupado porque apenas estamos viendo el comienzo del impacto de este ciberataque”, dijo Schrier.
Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS Media.
2024-05-02 15:54:09
#UHG #dice #está #reconstruyendo #Change #Healthcare #con #seguridad #basada #nube,