Вредни хакове разкриват слабото дъно на здравната система на Америка
Две скорошни атаки с ransomware осакатиха компютърните системи в две големи американски здравни фирми, прекъсвайки грижите за пациентите и разкривайки основни слабости в защитата на здравната система на САЩ срещу хакери.
И в двата случая федерални служители и частни кибер експерти се опитаха да ограничат щетите и да върнат компютрите онлайн. Но каскадните ефекти от хаковете, с линейки, отклонени от болници и аптеки, неспособни да обработят застраховка, подчертаха за някои американски законодатели, висши служители от администрацията на Байдън и политически експерти, че здравната система е зле подготвена за вълнистите ефекти от кибератака и се нуждае от нови правила за сигурност. Здравеопазването изостава от други индустрии, като големи финансови институции и доставчици на енергия, когато става въпрос за ИТ сигурност, според някои експерти.
„Индустрията успешно изисква доброволна киберсигурност от години – и това е, което получаваме“, каза пред CNN Джошуа Корман, експерт по киберсигурност, който от години се фокусира върху здравния сектор.
Сенатор Рон Уайдън, демократът от Орегон, който председателства комисията по финансите, каза пред CNN, че „всеки нов опустошителен хак налага нуждата от задължителни стандарти за киберсигурност в сектора на здравеопазването, особено когато става въпрос за най-големите компании, от които зависят милиони пациенти за грижи и лекарства.”
Без действие, каза сенаторът, „достъпът на пациентите до грижи и личната им здравна информация ще бъдат компрометирани и откупувани от хакери отново и отново“.
През 2023 г. 46 болнични системи в САЩ, включващи 141 болници, са били засегнати от ransomware, според данни от фирмата за киберсигурност Emsisoft. Това е повече от 25 болнични системи, засегнати от ransomware през 2022 г., според фирмата.
Двете атаки с ransomware удрят различни нерви на здравната система. През февруари киберпрестъпниците проникнаха в незащитен компютърен сървър, използван от Change Healthcare, застрахователен гигант за таксуване, който обработва около 15 милиарда транзакции за здравеопазване годишно. Хакването отряза доставчиците на здравни услуги от милиарди долари приходи, попречи на обслужването в аптеките в САЩ и може да е компрометирало личните данни на една трета от американците.
В началото на май киберпрестъпниците използваха различен тип ransomware при атака срещу Ascension, базирана в Сейнт Луис мрежа с нестопанска цел, която включва 140 болници и 40 домове за възрастни в 19 щата. Хакването принуди здравната мрежа да отклони линейки от някои болници.
Администрацията на Байдън се готви да издаде минимални изисквания за киберсигурност за американските болници, потвърди този месец високопоставен киберслужител на Белия дом Ан Нойбергер. Подробностите по това предложение все още не са финализирани. Но Американската болнична асоциация, която представлява болници в Съединените щати, се противопоставя на предложението, заявявайки, че ефективно ще виктимизира жертвите на кибератаки чрез налагане на санкции, след като бъдат хакнати.
Длъжностни лица от Министерството на здравеопазването и човешките услуги по-рано казаха, че са готови да използват редица мерки, включително налагане на парични глоби, за да принудят и насърчат здравните организации да осигурят по-добре своите системи.
Импулсът на Капитолийския хълм също нараства, за да принуди здравните организации да отговарят на основните стандарти за киберсигурност.
Законопроект, внесен през март от сенатор Марк Уорнър, демократ от Вирджиния, ще позволи „предварителни и ускорени“ плащания по Medicare да бъдат изпращани на хакнати доставчици на здравни услуги, стига тези доставчици и техните изпълнители да отговарят на минимални стандарти за киберсигурност.
Нездравословна ситуация
Рансъмуер атаките срещу Change Healthcare и Ascension осветиха слабостта на киберсигурността на здравния сектор както никое друго събитие преди това, казаха експерти пред CNN.
И дори ако има нови регулаторни изисквания за киберсигурност, секторът „ще продължи да се бори с подобни атаки, ако бизнесът за предоставяне на здравни грижи остане финансово обременен [и принуждава] лидерите да дават приоритет само на инвестиции, генериращи приходи“, Картър Грум, главен изпълнителен директор на киберсигурността фирма First Health Advisory, каза пред CNN.
Атаката с рансъмуер Change Healthcare, по-специално, привлече ново внимание от страна на политици и експерти към това, което мнозина смятат за свръхконсолидация на индустрията на здравеопазването в САЩ. Ако хакерите успеят да провалят мерките за сигурност в една компания, милиони пациенти, които разчитат на тази здравна мрежа, могат да бъдат засегнати.
„Здравеопазването в САЩ е в спирала на смъртта“, каза Корман, който е съосновател на I am the Cavalry, доброволческа група, която се фокусира върху киберсигурността за организации с бедни ресурси в здравния сектор, наред с други. „Закъсалите болници се придобиват в твърде големи, за да фалират конгломерати. Откупите причиняват страдание на малките и многоседмични прекъсвания в различни щати за онези, които са „спасени“ от големите.“
Всички нови разпоредби за киберсигурност трябва да бъдат достатъчно силни, за да наложат значими подобрения в киберсигурността на сектора, твърди Корман. „Да. киберсигурността струва скъпо“, каза той. „Както можем ясно да видим... пренебрегването струва по-скъпо.“
Фирмата майка на Change Healthcare, UnitedHealth Group, притежава значителна част от пазара на здравеопазване в САЩ. Компанията, която отчете 371 милиарда долара приходи миналата година, обработва досиета на един от всеки трима американски пациенти, според Асоциацията на американските болници. Optum, дъщерно дружество на UnitedHealth, дава работа на около 90 000 лекари.
„Вашите приходи са по-големи от БВП на някои страни“, каза сенатор Марша Блекбърн, републиканец от Тенеси, на главния изпълнителен директор на UnitedHealth Group Андрю Уити по време на изслушване в Сената този месец. „И как, за бога, не си имал необходимите съкращения, за да не преживееш тази атака и да не се окажеш толкова уязвим?“
Министерството на правосъдието провежда антитръстово разследване на UnitedHealth Group, съобщи Wall Street Journal през февруари.
По-общо казано, Министерството на правосъдието миналата седмица обяви работна група, която да проучи „монополите и тайните споразумения в здравеопазването“, които ще ръководят подхода на отдела към „гражданско и наказателно правоприлагане на пазарите на здравни услуги“, където е оправдано.
