Пара недавних атак с использованием программ-вымогателей нанесла ущерб компьютерным системам двух крупных американских медицинских фирм, нарушив уход за пациентами и обнажив фундаментальные слабости в защите системы здравоохранения США от хакеров.
В обоих случаях федеральные чиновники и частные эксперты по кибербезопасности пытались ограничить ущерб и вернуть компьютеры в онлайн. Но каскадные последствия хакерских атак, когда машины скорой помощи были перенаправлены из больниц и аптек, неспособных оформить страховку , подчеркнули для некоторых американских законодателей, высокопоставленных чиновников администрации Байдена и политических экспертов, что система здравоохранения плохо подготовлена к волновым последствиям кибератаки. и нуждается в новых правилах безопасности. По мнению некоторых экспертов, здравоохранение отстает от других отраслей, таких как крупные финансовые учреждения и поставщики энергии, когда дело касается ИТ-безопасности.
«Промышленность уже много лет успешно требует добровольной кибербезопасности — и это то, что мы получаем», — сказал CNN Джошуа Корман, эксперт по кибербезопасности, который много лет занимается сектором здравоохранения.
Сенатор Рон Уайден, демократ из штата Орегон, возглавляющий финансовый комитет, заявил CNN, что «каждый новый разрушительный взлом подчеркивает необходимость обязательных стандартов кибербезопасности в секторе здравоохранения, особенно когда речь идет о крупнейших компаниях, от которых зависят миллионы пациентов». за уход и лекарства».
Если не принять никаких мер, сказал сенатор, «доступ пациентов к медицинской помощи и их личная медицинская информация будут подвергаться риску и требовать выкуп со стороны хакеров снова и снова».
По данным компании Emsisoft, занимающейся кибербезопасностью, в 2023 году 46 больничных систем в США, в том числе 141 больница, подверглись воздействию программ-вымогателей . По данным компании, это больше, чем 25 больничных систем, пострадавших от программ-вымогателей в 2022 году.
Две атаки программ-вымогателей затронули разные нервы системы здравоохранения. В феврале киберпреступники взломали незащищенный компьютерный сервер, используемый Change Healthcare, гигантом страховых счетов, который ежегодно обрабатывает около 15 миллиардов транзакций в сфере здравоохранения. Взлом лишил поставщиков медицинских услуг доходов в миллиарды долларов, затруднил обслуживание в аптеках по всей территории США и, возможно, поставил под угрозу личные данные трети американцев.
В начале мая киберпреступники использовали другой тип программы-вымогателя при атаке на Ascension, некоммерческую сеть в Сент-Луисе, включающую 140 больниц и 40 домов престарелых в 19 штатах. Взлом вынудил сеть здравоохранения перенаправить машины скорой помощи из некоторых больниц.
Администрация Байдена готовится ввести минимальные требования к кибербезопасности для больниц США, подтвердила в этом месяце старший чиновник Белого дома по кибербезопасности Энн Нойбергер. Детали этого предложения еще не доработаны. Но Американская ассоциация больниц, которая представляет больницы по всей территории Соединенных Штатов, выступает против этого предложения, заявляя, что оно фактически повторно станет жертвами кибератак, наложив штрафы после их взлома.
Чиновники Министерства здравоохранения и социальных служб ранее заявляли, что готовы использовать ряд мер, включая наложение денежных штрафов, чтобы заставить и побудить организации здравоохранения лучше защищать свои системы.
На Капитолийском холме также набирает силу стремление заставить организации здравоохранения соблюдать базовые стандарты кибербезопасности.
Законопроект , внесенный в марте сенатором Марком Уорнером, демократом из Вирджинии, позволит отправлять «продвинутые и ускоренные» платежи по программе Medicare взломанным поставщикам медицинских услуг при условии, что эти поставщики и их подрядчики соответствуют минимальным стандартам кибербезопасности.
Нездоровая ситуация
Атаки программ-вымогателей на Change Healthcare и Ascension выявили слабость кибербезопасности сектора здравоохранения, как никакие другие события до этого, сообщили эксперты CNN.
И даже если появятся новые нормативные требования к кибербезопасности, сектор «продолжит бороться с такими атаками, если бизнес по предоставлению медицинских услуг останется финансово обремененным [и вынудит] лидеров отдавать приоритет только инвестициям, приносящим доход», — сказал Картер Грум, исполнительный директор отдела кибербезопасности. Фирма First Health Advisory сообщила CNN.
Атака программы-вымогателя Change Healthcare, в частности, привлекла новое внимание политиков и экспертов к тому, что многие считают чрезмерной консолидацией отрасли здравоохранения США. Если хакерам удастся обойти меры безопасности в одной компании, это может затронуть миллионы пациентов, которые полагаются на эту сеть здравоохранения.
«Здравоохранение США находится в смертельной спирали», — сказал Корман, который стал соучредителем I am the Cavalry, волонтерской группы, которая занимается, в частности, кибербезопасностью организаций с ограниченными ресурсами в секторе здравоохранения. «Больницы, находящиеся в бедственном положении, превращаются в слишком большие, чтобы обанкротиться конгломераты. Выкупы вызывают страдания у самых маленьких и многонедельные отключения электроэнергии в нескольких штатах для тех, кого «спасают» большие».
Любые новые правила кибербезопасности должны быть достаточно строгими, чтобы обеспечить значительные улучшения в кибербезопасности сектора, утверждает Корман. ‘Да. кибербезопасность обходится дорого», — сказал он. «Как мы ясно видим, пренебрежение обходится дороже».
UnitedHealth Group, материнская компания Change Healthcare, владеет значительной частью рынка здравоохранения США. По данным Американской ассоциации больниц, компания, выручка которой в прошлом году составила $371 млрд, обслуживает каждую третью историю болезни американских пациентов . В Optum, дочерней компании UnitedHealth, работают около 90 000 врачей.
«Ваши доходы превышают ВВП некоторых стран», — заявила сенатор Марша Блэкберн, республиканец из Теннесси, генеральному директору UnitedHealth Group Эндрю Уитти на слушаниях в Сенате в этом месяце. «И как, черт возьми, у вас не было необходимых резервов, чтобы вы не испытали эту атаку и не оказались настолько уязвимыми?»
Министерство юстиции проводит антимонопольное расследование в отношении UnitedHealth Group, сообщила в феврале газета Wall Street Journal.
В более широком смысле, Министерство юстиции на прошлой неделе объявило о создании целевой группы для изучения «монополий и сговоров в сфере здравоохранения», которая будет определять подход министерства к «гражданскому и уголовному правоприменению на рынках здравоохранения», где это оправдано.
