.
A administração Biden e os legisladores dos EUA estão a aumentar a pressão sobre o grupo UnitedHealth para aliviar a dor dos prestadores de serviços médicos após o ataque de ransomware à Change Healthcare, agilizando os pagamentos a hospitais, médicos e farmacêuticos – entre outras tácticas.
“Um ataque desta magnitude é indesculpável e todos os americanos afetados têm o direito de ficar indignados”, trovejou o senador norte-americano Ron Wyden na sexta-feira passada. “É completamente inaceitável que nem o UnitedHealth Group, nem as agências federais estivessem preparadas para as consequências, apesar de anos de evidências de que o setor da saúde é o principal alvo dos hackers criminosos”.
O software da Change Healthcare processa 15 bilhões de transações anualmente. Desde que um ataque de ransomware desligou os seus sistemas no final de fevereiro, os prestadores de serviços médicos nos EUA relataram interrupções no atendimento aos pacientes e graves problemas de fluxo de caixa.
As afiliadas da ALPHV/BlackCat assumiram a responsabilidade pelo ataque cibernético, e a equipe de extorsão recebeu mais de US$ 22 milhões nas semanas após o ataque – um pagamento que se acredita ser um possível pagamento para garantir a descriptografia de sistemas resgatados.
Numa carta dirigida aos “líderes dos cuidados de saúde” no domingo, os chefes do Departamento de Saúde e Serviços Humanos dos EUA (DHHS) e do Departamento do Trabalho dos EUA (DOL) apelaram ao UnitedHealth Group para “assumir a responsabilidade de garantir que nenhum fornecedor seja comprometidas pelos seus desafios de fluxo de caixa” após o ataque cibernético e agilizar os fundos para todos os fornecedores afetados.
A UnitedHealth não respondeu imediatamente a O registropedido de comentário.
O secretário do DHHS, Xavier Becerra, e a secretária em exercício do DOL, Julie Su, também instaram as companhias de seguros a fazer pagamentos provisórios aos fornecedores, simplificar os requisitos de intercâmbio eletrônico de dados e aceitar reclamações em papel.
“Embora acreditemos que os pagadores têm uma responsabilidade e uma oportunidade únicas para enfrentar o desafio que temos diante de nós, instamos a acção por parte de qualquer entidade de cuidados de saúde que possa avançar”, escreveram os secretários.
Cinco dias antes, o DHHS anunciou medidas para ajudar hospitais e farmácias afectados pelo fiasco da segurança, incluindo requisitos de autorização prévia mais flexíveis no Medicare e Medicaid.
Enquanto isso, os legisladores criticaram fortemente o fornecedor de TI de cuidados de saúde em apuros e a resposta do governo federal aos seus problemas.
“Não faltam culpas”, declarou o senador Wyden. “O UnitedHealth Group estragou as práticas básicas de segurança cibernética ao permitir que um único hack criasse o caos em todo o sistema de saúde do país e deveria ser responsabilizado. Ao mesmo tempo, os reguladores federais têm estado adormecidos ao volante da segurança cibernética.”
Wyden apelou ao DHHS para estabelecer “padrões de segurança cibernética rígidos e obrigatórios para a indústria dos cuidados de saúde”, que envolvem auditorias regulares para garantir que tanto os fornecedores como os fornecedores de tecnologia estão a proteger os dados dos pacientes.
O DHHS emitiu metas voluntárias de desempenho de segurança cibernética para hospitais e outras organizações de saúde – mas não chegou a impor requisitos mínimos de segurança, mesmo com o aumento vertiginoso do ransomware e de outros ataques cibernéticos contra a indústria.
“Essas violações, que resultam de práticas negligentes de segurança cibernética, prejudicam os pacientes, nosso sistema de saúde e a segurança nacional dos EUA”, continuou Wyden. “Os reguladores devem impedir que as empresas em sectores de infra-estruturas críticas, como os cuidados de saúde, cresçam tanto que representem um risco sistémico, como ocorreu aqui.”
Essa crítica à dimensão alcançada pelos intervenientes no setor da saúde é uma referência à fusão da Optum e da Change Healthcare, em outubro de 2022, num negócio de 13 mil milhões de dólares. A controladora UnitedHealth Group concluiu a aquisição depois que o Departamento de Justiça dos EUA e os estados desistiram do processo [PDF] contestar a concentração alegando que esta era anticoncorrencial e conduziria a custos mais elevados para os consumidores.
“Também estou a investigar se é necessária legislação adicional para reforçar a segurança no sector dos cuidados de saúde, incluindo o aumento das sanções financeiras e a responsabilização dos executivos das empresas por falhas na segurança cibernética 101”, alertou Wyden.
O senador norte-americano Mark Warner (D-VA) argumentou que a infecção por ransomware “não deveria surpreender ninguém” e prometeu introduzir legislação que acelerará os pagamentos aos fornecedores no caso de interrupções futuras “desde que cumpram os padrões mínimos de segurança cibernética”.
“Embora as repercussões deste incidente tenham sido principalmente – embora não totalmente – financeiras, o que me mantém acordado à noite é a possibilidade de um ataque generalizado semelhante afectar directamente o cuidado e a segurança do paciente”, afirmou Warner.
O senador acrescentou a sua convicção de que o governo dos EUA deveria considerar “padrões obrigatórios de higiene cibernética para prestadores de cuidados de saúde e seus fornecedores”.
As práticas de esterilização e higiene das mãos previnem infecções – e as práticas de higiene cibernética evitam invasões cibernéticas”, declarou Warner. “Ambas são essenciais para proteger os pacientes.” ®
.
