.
Ainda se recuperando do ataque de ransomware de fevereiro, a Change Healthcare confirma que seus serviços de compensação voltaram a funcionar, quase exatamente nove meses desde o início da interrupção digital.
Num ano normal, a organização de saúde processa 15 mil milhões de transações – o maior número de qualquer câmara de compensação nos EUA. Cuida dos pagamentos e transações entre prestadores de cuidados de saúde, hospitais, profissionais e pacientes em todo o sistema de saúde dos EUA. Seu ataque de ransomware em fevereiro pelo ALPHV/Blackcat levou a um impacto financeiro em impressionantes 94% dos hospitais no mês seguinte, de acordo com a American Hospital Association (AHA).
A restauração deste serviço, confirmada através de uma atualização na página de status do site, marca um marco importante na recuperação geral da Change Healthcare do ataque, que está em grande parte, mas ainda não totalmente concluída.
Estou impressionado com o fato de que eles não estavam usando autenticação multifator. Estou impressionado que as redes não tenham sido segmentadas…
A grande maioria de suas funções está online novamente e foram todas restauradas, pelo menos parcialmente, em apenas dois meses. As únicas funções de negócios que ainda não atingiram o status de restauração total são o Clinical Exchange (troca de informações de registros de saúde eletrônica), MedRX (gerenciamento de reclamações farmacêuticas) e seu sistema de distribuição multicanal de comunicação impressa do pagador (impressão de documentos de pagamento).
No entanto, os fornecedores sentirão o enorme impacto financeiro do incidente por muito mais tempo.
Os provedores relataram dificuldades financeiras quase imediatamente após a Change Healthcare ter sido derrubada pelo ALPHV. No início de Março, mais de um terço deles afirmou que mais de metade das suas receitas foram afectadas por interrupções nos pagamentos e quase 60% de todos os hospitais relataram uma quebra de receitas de 1 milhão de dólares ou mais por dia.
A Optum, de propriedade da UnitedHealth, lançou seu Programa de Assistência de Financiamento Temporário em 1º de março para apoiar os provedores enquanto eles lutavam contra problemas de fluxo de caixa. Na mesma atualização que deu a notícia sobre a restauração dos seus serviços de compensação, a Change Healthcare, que também é propriedade da UnitedHealth, disse que até 15 de outubro, 3,2 mil milhões de dólares de fundos emprestados tinham sido reembolsados.
Estima-se que o montante total de dinheiro emprestado a fornecedores sem juros seja superior a 6 mil milhões de dólares. Isso se soma aos US$ 872 milhões que a Change Healthcare gastou na remediação do ataque no final de março, custos que desde então aumentaram para bem acima de US$ 2 bilhões (incluindo impostos), de acordo com o relatório de lucros mais recente da UnitedHealth. [PDF].
O Registro contatou a Change Healthcare para obter uma declaração, mas não respondeu imediatamente.
Cerca de 100 milhões de pessoas foram afetadas pela mega-violação da Change Healthcare, de acordo com estatísticas recentes do Departamento de Saúde e Serviços Humanos (HHS). Tendo em conta a crença da AHA de que a empresa processa cerca de uma em cada três reclamações médicas de cidadãos dos EUA e a população do país de cerca de 337 milhões, isso significa que quase um terço do país foi afetado e a grande maioria dos pacientes da Change Healthcare foram comprometidos.
O grau em que os dados das pessoas foram comprometidos varia, mas nomes completos, endereços de e-mail, dados bancários, registros de sinistros e muito mais foram roubados.
Naturalmente, o CEO da UnitedHealth, Andrew Witty, foi convocado ao Congresso logo depois que as coisas aconteceram para explicar exatamente como esse material relacionado a armas foi autorizado a ocorrer.
Ele explicou aos legisladores que a afiliada ALPHV usou credenciais roubadas para fazer login em um portal Citrix que, você adivinhou, não tinha autenticação multifator (MFA) habilitada.
Witty foi questionado sobre a decisão da empresa de pagar aos extorsionários, uma medida que já havia sido comentada com base em análises de blockchain de carteiras ALPHV conhecidas. Ele confirmou aos senadores que a UnitedHealth de fato pagou US$ 22 milhões aos agressores.
Ele admitiu que foi a pessoa que autorizou o pagamento, dizendo que “foi uma das decisões mais difíceis que já tive de tomar. E não desejaria isso a ninguém”.
Especialistas conversando com O Registro após o depoimento do CEO, disse que as falhas de segurança exploradas pelos cibercriminosos eram equivalentes a “negligência flagrante”.
“Estou impressionado com o fato de que eles não estavam usando autenticação multifatorial”, disse Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security. “Estou surpreso que as redes não tenham sido segmentadas. E estou surpreso que eles não tenham conduzido uma caça às ameaças de forma robusta naquele ambiente, sabendo que haviam sido comprometidos. Sinceramente, acho que é uma negligência flagrante.”
.
