تعطلت أنظمة Change Healthcare لليوم السابع بعد أن تمكن أحد عناصر التهديد السيبراني من الوصول إلى شبكتها الأسبوع الماضي. الشركة الام مجموعة يونايتد هيلث وقال إن معظم الصيدليات الأمريكية قامت بإعداد حلول إلكترونية للتخفيف من التأثير.
اكتشفت شركة UnitedHealth أن جهة تهديد “يشتبه بأنها مرتبطة بالدولة القومية” اخترق جزءًا من شبكة تكنولوجيا المعلومات الخاصة بشركة Change Healthcare يوم الأربعاء، وفقًا لإيداع لدى لجنة الأوراق المالية والبورصات الأمريكية يوم الخميس. وقال الملف إن شركة UnitedHealth قامت بعزل الأنظمة المتأثرة وفصلها “فور اكتشاف” التهديد.
تقدم شركة Change Healthcare أدوات لإدارة دورة الدفع والإيرادات، وقد أدى انقطاع نظامها إلى تعطيل العمليات في الصيدليات والأنظمة الصحية في جميع أنحاء البلاد. قالت شركة UnitedHealth في وقت متأخر من ليلة الاثنين أن أكثر من 90٪ من صيدليات البلاد قامت بإعداد حلول معالجة إلكترونية معدلة للمطالبات، بينما قامت البقية بإعداد أنظمة معالجة دون اتصال بالإنترنت.
وقالت شركة UnitedHealth يوم الاثنين إن هذا الاضطراب لم يؤثر على التدفقات النقدية لمقدمي الخدمة حتى الآن، حيث يتم إصدار المدفوعات عادةً بعد أسبوع أو أسبوعين من المعالجة.
تعد شركة يونايتد هيلث أكبر شركة للرعاية الصحية في الولايات المتحدة من حيث القيمة السوقية، وتمتلك شركة أوبتوم للرعاية الصحية، التي تخدم أكثر من 100 مليون مريض في الولايات المتحدة، وفقًا لموقعها على الإنترنت. تم دمج شركة Change Healthcare مع شركة Optum في عام 2022.
وفي سلسلة من التحديثات التي تم نشرها منذ يوم الأربعاء، قالت منظمة Change Healthcare إنها تتمتع بثقة “عالية المستوى” في أن أنظمة Optum وUnitedHealthcare وUnitedHealth Group لم تتأثر بالهجوم. قالت UnitedHealth أن هذه الكيانات تعمل مع شركاء خارجيين مثل شبكات بالو ألتو و جوجل Cloud’s Mandiant لتقييم الاختراق.
وقالت شركة UnitedHealth لشبكة CNBC في بيان ليلة الاثنين: “نحن نقدر الشراكة والعمل الجاد لجميع أصحاب المصلحة المعنيين لدينا لضمان أن لدى مقدمي الخدمات والصيادلة حلول فعالة لخدمة مرضاهم مع عودة الأنظمة إلى وضعها الطبيعي”.
ارتفاع عدد الهجمات الإلكترونية في مجال الرعاية الصحية
يأتي الهجوم على Change Healthcare بعد أن سجل عام 2023 رقمًا قياسيًا قاتمًا للجرائم الإلكترونية المتعلقة بالصحة. كان هناك 725 انتهاكًا كبيرًا لأمن الرعاية الصحية في العام الماضي، ارتفاعًا من الرقم القياسي البالغ 720 انتهاكًا في العام السابق، وفقًا لتقرير صدر في يناير من مجلة HIPAA.
قال جون ريجي، المستشار الوطني للأمن السيبراني والمخاطر في جمعية المستشفيات الأمريكية، إن البيانات الصحية جذابة للجهات الفاعلة السيئة لأنه يمكن استثمارها بسهولة وبيعها على شبكة الإنترنت المظلمة لإدامة جرائم أخرى مثل سرقة الهوية والاحتيال في الرعاية الصحية.
وقال إن هناك أنواعًا مختلفة من الهجمات الإلكترونية التي تؤثر على قطاع الرعاية الصحية، بما في ذلك هجمات سرقة البيانات وهجمات برامج الفدية. في هجوم سرقة البيانات، يتسلل الممثلون السيئون إلى النظام ويسرقون البيانات. في حالة هجوم برنامج الفدية عالي التأثير، يمكن أن تسبب التداعيات ضررًا فوريًا للسلامة الجسدية للمرضى.
وقال ريجي لشبكة CNBC في مقابلة: “إنهم يأتون ويقومون بتشفير جميع البيانات الموجودة في الشبكات، بحيث تصبح الأنظمة فجأة، على الفور، معتمة، وتصبح غير متاحة”. وهذا يعني أن تقنيات التشخيص مثل الماسحات الضوئية المقطعية يمكن أن تتوقف عن العمل، وغالباً ما يتم تحويل سيارات الإسعاف التي تحمل المرضى، مما قد يؤخر الرعاية المنقذة للحياة.
لم تكشف UnitedHealth بعد عن طبيعة الهجوم على Change Healthcare.
وقال ريجي: “إنهم ضحية لهجوم إلكتروني خارجي”. “ومع ذلك، في نهاية المطاف، لم يكن هذا هجومًا عليهم فقط، بل كان هجومًا على قطاع الرعاية الصحية بأكمله.”
قال كليف ستاينهاور، مدير أمن المعلومات والمشاركة في التحالف الوطني للأمن السيبراني، إن الرعاية الصحية هي صناعة معقدة بها الكثير من القطع المتحركة ونقاط الدخول، مما يعني أنه قد يكون من الصعب على أي مؤسسة أن تكون آمنة بنسبة 100٪.
ومع ذلك، قال إن هناك خطوات يمكن للأفراد اتخاذها للمساعدة في الحفاظ على أمان بياناتهم الشخصية، مثل تحديث برامجهم، وإعداد مصادقة متعددة العوامل، واستخدام كلمات مرور قوية وفريدة من نوعها.
وقال شتاينهاور لشبكة CNBC في مقابلة: “لدينا جميعًا وظيفة للحفاظ على أماننا عبر الإنترنت”.
وقال ريجي إن كبار قادة الرعاية الصحية بحاجة إلى تخصيص موارد حقيقية للأمن السيبراني وفهم أنه يمثل خطراً على “كل وظيفة” في المنظمة. وبالإضافة إلى نشر الدفاعات التقنية اللازمة، قال إن الأنظمة الصحية بحاجة إلى تعزيز الثقافات التي يشعر فيها الجميع بأنهم جزء من فريق الأمن السيبراني.
ولكن عندما يتعلق الأمر بمنع الهجمات الإلكترونية، قال ريجي إن الهجوم لا يقل أهمية عن الدفاع.
وأضاف: “هذا يعادل الإرهاب السيبراني”. “يجب على الحكومة أن تكرس نفس القدر من الأولوية والاهتمام والموارد لملاحقة الأشرار الذين ينفذون هذه الهجمات.”
تأثير خرق التغيير في الرعاية الصحية
لم تكشف شركة UnitedHealth على وجه التحديد عن أنظمة تغيير الرعاية الصحية التي تأثرت، ولكن تداعيات الهجوم السيبراني تسببت في سلسلة من المشاكل عبر نظام الرعاية الصحية في الولايات المتحدة.
وقالت شركة CVS Health إن بعض عملياتها التجارية تأثرت بالانقطاع في بيان لـ CNBC يوم السبت. وقالت الشركة إنها لم تتمكن من معالجة مطالبات التأمين في بعض الحالات، على الرغم من أنه لا يزال بإمكانها ملء الوصفات الطبية.
وقالت CVS Health في البيان إنه “لا يوجد ما يشير” إلى أن أنظمتها قد تعرضت للاختراق.
أخبرت Walgreens CNBC أن عمليات الصيدلية و”الغالبية العظمى” من وصفاتها الطبية لم تتأثر بالانتهاك الذي حدث في Change Healthcare، وفقًا لبيان صدر يوم الاثنين. وقالت الشركة إن لديها إجراءات لمعالجة “النسبة الصغيرة” من الوصفات الطبية التي قد تواجه مشاكل.
بالنسبة للمستهلكين مثل كاري برازمان، كان التعطيل بمثابة صداع.
حاول برازمان الحصول على وصفة طبية من صيدلية فونز في بالم سبرينغز يوم السبت، بعد يوم واحد من زيارة طبيب الأمراض الجلدية، لكن محاولته كانت بلا جدوى. قيل له أن الصيدلية لم تتلق التحويل من طبيبه، وحتى لو فعلوا ذلك، فلن يتمكنوا من تشغيل تأمينه.
“أنا أقول، حسنًا، ما الذي يفترض بي أن أفعله الآن؟” وقال برازمان لشبكة سي إن بي سي في مقابلة: “إنهم يقولون:” لا نعرف”.
وبحلول يوم الاثنين، قال برازيمان إن الصيدلية أعدت حلاً بديلاً ساعدها على التواصل مع بعض شركات التأمين، ولكن ليس جميعها. وقال إنه يعتزم زيارة طبيبه مرة أخرى يوم الثلاثاء للحصول على نسخة ورقية من الوصفة الطبية الخاصة به للصيدلية. ويأمل أن يتمكنوا من معالجة التأمين الخاص به.
وقال برازمان إنه كان مهتمًا جدًا باللوجستيات المتعلقة باستعادة أدويته لدرجة أنه لم يكن قلقًا، حتى وقت قريب، بشأن ما إذا كانت معلوماته الشخصية قد تم الكشف عنها في الاختراق. وقال إن المشكلة المباشرة هي إيصال الدواء إلى الأشخاص الذين يحتاجون إليه – وخاصة أولئك الذين يعانون من حالات أكثر خطورة من حالته.
وأضاف: “أنا متنقل، لذا يمكنني القيام بهذه الجولات إذا لزم الأمر، ويمكنني الدفع نقداً إذا لزم الأمر، لكن هناك الكثير من الأشخاص الذين لا يستطيعون ذلك”.