מוקדם בבוקר של ה-21 בפברואר, Change Healthcare, חברה לא מוכרת לרוב האמריקאים הממלאת תפקיד ענק במערכת הבריאות בארה"ב, פרסמה הצהרה קצרה לפיה חלק מהיישומים שלה "לא זמינים כרגע".
עד אחר הצהריים תיארה החברה את המצב כבעיית "אבטחת סייבר".
מאז, הוא פרח במהירות למשבר.
החברה, שנרכשה לאחרונה על ידי ענקית הביטוח UnitedHealth Group, ספגה מתקפת סייבר. ההשפעה רחבה וצפוי לגדול. העסק של Change Healthcare הוא תחזוקת הצינורות של שירותי הבריאות – תשלומים, בקשות למבטחים לאשר טיפול ועוד ועוד. הצינורות האלה מחזיקים בעומס גדול: Change אומר באתר האינטרנט שלה, "הרשת מבוססת הענן שלנו תומכת ב-14 מיליארד עסקאות קליניות, פיננסיות ותפעוליות מדי שנה".
דיווחים ראשוניים בתקשורת התמקדו בהשפעה על בתי המרקחת, אבל אנשי טכנולוגיה אומרים שזה ממעיט בעניין. איגוד בתי החולים האמריקאי אומר שרבים מחבריו אינם מקבלים תשלום וכי הרופאים אינם יכולים לבדוק אם למטופלים יש כיסוי לטיפול.
אבל אפילו זה רק חלק ממצב החירום: CommonWell, מוסד שעוזר לספקי בריאות לשתף רשומות רפואיות, מידע קריטי לטיפול, מסתמך גם על טכנולוגיית Change. המערכת הכילה רשומות על 208 מיליון אנשים נכון ליולי 2023. קורטני בייקר, מנהלת השיווק של CommonWell, אמרה שהרשת "הושבתה מתוך שפע של זהירות".
"אלה בריכות גלים קטנות שיגדלו וגדלות עם הזמן, אם זה לא ייפתר", אמר סעד צ'אודרי, קצין דיגיטל ומידע ראשי ב-Luminis Health, מערכת חולים במרילנד, ל-KFF Health News.
הנה מה שצריך לדעת על הפריצה:
מי עשה את זה?
דיווחים בתקשורת ממששים את ALPHV, קבוצת תוכנות כופר ידועה לשמצה הידועה גם בשם Blackcat, שהפכה למטרה של רשויות אכיפת חוק רבות ברחבי העולם. בעוד ש-UnitedHealth Group אמרה כי מדובר במתקפה "החשודה הקשורה למדינה לאום", כמה אנליסטים מבחוץ חולקים על הקשר. הכנופיה הואשמה בעבר בפריצה לחברות הקזינו MGM ו-Caesars, בין מטרות רבות אחרות.
משרד המשפטים טען בדצמבר, לפני פריצת ה-Change, כי קורבנות הקבוצה כבר שילמו לה מאות מיליוני דולרים כופר.
האם זו בעיה חדשה?
בהחלט לא. מחקר שפורסם ב-JAMA Health Forum בדצמבר 2022 מצא כי המספר השנתי של התקפות תוכנות כופר נגד בתי חולים וספקים אחרים הוכפל מ-2016 ל-2021.
"זה יותר מאותו דבר, בנאדם", אמר אהרון מירי, מנהל הדיגיטל והמידע הראשי בבפטיסט בריאות בג'קסונוויל, פלורידה.
מכיוון שהתקיפות משביתות את מערכות המחשב של המטרה, ספקים צריכים לעבור לנייר, להאט אותם ולהפוך אותם לפגיעים למידע חסר.
יתר על כן, מחקר שפורסם במאי 2023 ב-JAMA Network Open ובחן את ההשפעות של מתקפה על מערכת בריאות מצא כי זמני ההמתנה, משך השהייה החציוני ותקריות של חולים שעזבו בניגוד לייעוץ רפואי – כולם עלו – במחלקות המיון השכנות. התוצאות, כתבו המחברים, אומרות שהתקפות סייבר "צריכות להיחשב כאסון אזורי".
התקפות הרסו בתי חולים כפריים, אמרה מירי. ובכל מקום שבו ספקי שירותי בריאות נפגעים, בעיות בטיחות המטופלים עוקבות אחריהם.
מה המשמעות של המטופלים?
שנה אחר שנה, נתוני הבריאות של אמריקאים נוספים נפרצים. זה חושף אנשים לגניבת זהות ולטעויות רפואיות.
גם טיפול יכול לסבול. לדוגמה, מתקפה ב-2017, שזכתה לכינוי "NotPetya", אילצה בית חולים כפרי במערב וירג'יניה להפעיל מחדש את פעילותו ופגעה בחברת הפארמה Merck כל כך חזק שהיא לא הצליחה לעמוד ביעדי הייצור של חיסון נגד HPV.
בגלל התקפת Change Healthcare, חלק מהמטופלים עשויים להיות מנותבים לבתי מרקחת חדשים שמושפעים פחות מבעיות חיוב. גם חשבונות החולים עלולים להתעכב, אמרו בכירים בתעשייה. בשלב מסוים, סביר להניח שמטופלים רבים יקבלו הודעות שהנתונים שלהם נפרצו. בהתאם לנתונים המדויקים שנגנבו, מטופלים אלה עשויים להיות בסיכון לגניבת זהות, אמר צ'אודרי. חברות מציעות לעתים קרובות שירותי ניטור אשראי בחינם במצבים אלה.
"מטופלים מתים בגלל זה", אמרה מירי. ואכן, הדפסה מוקדמת מאוקטובר של חוקרים מאוניברסיטת מינסוטה מצאה עלייה של כמעט 21% בתמותה של חולים בבית חולים מוכה תוכנת כופר.
איך זה קרה?
המרכז לשיתוף וניתוח מידע בריאותי, קבוצת תיאום בתעשייה שמפיצה מידע על התקפות, אמרה לחבריה כי אשמים פגמים באפליקציה בשם ConnectWise ScreenConnect. לא ניתן לאשר פרטים מדויקים.
זהו כלי שצוותי תמיכה טכניים משתמשים בהם כדי לפתור בעיות במחשב מרחוק, וההתקפה היא "ככל הנראה די טריוויאלית לביצוע", הזהירו חברי H-ISAC. הקבוצה אמרה שהיא מצפה לקורבנות נוספים והמליצה לחבריה לעדכן את הטכנולוגיה שלהם. כאשר ההתקפה פגעה לראשונה, ה-AHA המליצה לחבריה להתנתק מהמערכות הן ב-Change והן מהאב הארגוני שלה, יחידת ה-Optum של UnitedHealth. זה ישפיע על שירותים החל מאישורי תביעות ועד כלי עזר.
מיליוני אמריקאים רואים רופאים ומתרגלים אחרים המועסקים על ידי UnitedHealth ומכוסים על ידי תוכניות הביטוח של החברה.
UnitedHealth אמרה שרק המערכות של Change מושפעות ושזה בטוח לבתי חולים להשתמש בשירותים דיגיטליים אחרים שמסופקים על ידי UnitedHealth ו-Optum, הכוללים מערכות הגשת תביעות ועיבוד.
אבל לא הרבה קציני מידע ראשיים "קופצים להתחבר מחדש", אמר צ'אודרי. "זו תחושה לא נוחה".
מירי אומרת שבפטיסט משתמש בטכנולוגיה של הקונגלומרט ושהוא סומך על המילה של UnitedHealth שזה בטוח.
איפה הממשלה הפדרלית?
אף אחד מהמנהלים לא היה מרוצה לגבי עתיד אבטחת הסייבר בתחום הבריאות. "זה הולך להחמיר," אמר צ'אודרי.
"חבל שהפדים לא עוזרים יותר", אמרה מירי. "אפשר לחשוב שאם התשתית הגרעינית שלנו הייתה תחת מתקפה, הפד היו מגיבים ביתר שאת".
בעוד שמשרדי המשפטים והמדינה תקפו את קבוצת ALPHV, הממשלה נשארה מאחורי הקלעים יותר לאחר המתקפה הזו. צ'אודרי אמר שה-FBI ומחלקת הבריאות ושירותי האנוש השתתפו בשיחות שאורגנו על ידי ה-AHA לתדרך חברים על המצב.
מירי אמרה שבתי חולים כפריים במיוחד יכולים להשתמש במימון רב יותר לאבטחה וכי לסוכנויות כמו מינהל המזון והתרופות צריך להיות תקנים מחייבים לאבטחת סייבר.
יש הכרה מסוימת בקרב פקידים שצריך לבצע שיפורים.
"המתקפה האחרונה הזו היא רק עדות נוספת לכך שהסטטוס קוו לא עובד ועלינו לנקוט בצעדים כדי לחזק את אבטחת הסייבר בתעשיית הבריאות", אמר הסנאטור מארק וורנר (D-Va.), יו"ר הסנאט נבחר. ועדת המודיעין ותומך ותיק לחיזוק אבטחת סייבר, בהצהרה ל-KFF Health News.
|
מאמר זה נדפס מחדש מ-khn.org, חדר חדשות ארצי המייצר עיתונאות מעמיקה בנושאי בריאות ומהווה אחת מתוכניות הליבה הפועלות ב-KFF – המקור העצמאי למחקר מדיניות בריאות, סקרים ועיתונאות. |
