Margaret Parsons, jedna od tri dermatologa u ordinaciji od 20 ljudi u Sacramentu, Kalifornija, u škripcu je.
Od a Cybernapad 21. veljače u prethodno opskurnoj tvrtki za obradu medicinskih plaćanja, Change Healthcare, rekla je Parsons, ona i njezini kolege nisu mogli elektronički naplatiti svoje usluge.
Čula je da Noridian Healthcare Solutions, kalifornijska tvrtka za obradu plaćanja Medicare, nije prihvaćala papirnate zahtjeve od ranije ovog tjedna, rekla je. A papirnatim zahtjevima ionako može trebati tri do šest mjeseci da rezultiraju isplatom, procijenila je.
“Bit ćemo u nevolji vrlo brzo i pod velikim smo stresom”, rekla je u intervjuu za KFF Health News.
Glasnogovornik Kalifornijske liječničke udruge rekao je 7. ožujka da su se centri za Medicare i Medicaid usluge dogovorili na sastanku da potaknu procesore plaćanja kao što je Noridian da prihvaćaju papirnate zahtjeve. Glasnogovornik Noridiana uputio je pitanja CMS-u.
Američka bolnička udruga naziva sumnja se na ransomware napad na Change Healthcare, jedinica odjela Optum osiguravajućeg diva UnitedHealth Group, “najznačajniji i najposljedičniji incident te vrste protiv američkog zdravstvenog sustava u povijesti.” Dok liječničke ordinacije, bolnički sustavi i ljekarne pokušavajući pronaći zaobilazna rješenja, napad izlaže široku ranjivost zdravstvenog sustava na hakere, kao i nedostatke u odgovoru Bidenove administracije.
Do danas se vlada oslanjala na više dobrovoljnih standarda za zaštitu mreža zdravstvenog sustava, rekao je Beau Woods, suosnivač grupe za kibernetičko zagovaranje I Am The Cavalry. Ali “čisto izborni model, učini ovo iz-dobrote-srca, očito ne funkcionira”, rekao je. Savezna vlada treba posvetiti veća sredstva i više se usredotočiti na problem, rekao je.
Za rješavanje krize trebat će vremena. Uspoređujući Change napad s drugim napadima protiv dijelova zdravstvenog sustava, “vidjeli smo da je općenito potrebno najmanje 30 dana za vraćanje temeljnih sustava”, rekao je John Rigginacionalni savjetnik bolničke udruge za kibersigurnost.
U izjavi od 7. ožujka, UnitedHealth Group rekla je da će dvije usluge — vezane uz elektronička plaćanja i medicinska potraživanja — biti vraćene kasnije tijekom mjeseca. “Dok radimo na vraćanju ovih sustava, snažno preporučujemo našim davateljima usluga i klijentima koji plaćaju korištenje primjenjivih rješenja koja smo uspostavili”, rekla je tvrtka.
“Odlučni smo to ispraviti što je brže moguće”, rekao je izvršni direktor tvrtke Andrew Witty.
Pružatelji i pacijenti u međuvremenu plaćaju cijenu. Česta su izvješća o ljudima koji plaćaju iz vlastitog džepa kako bi dobili vitalne recepte. Nezavisne liječničke prakse posebno su ranjive.
“Kako možete plaćati osoblje, zalihe, osiguranje od nesavjesnog liječenja – sve to – bez prihoda?” rekao je Stephen Sisselman, neovisni liječnik primarne zdravstvene zaštite na Long Islandu u New Yorku. “To je nemoguće.”
Jackson Health System, u okrugu Miami-Dade na Floridi, mogao bi propustiti čak 30 milijuna dolara u isplatama ako prekid potraje mjesec dana, rekao je Myriam Torres, njegov glavni službenik za prihode. Neki su osiguravatelji ponudili slanje papirnatih čekova poštom.
Programe pomoći koje je objavio oba UnitedHealth i savezna vlada kritizirali su zdravstveni djelatnici, posebice bolnice. Sisselman je rekao da je Optum ponudio svojoj ordinaciji, za koju je rekao da ima prihod od stotina tisuća dolara mjesečno, zajam od 540 dolara tjedno. Drugi davatelji usluga i bolnice s kojima je razgovarao KFF Health News rekli su da su njihove ponude od osiguravatelja bile jednako jadne.
U svojoj izjavi od 7. ožujka, tvrtka je rekla da će ponuditeljima ponuditi nove mogućnosti financiranja.
Pružatelji vrše pritisak na vladu da djeluje
5. ožujka, gotovo dva tjedna nakon što je Change prvi put prijavio ono što je u početku nazvao “problemom” kibernetičke sigurnosti, Odjel za zdravstvo i ljudske usluge najavio je nekoliko programa pomoći za pružatelje zdravstvenih usluga.
Jedna je preporuka osiguravateljima da unaprijed isplate potraživanja Medicare – slično programu koji je pomogao zdravstvenim sustavima u ranoj fazi pandemije. Ali liječnici i drugi zabrinuti su da bi to pomoglo samo bolnicama, a ne neovisnim ordinacijama ili pružateljima usluga.
Anders Gilberglobist u Udruzi za upravljanje medicinskom grupom, koja zastupa liječničke ordinacije, objavljeno na Xranije poznat kao Twitter, da vlada “mora zahtijevati od svojih izvođača da prošire dostupnost ubrzanih plaćanja liječničkim ordinacijama na sličan način na koji se nude bolnicama”.
Glasnogovornik HHS-a Jeff Nesbit rekao je da administracija “prepoznaje učinak” napada i “aktivno gleda na svoje ovlasti kako bi podržala ove kritične pružatelje u ovom trenutku i radi s državama da učine isto”. Rekao je da Medicare vrši pritisak na UnitedHealth Group da “pružateljima usluga ponudi bolje opcije za privremena plaćanja”.
Još jedna ideja savezne vlade je poticanje pružatelja usluga da prebace dobavljače s Changea. Sisselman je rekao kako se nada da će početi podnositi zahtjeve preko novog dobavljača u roku od 24 do 48 sati. Ali to nije praktično rješenje za sve.
Torres je rekao da prijedlozi UnitedHealtha i regulatora da davatelji usluga promijene klirinške kuće, podnose papirnate zahtjeve ili ubrzaju plaćanja ne pomažu.
“To je vrlo nerealno”, rekla je o savjetu. “Ako imate njihov alat za obradu zahtjeva, ne možete ništa učiniti.”
Mary Mayhew, predsjednica Udruge bolnica Floride, rekla je da su njezini članovi izgradili sofisticirane sustave koji se oslanjaju na Change Healthcare. Procesi prebacivanja mogli bi potrajati 90 dana — tijekom kojih će biti bez protoka novca, rekla je. “Nije kao da pritisnete prekidač.”
Nesbit je priznao da je promjena klirinške kuće teška, “ali prvi bi prioritet trebao biti nastavak punog tijeka potraživanja”, rekao je. Medicare je uputio svoje izvođače i savjetovao osiguravateljima da ublaže takve promjene, dodao je.
Čelnici zdravstvene skrbi, uključujući državne ravnatelje Medicaida, pozvali su Bidenovu administraciju da se prema napadu Change odnosi slično pandemiji — prijetnji zdravstvenom sustavu koja je toliko ozbiljna da zahtijeva izuzetnu fleksibilnost od strane vladinih programa osiguranja i regulatora.
Osim novčanih pitanja – koliko god bila kritična – pružatelji usluga i drugi kažu da im nedostaju osnovne informacije o napadu. UnitedHealth Group i American Hospital Association održali su pozive i objavili priopćenja o incidentu; usprkos tome, mnogi još uvijek osjećaju da su u mraku.
Riggi iz AHA želi više informacija od UnitedHealth Group. Rekao je da je razumno da konglomerat pomno čuva neke informacije, na primjer ako nisu provjerene ili kao pomoć provođenju zakona. Ali bolnice bi željele znati kako je došlo do proboja kako bi mogle ojačati vlastitu obranu.
“Sektor traži više informacija, u konačnici kako bi zaštitio vlastite organizacije”, rekao je.
Glasine su se proširile.
“Postaje malo grubo: svaki dan morat ćete birati kome ćete vjerovati”, rekao je Saad Chaudhry, izvršni direktor bolničkog sustava Luminis Health u Marylandu, za KFF Health News. “Vjerujete li tim lopovima? Vjerujete li samoj organizaciji koja sve temelji na javnom imidžu, koji imaju poticaje minimizirati takve stvari?”
Što je slijedeće?
Wired Magazine prijavio da je netko platio ransomware bandi za koju se vjeruje da stoji iza napada 22 milijuna dolara u bitcoinima. Ako je to doista bila otkupnina namijenjena rješavanju nekih aspekata kršenja, to je blago za hakere.
Stručnjaci za kibernetičku sigurnost kažu da su se neke bolnice koje su pretrpjele napade suočile sa zahtjevima za otkupninu od samo 10.000 dolara do čak 10 milijuna dolara. Velika isplata hakerima Change mogla bi potaknuti više napada.
“Kada ima zlata u brdima, postoji zlatna groznica”, rekao je Josh Cormanjoš jedan suosnivač I Am The Cavalry i bivši savezni dužnosnik za kibernetičku sigurnost.
Dugoročno gledano, napad pojačava pitanja o tome kako se privatne tvrtke koje čine američki zdravstveni sustav i vlada koja ih regulira brane od kibernetičkih prijetnji. Napadi su česti: lopovi i hakeri, za koje se često vjeruje da ih sponzoriraju ili skrivaju zemlje poput Rusije i Sjeverne Koreje, srušili su sustave Nacionalne zdravstvene službe Ujedinjenog Kraljevstva, farmaceutskih divova poput Mercka i brojne bolnice.
The Izvijestio je FBI 249 ransomware napada na zdravstvenu skrb i organizacije javnog zdravstva u 2023. godini, ali Corman vjeruje da je taj broj veći.
Ali federalni napori da se zaštiti zdravstveni sustav su krpa, prema stručnjacima za kibernetičku sigurnost. Iako još nije jasno kako je Change hakiran, stručnjaci su upozorili da do proboja može doći putem veze za krađu identiteta u e-poruci ili egzotičnijim putovima. To znači da regulatori trebaju razmotriti stvrdnjavanje svih vrsta proizvoda.
Jedan primjer sporih u najboljem slučaju pokušaja da se poprave ove obrane tiče se medicinskih uređaja. Uređaji sa zastarjelim softverom mogli bi hakerima omogućiti put do bolničke mreže ili jednostavno pogoršati njezino funkcioniranje.
FDA je nedavno dobila više ovlasti za procjenu digitalne obrane medicinskih uređaja i izdavanje sigurnosnih obavijesti o njima. Ali to ne znači da će ranjivi strojevi biti uklonjeni iz bolnica. Proizvodi se često zadržavaju jer ih je skupo povući iz upotrebe ili zamijeniti.
Senator Mark Warner (D-Va.) prethodno je predložio program tipa “Cash for Clunkers” kojim bi se bolnicama plaćalo da ažuriraju kibernetičku sigurnost svojih starih medicinskih uređaja, ali to “nikada nije ozbiljno provođeno”, rekla je glasnogovornica Warnera Rachel Cohen. Riggi je rekao da bi takav program mogao imati smisla, ovisno o tome kako se provodi.
Slabosti u sustavu su široko rasprostranjene i kreatorima politike često se ne pojave odmah. Čak i nešto tako prozaično kao što je sustav grijanja i klimatizacije može, ako je spojen na bolničku internetsku mrežu, biti hakiran i omogućiti upad u instituciju.
No podizanje veće obrane zahtijeva više ljudi i resursa — koji često nisu dostupni. Godine 2017. Woods i Corman pomogli su na HHS izvješće ispitivanje digitalne spremnosti zdravstvenog sektora. Kao dio svog istraživanja, otkrili su da dio bogatijih bolnica ima osoblje za informacijsku tehnologiju i resurse za obranu svojih sustava – ali velika većina nije imala posvećeno sigurnosno osoblje. Corman ih naziva “bogatim, ali cyber-siromašnim”.
“Želja postoji. Oni razumiju važnost”, rekao je Riggi. “Problem su resursi.”
HHS je predložio zahtijevanje minimalne kibernetičke obrane za bolnice kako bi sudjelovale u Medicareu, vitalnom izvoru prihoda za cijelu industriju. Ali Riggi kaže da AHA to neće podržati.
“Protivimo se nefinanciranim mandatima i protivimo se korištenju tako oštre kazne”, rekao je.
Ovaj je članak izradio Zdravstvene vijesti KFF-aranije poznat kao Kaiser Health News (KHN), nacionalna redakcija koja proizvodi opširno novinarstvo o zdravstvenim temama i jedan je od temeljnih operativnih programa na KFF — neovisni izvor za istraživanje zdravstvene politike, ankete i novinarstvo. KFF Health News je izdavač California Healthlineurednički neovisna služba California Health Care Foundation.
