Çarşamba günü yapılan gergin Senato duruşmasında milletvekilleri, UnitedHealth Group’un ABD sağlık sistemini felç eden siber saldırıyı ele almasını, güvenlik sistemlerinin başarısızlığını ve milyonlarca Amerikalının hassas tıbbi bilgilerinin ifşa edilme olasılığını öne sürerek sert bir şekilde eleştirdiler.
Demokrat ve Cumhuriyetçi senatörler, ABD’deki tüm hasta kayıtlarının üçte birini ve yılda yaklaşık 15 milyar işlemi yöneten Change Healthcare’in siber saldırısının bu kadar büyük olmasının nedeninin UnitedHealth’in ülkenin tıbbi bakımının neredeyse her alanına çok derinden gömülü olup olmadığını sorguladılar. UnitedHealth Group, yalnızca Change’in ana şirketi değil, aynı zamanda ülkenin en büyük sağlık sigortası şirketinin ve büyük bir eczane sosyal yardım yöneticisinin (Optum) de ana şirketidir. United ayrıca ülkedeki neredeyse 10 doktordan birini yönetiyor.
Finans Komitesi başkanı ve Oregon Demokratı Senatör Ron Wyden, “Değişim hack’i, ‘başarısız olamayacak kadar büyük’ mega şirketlerin sağlık sisteminde giderek daha büyük payları yutmasının sonuçlarına ilişkin korkunç bir uyarıdır” dedi. .
Sağlık sigortacıları ile hastaneler ve doktorlar arasında dijital bir otoyol görevi gören Change’e 21 Şubat’ta düzenlenen saldırının ardından ABD sağlık sistemi kaosa sürüklendi. Hastalar reçetelerini dolduramadı ve hastaneler ile doktorlar, bakımlarının karşılığını alamadıkları için ciddi bir nakit sıkıntısıyla karşı karşıya kaldılar.
UnitedHealth’in genel müdürü Andrew Witty, hem Senato Finans Komitesi hem de Temsilciler Meclisi Enerji ve Ticaret Komitesi önünde ifade vermek üzere çağrıldı.
Çarşamba sabahı şirketin hizmetleri yeniden sağlama çabalarını savundu ve özür diledi.
“Bu kötü niyetli siber saldırı sonucunda hastalar ve sağlayıcılar kesintiler yaşadı ve insanlar özel sağlık verileri konusunda endişeleniyor. Etkilenen herkese çok açık söyleyeyim: Çok ama çok üzgünüm” dedi.
Ancak Bay Witty, bilgisayar korsanlarının Change’in ağına girmesine olanak tanıyan gevşek dijital güvenliği kabul etti ve United’ın sağlayıcıların ödemelerini karşılamaya yardımcı olmak için ilk çabalarını boşa çıkardığını kabul etti.
Daha geçen hafta United, bilgisayar korsanlarının bazı hasta verilerine erişim sağladığını açıklamaya başladı, ancak Bay Witty senatörlere, şirketin hasta bilgilerinin bu ihlalinin ne kadar kapsamlı olduğunu sağlam bir şekilde kavramasının epey zaman alacağını söyledi.
Bay Witty, UnitedHealth’in etkilenen insanlarla ne zaman ve nasıl iletişim kurmaya başlayacağını belirlemek için düzenleyici kurumlarla birlikte çalıştığını söyledi.
“Parçalı iletişimden kaçınmaya çalışmak istiyoruz” dedi.
United, Change’in sistemlerini birkaç hafta boyunca tamamen kapatmak zorunda kaldı ve bu durum, senatörler ile Bay Witty arasında hastanelere ve diğer hizmet sağlayıcılara yapılan geri ödemelerin hızı konusunda sert tartışmalara yol açtı.
Bay Witty senatörlere “ülkenin tamamındaki talep akışının esasen normale döndüğünü” söyledi. Bay Wyden, Şubat ayında talepte bulunan sağlayıcılardan geri ödemenin en az Haziran ayına kadar süreceğini duyduğunu söyledi.
Bay Witty, “Bundan kesinlikle daha hızlı hareket edebiliriz” dedi ve Bay Wyden’a şikayette bulunan herhangi bir kuruluşla temasa geçilmesini istedi.
Bay Wyden, “Neredeyse karşılaştığım her sağlayıcı ödeme almayı bekliyor,” diye karşılık verdi.
Dakikalar sonra, Tennessee Cumhuriyetçisi Senatör Marsha Blackburn de Bay Wyden’ı tekrarlayarak, Bay Witty’yi geri ödeme sürecinin “pembe” bir tasvirini sunmakla ve ofisinin, ödeme bekleyen sağlık sağlayıcılarından gelen çağrılar tarafından bombalandığını söylemekle suçladı.
Bayan Blackburn, eyaletteki bir hastanede bir aylık gelire eşdeğer Medicare alacaklarının birikmiş olduğunu belirtti.
“Her gün bir güncelleme almak için arıyorlar. Her gün arıyorlar. Ve her gün tekrar tekrar başıboş dolaşıyorlar” dedi. “Sanki hepiniz bunu anlayamıyorsunuz.”
Bay Witty ayrıca şirketin saldırganlara 22 milyon dolar fidye ödediğini de kabul ederek, “Fidye ödeme kararı bana aitti. Bu şimdiye kadar vermekte zorlandığım en zor kararlardan biriydi.”
FBI ve diğer yetkililer hack olayını araştırıyor.
UnitedHealth, saldırının ayrıntıları konusunda ihtiyatlı davrandığı için eleştirildi.
Bay Wyden, Bay Witty’ye “Kişisel sorumluluk konusunda haritanın her yerindesiniz” dedi. “Bu olaydaki rolünüzü sürekli olarak küçümsediniz.”
Bay Wyden, UnitedHealth’in çok faktörlü kimlik doğrulama adı verilen en temel siber güvenlik önlemini uygulama konusunda başarısız olduğunu söyledi.
Bay Witty, Çarşamba gününden itibaren UnitedHealth’in “dışarıya bakan sistemlerinin” tamamının bu tür kimlik doğrulamayı kullandığını söyledi. Şirketin ayrıca, şirketin teknolojisinin ek taraması için dışarıdan gruplar getirdiğini ve bir siber güvenlik firması olan Mandiant’ı danışman olarak işe aldığını ekledi.
Kuzey Carolina Cumhuriyetçi Senatörü Thom Tillis, “Aptallar için Hacking” kitabının bir kopyasını göstererek, “Bu, gözden kaçan bazı temel şeyler” dedi.
Duruşma, Bay Witty’ye hack’e ve buna verilecek yanıta ilişkin daha ayrıntılı bir zaman çizelgesi sunma şansı verdi.
Siber suçlular, UnitedHealth’in bu sistemleri kapatması gerektiğini fark etmesinden dokuz gün önce, 12 Şubat’ta Change’in sistemlerine erişim sağladı. Bay Witty, şirketin saldırının Change’in ötesine geçerek ana şirkete veya Optum veya sağlık sigortası gibi diğer birimlerine yayılmasını hızla önlediğini vurguladı. “Patlama menzilini sadece Değişim için kontrol altına aldık” dedi.
Bay Witty ayrıca sağlık sisteminin hack’lere karşı savunmasızlığının United’ın çok ötesine geçtiğini ve bunun sadece her 70 saniyede bir izinsiz giriş girişimini engellediğini savundu. United’ın Change sistemini yalnızca 18 ay önce satın alması nedeniyle, Change’in kendisini hacklenmeye karşı savunmasız kılan “eski teknolojilerini” tamamen yenileyemediğini söyledi.
Bay Witty, duruşmanın farklı bir noktasında, Change’i tekrar kullanmak konusunda isteksiz olan sağlayıcılara sempati duyduğunu söyledi.
“İyileşmenin beklediğinizden daha uzun sürmesinin nedeni, bu platformu kelimenin tam anlamıyla sıfırdan inşa etmiş olmamızdır, böylece yeni teknolojide eski saldırıya uğrayan ortamın unsurlarının bulunmadığına dair insanlara güvence verebiliriz” dedi.
United’ın 2022’de Change ağını satın alması, bazı senatörler tarafından sağlık sektöründeki kitlesel konsolidasyonun bir örneği olarak gösterildi. Sağlık sigortacılarını denetleyen Adalet Bakanlığı, United’ın Change’i satın almasını engellemeye çalıştı ancak federal yargıcı anlaşmanın rekabete aykırı olduğuna ikna edemedi.
Massachusetts Demokratı Senatör Elizabeth Warren, UnitedHealth’i “steroidler üzerinde tekel” olarak nitelendirdi ve birçok kez dünyanın en büyük 11. şirketi olduğunu belirtti.
United’ı, hack’in yarattığı kaostan yararlanarak daha fazla doktor muayenehanesi edinmekle suçladı ve şu anda ülkedeki doktorların 10’da birini denetlediğini söyledi.
Bay Witty, United’ın iş yapmadığı sektörlere işaret ederek iddialarına karşı çıktı. “Büyüklüğümüze rağmen Amerika’da hastanemiz ve ilaç üreticimiz yok” dedi.
