مارگارت پارسونز، یکی از سه متخصص پوست در یک مطب 20 نفره در ساکرامنتو، درگیر است.
پارسونز گفت که از زمان حمله سایبری در 21 فوریه به یک شرکت پردازش پرداخت پزشکی که قبلاً مبهم بود، Change Healthcare، او و همکارانش نمیتوانستند صورتحساب الکترونیکی خدمات خود را دریافت کنند.
او گفت که او شنیده است که Noridian Healthcare Solutions، پردازشگر پرداخت مدیکر کالیفرنیا، از اوایل این هفته ادعاهای کاغذی را نمی پذیرد. او تخمین میزند که ادعاهای کاغذی ممکن است 3 تا 6 ماه طول بکشد تا به هر حال پرداخت شود.
او در مصاحبه ای با کالیفرنیا هلث لاین گفت: «ما در مدت کوتاهی دچار مشکل خواهیم شد و بسیار استرس داریم.
سخنگوی انجمن پزشکی کالیفرنیا در 7 مارس گفت که مراکز خدمات مدیکر و مدیکید در جلسه ای برای تشویق پردازشگران پرداخت مانند نوریدین به پذیرش ادعاهای کاغذی موافقت کرده اند. یک سخنگوی Noridian سوالات را به CMS ارجاع داد.
انجمن بیمارستانهای آمریکا حمله باجافزاری مشکوک به Change Healthcare، واحدی از بخش Optum غول بیمه UnitedHealth Group را «مهمترین و پیامدترین حادثه در نوع خود علیه سیستم مراقبتهای بهداشتی ایالات متحده در تاریخ» مینامد. در حالی که شیوههای پزشکان، سیستمهای بیمارستانی و داروخانهها برای یافتن راهحل تلاش میکنند، این حمله آسیبپذیری گسترده سیستم بهداشتی را در برابر هکرها و همچنین کاستیهایی در واکنش دولت بایدن نشان میدهد.
بو وودز، یکی از بنیانگذاران گروه مدافع سایبری I Am The Cavalry، گفت که تا به امروز، دولت برای محافظت از شبکه های سیستم مراقبت بهداشتی بر استانداردهای داوطلبانه تری تکیه کرده است. اما او گفت: «مدل کاملاً اختیاری، انجام این کار، به وضوح کار نمیکند». او گفت که دولت فدرال باید بودجه بیشتر و تمرکز بیشتری را به این مشکل اختصاص دهد.
حل بحران به زمان نیاز دارد. جان ریگی، مشاور ملی انجمن بیمارستان در مورد امنیت سایبری، در مقایسه حمله Change با سایر حملات علیه بخشهایی از سیستم مراقبتهای بهداشتی، گفت: «ما دیدیم که معمولاً حداقل 30 روز طول میکشد تا سیستمهای اصلی بازیابی شوند.
در بیانیه 7 مارس، UnitedHealth Group گفت که دو سرویس – مربوط به پرداخت های الکترونیکی و ادعاهای پزشکی – در اواخر ماه بازسازی خواهند شد. این شرکت گفت: «در حالی که ما برای بازیابی این سیستمها کار میکنیم، اکیداً به ارائهدهنده و مشتریان پرداختکننده خود توصیه میکنیم از راهحلهای قابلاجرای ما استفاده کنند.»
اندرو ویتی، مدیر عامل شرکت، گفت: “ما مصمم هستیم که این کار را در سریع ترین زمان ممکن درست کنیم.”
ارائه دهندگان و بیماران در این میان هزینه را پرداخت می کنند. گزارشهایی مبنی بر پرداخت پول از جیب مردم برای پر کردن نسخههای حیاتی رایج بوده است. اقدامات پزشکان مستقل به ویژه آسیب پذیر هستند.
“چگونه می توانید بدون درآمد به کارکنان، تجهیزات، بیمه تخلفات – همه اینها – پرداخت کنید؟” استفان سیسلمن، یک پزشک مستقل مراقبت های اولیه در لانگ آیلند در نیویورک گفت. “غیر ممکنه.”
میریام تورس، مدیر ارشد درآمد این سیستم گفت: سیستم بهداشت جکسون، در شهرستان میامی-دید، فلوریدا، ممکن است 30 میلیون دلار را در صورت قطعی یک ماهه از دست بدهد. برخی از شرکت های بیمه پیشنهاد ارسال چک های کاغذی را داده اند.
برنامه های امدادی اعلام شده توسط UnitedHealth و دولت فدرال توسط ارائه دهندگان بهداشت، به ویژه بیمارستان ها مورد انتقاد قرار گرفته است. Sisselman گفت Optum تمرین خود را که به گفته او صدها هزار دلار در ماه درآمد دارد، وام 540 دلاری در هفته را ارائه داد. سایر ارائهدهندگان و بیمارستانهایی که با کالیفرنیا هلث لاین مصاحبه کردهاند، گفتند که پیشنهادات آنها از طرف بیمهگر به همین ترتیب ناچیز است.
این شرکت در بیانیه 7 مارس خود گفت که گزینه های تامین مالی جدیدی را به ارائه دهندگان ارائه خواهد کرد.
ارائه دهندگان به دولت فشار می آورند تا اقدام کند
در 5 مارس، تقریباً دو هفته پس از اینکه Change برای اولین بار آنچه را که در ابتدا «مسئله امنیت سایبری» نامید، گزارش کرد، وزارت بهداشت و خدمات انسانی چندین برنامه کمکی را برای ارائه دهندگان سلامت اعلام کرد.
یکی از توصیهها برای بیمهگران این است که برای مطالبات مدیکر پیش پرداخت بدهند – مشابه برنامهای که در اوایل همهگیری به سیستمهای بهداشتی کمک کرد. اما پزشکان و سایرین نگران هستند که فقط به بیمارستان ها کمک کند، نه مراکز یا ارائه دهندگان مستقل.
آندرس گیلبرگ، لابی گر انجمن مدیریت گروه پزشکی، که نماینده فعالیت های پزشکان است، ارسال شده در Xکه قبلاً توییتر نامیده میشد، دولت «باید از پیمانکاران خود بخواهد که دسترسی به پرداختهای تسریعشده را به شیوههای مشابهی که به بیمارستانها ارائه میشود به پزشکان گسترش دهند».
جف نسبیت، سخنگوی HHS گفت که دولت “تأثیر” این حمله را تشخیص می دهد و “به طور فعال به اقتدار خود برای کمک به حمایت از این ارائه دهندگان مهم در حال حاضر نگاه می کند و برای انجام همین کار با ایالت ها همکاری می کند.” او گفت که مدیکر به گروه UnitedHealth فشار میآورد تا گزینههای بهتری برای پرداختهای موقت به ارائهدهندگان ارائه دهد.
یکی دیگر از ایده های دولت فدرال تشویق ارائه دهندگان به تغییر فروشندگان از تغییر است. سیسلمن گفت که امیدوار است ظرف 24 تا 48 ساعت، درخواستها را از طریق یک فروشنده جدید ارسال کند. اما این یک راه حل عملی برای همه نیست.
تورس گفت پیشنهادات UnitedHealth و تنظیمکنندهها مبنی بر اینکه ارائهدهندگان اتاقهای پایاپای را تغییر میدهند، درخواستهای کاغذی را ثبت میکنند یا پرداختها را تسریع میکنند کمکی نمیکند.
او درباره این توصیه گفت: «این بسیار غیر واقعی است. “اگر ابزار پردازش ادعاهای آنها را دارید، هیچ کاری نمی توانید انجام دهید.”
مری میهو، رئیس انجمن بیمارستان فلوریدا، گفت که اعضای او سیستمهای پیچیدهای را ایجاد کردهاند که به Change Healthcare وابسته است. او گفت که فرآیندهای سوئیچینگ ممکن است 90 روز طول بکشد – که در طی آن جریان نقدی وجود ندارد. “این مثل چرخاندن سوئیچ نیست.”
Nesbit اذعان کرد که تعویض دفاتر تسویه کار دشواری است، “اما اولویت اول باید از سرگیری جریان کامل مطالبات باشد.” او افزود که مدیکر به پیمانکاران خود دستور داده و به بیمهگران توصیه کرده است که چنین تغییراتی را کاهش دهند.
رهبران مراقبتهای بهداشتی از جمله مدیران ایالتی Medicaid از دولت بایدن خواستهاند که حمله تغییر را مانند همهگیری درمان کند – تهدیدی برای سیستم بهداشتی آنقدر شدید که نیاز به انعطافپذیری فوقالعادهای از سوی برنامههای بیمه دولتی و تنظیمکنندهها دارد.
فراتر از مسائل مالی – هر چند که حیاتی است – ارائه دهندگان و دیگران می گویند که اطلاعات اولیه در مورد حمله ندارند. گروه UnitedHealth و انجمن بیمارستانهای آمریکا تماسهایی برقرار کردهاند و گزارشهایی درباره این حادثه منتشر کردهاند. با این حال، بسیاری هنوز احساس می کنند که در تاریکی هستند.
Riggi از AHA اطلاعات بیشتری از UnitedHealth Group می خواهد. او گفت که منطقی است که این مجموعه اطلاعاتی را از نزدیک نگه دارد، به عنوان مثال اگر تأیید نشده باشد یا به اجرای قانون کمک کند. اما بیمارستانها دوست دارند بدانند که چگونه این نقض رخ داده است تا بتوانند دفاعیات خود را تقویت کنند.
او گفت: «این بخش برای اطلاعات بیشتر در نهایت برای محافظت از سازمانهای خود فریاد میزند.
شایعات زیاد شده است.
سعد چادری، یکی از مدیران سیستم بیمارستانی مریلند Luminis Health، به کالیفرنیا هلث لاین گفت: “این کمی سخت می شود: هر روز باید انتخاب کنید و انتخاب کنید که چه کسی را باور کنید.” «آیا این دزدها را باور می کنید؟ آیا خود سازمان را باور دارید که همه چیز را بر وجهه عمومی خود دارد و انگیزه هایی برای به حداقل رساندن این نوع چیزها دارد؟»
بعد چه اتفاقی می افتد؟
مجله Wired گزارش داد که شخصی به باج افزار باج افزاری که گمان می رود پشت این حمله بوده است، ۲۲ میلیون دلار بیت کوین پرداخت کرده است. اگر این واقعاً باجگیری برای رفع برخی از جنبههای نقض بود، برای هکرها سودآور است.
کارشناسان امنیت سایبری میگویند برخی از بیمارستانهایی که مورد حمله قرار گرفتهاند با درخواست باج به مبلغ 10000 دلار و 10 میلیون دلار مواجه شدهاند. پرداخت زیاد به هکرهای Change می تواند انگیزه حملات بیشتری را ایجاد کند.
جاش کورمن، یکی دیگر از بنیانگذاران I Am The Cavalry و یک مقام سابق امنیت سایبری فدرال، می گوید: «وقتی در تپه ها طلا وجود دارد، هجوم طلا به راه می افتد.
در درازمدت، این حمله سوالاتی را تشدید می کند که چگونه شرکت های خصوصی متشکل از سیستم بهداشتی ایالات متحده و دولتی که آنها را تنظیم می کند در برابر تهدیدات سایبری دفاع می کنند. حملات رایج بوده اند: سارقان و هکرها که اغلب تصور می شود توسط کشورهایی مانند روسیه و کره شمالی حمایت یا پناه گرفته اند، سیستم های خدمات بهداشت ملی بریتانیا، غول های داروسازی مانند مرک و بیمارستان های متعدد را نابود کرده اند.
FBI در سال 2023 249 حمله باج افزار علیه سازمان های بهداشتی و سلامت عمومی را گزارش کرد، اما کورمن معتقد است که این تعداد بیشتر است.
اما به گفته کارشناسان امنیت سایبری، تلاشهای فدرال برای محافظت از سیستم بهداشتی یک تکه تکه است. در حالی که هنوز مشخص نیست که Change چگونه هک شده است، کارشناسان هشدار دادهاند که یک نقض ممکن است از طریق یک پیوند فیشینگ در یک ایمیل یا مسیرهای عجیبتر رخ دهد. این بدان معناست که تنظیم کننده ها باید سخت شدن انواع محصولات را در نظر بگیرند.
یکی از نمونههای آهسته تلاشها برای اصلاح این دفاعها مربوط به دستگاههای پزشکی است. دستگاههای دارای نرمافزار قدیمی میتوانند مسیری را برای هکرها فراهم کنند تا وارد شبکه بیمارستانی شوند یا به سادگی عملکرد آن را کاهش دهند.
FDA اخیراً اختیارات بیشتری برای ارزیابی دفاع دیجیتال دستگاه های پزشکی و صدور ارتباطات ایمنی در مورد آنها به دست آورده است. اما این بدان معنا نیست که ماشینهای آسیبپذیر از بیمارستانها حذف خواهند شد. محصولات اغلب معطل میمانند زیرا خارج کردن آنها از سرویس یا جایگزینی گران هستند.
راشل کوهن، سخنگوی وارنر، گفت که سناتور مارک وارنر (D-Va.) قبلاً برنامه ای از نوع «نقد برای کلانکرها» برای پرداخت هزینه به بیمارستان ها برای به روز رسانی امنیت سایبری دستگاه های پزشکی قدیمی خود پیشنهاد کرده بود، اما «هرگز به طور جدی دنبال نشد». ریگی گفت که چنین برنامه ای بسته به نحوه اجرای آن ممکن است منطقی باشد.
نقاط ضعف در سیستم گسترده است و اغلب بلافاصله به ذهن سیاست گذاران نمی رسد. حتی چیزی به اندازه سیستم گرمایش و تهویه مطبوع می تواند، اگر به شبکه اینترنت بیمارستان متصل شود، هک شده و اجازه نفوذ به موسسه را می دهد.
اما ایجاد دفاع بیشتر به افراد و منابع بیشتری نیاز دارد – که اغلب در دسترس نیستند. در سال 2017، وودز و کورمن در گزارش HHS که آمادگی دیجیتالی بخش مراقبت های بهداشتی را بررسی می کرد، کمک کردند. به عنوان بخشی از تحقیقات خود، آنها دریافتند بخشی از بیمارستانهای ثروتمندتر دارای کارکنان فناوری اطلاعات و منابع برای دفاع از سیستمهای خود هستند – اما اکثریت قریب به اتفاق هیچ کارمند امنیتی اختصاصی نداشتند. کورمن آنها را “غنی هدف اما فقیر سایبری” می نامد.
میل وجود دارد. آنها اهمیت را درک می کنند. “مساله منابع است.”
HHS پیشنهاد کرده است که حداقل دفاع سایبری برای بیمارستانها برای مشارکت در مدیکر، یک منبع درآمد حیاتی برای کل صنعت، الزامی شود. اما ریگی می گوید که AHA از آن پشتیبانی نمی کند.
او گفت: «ما با دستورات بدون بودجه مخالفیم و با استفاده از چنین مجازات سختی مخالفیم.
این مقاله توسط اخبار سلامت KFF، که قبلاً با نام Kaiser Health News (KHN) شناخته می شد، یک اتاق خبر ملی که روزنامه نگاری عمیق در مورد مسائل بهداشتی تولید می کند و یکی از برنامه های اصلی عملیاتی در KFF – منبع مستقل برای تحقیقات سیاست سلامت، نظرسنجی، و روزنامه نگاری.