网络攻击事件再次风起。近日,健康险巨头联合健康和凯撒医疗相继发生黑客攻击、严重数据泄露事件,重创美国医疗行业。
据悉,联合健康在2月下旬遭受网络攻击,旗下Change Healthcare被黑客组织攻击,6TB的敏感数据被窃取,影响三分之一的美国人,并导致业务中断、财务亏损,对整个美国医疗保健行业的报销、配药等流程造成了严重影响。无独有偶,凯撒医疗报告其网站和移动应用程序上的在线技术将个人信息传输给第三方广告商,影响1340万用户,被称为2024年最大的健康数据泄露事件。
这两起事件指向了健康险公司易受网络攻击的趋势,同时也揭示了深层次原因,包括健康险行业数据密集度高、数据价值高、技术基础设施复杂落后以及供应链风险等特点。
01
联合健康遭受网黑客攻击:
全年损失16亿、三分之一美国人受影响
联合健康的网络攻击事件发生在2月下旬。当时,旗下医疗技术部门Change Healthcare报告了中断,指出某些应用程序不可用,并表示意识到网络安全问题,已经断开了系统连接,防止影响进一步扩大。当时,联合健康表示,无法估计中断的持续时间或程度,但已聘请安全专家并正在与执法部门合作。
在2月26日,黑客组织BlackCat声称是Change Healthcare网络攻击的幕后黑手。该组织在暗网上发布了帖子,表示成功窃取了6TB的数据,包括医疗记录、保险记录和付款信息等。
据美国司法部的一份报告称,Blackcat又名Noberus和ALPHV,会窃取机构的敏感数据,并威胁如果不支付赎金,就会公布这些数据。该报告称,Blackcat已经入侵了美国和全球的计算机网络,造成了数亿美元的损失。
随后,联合健康致力于一系列恢复和响应工作。在3月3日,路透社报道称联合健康已经向黑客组织支付2200万美元的比特币付款,用于解锁系统、恢复数据。同时,联合健康也逐步恢复了电子处方系统和药房网络,3月7日,其Change电子处方系统全面投入使用;13日,药房网络恢复上线。
保观制图
4月22日,联合健康更新关于网络攻击的消息,调查发现泄露的数据包含健康信息(PHI)和个人身份信息(PII)文件,但尚未发现数据中存在医生病历或完整病史等资料泄露的证据。
此外,联合健康表示,正在恢复影响患者获得护理或药物的服务。药房服务现已恢复到接近正常水平;Change Healthcare的支付处理量已恢复到事故前水平的86%左右,其他服务正在陆续恢复。到目前为止,Change Healthcare的主要平台和产品上大约80%的功能已经恢复,公司预计其他系统的全面恢复将在未来几周内完成。
联合健康首席执行官Andrew Witty在参议院财政委员会作证
来源:Kent Nishimura / Getty Images
影响:美国医疗系统业务中断、联合健康遭受亏损
Change Healthcare通过Optum提供处方处理服务,而Optum则为 67,000多家药店提供技术服务,并为1亿多个人客户提供医疗服务。基于此,Change Healthcare是全球最大的医疗支付处理公司之一,每年处理150亿笔医疗理赔,占所有理赔的近40%。
也因此,此次网络攻击事件造成了美国医疗系统的业务中断,Optum列出了100多项受此次入侵影响的服务,包括但不限于福利核实、索赔提交和状态更新、汇款信息传输和事先授权等关键功能。
从业务端来看,最明显的影响是美国连锁药店以及其他医疗大健康参与者的配药、报销等功能受到严重影响。例如,多家药房连锁店表示,各地药房正在遭遇中断,包括CVS Health、沃尔格林等在内的连锁药房表示,可能无法处理某些保险索赔、配送药方等。
据悉,在网络攻击发生一周后,美国各地的医疗服务提供商都难以获得付款,一些较小的提供商表示已经快没钱了。美国医院协会AHA此券此前发布的一项调查发现,94%的医院因此次攻击而遭遇财务中断。大型医院连锁店也无法处理付款,一些医院不得不承担无法收款的前期成本,某些医疗服务提供者每天的损失超过1亿美元。
此外,网络攻击的另一个影响是重创了业绩。联合健康的一季度财报显示,网络攻击造成每股0.74美元的影响,预计全年影响将在每股1.15美元至1.35美元之间。第一季度的影响包括每股0.49美元,用于支持直接响应工作,例如恢复清算所平台和暂停一些护理管理流程。总计来说,此次攻击在第一季度造成了8.72亿美元的影响,预计全年影响将增至16亿美元。也因此,联合健康在第一季度确认了14亿美元的亏损。
结果:联合健康提供身份保障和预付款,各方展开调查
针对网络攻击事件造成的一系列影响,联合健康乃至美国监管机构都采取了相应举措。
从联合健康来看,针对医疗系统无法报销等问题,联合健康推出了临时资金援助计划,通过赔偿、垫付、无息贷款等形式,确保医疗支付正常运作。数据显示,截止3月27日,联合健康已经向供应商赔偿了超过33亿美元,表示在索赔流程恢复正常之前,无需偿还这些预付款。截至4月26日,联合健康已向数千家医疗保健提供商提供了超过65亿美元的快速付款和无息、无费用贷款。
针对数据泄露问题,联合健康已建立专门的呼叫中心,为受影响的任何人提供为期两年的免费信用监控和身份盗窃保障。呼叫中心还将包括受过培训的临床医生来提供支持服务。该公司与领先的外部行业专家一起,继续监控互联网和暗网,确定数据是否已被发布。
与此同时,联合健康也在与FBI等部门、Palo Alto Networks和谷歌的Mandiant等第三方密切合作,评估此次攻击。
监管方面,针对支付中断,联邦医疗保险和医疗补助服务中心(CMS)等机构已推出额外选项,确保各州和其他利益相关者能够向医疗服务提供者支付临时款项。
更重要的是,此次网络攻击的一个结果是,包括众议院能源和商业委员会、国务院在内的各部门已经展开对联合健康的调查,要求联合健康、其首席执行官提供有关此次攻击的详细信息,查明Change Healthcare是否存在违反受保护健康数据的情况以及是否遵守美国健康隐私法。
02
凯撒医疗数据泄露:
影响1340万用户,为2024年最大健康数据泄露事件
除了联合健康,另一家巨头凯撒医疗也经历了数据泄露事件。
据其4月12日向美国卫生与公众服务部 (HHS) 提交的监管文件,凯撒表示进行了一项调查,发现之前安装在网站和移动应用程序上的某些在线技术可能已将个人信息传输给第三方广告商,包括谷歌、微软和X等。
来源:Dan D'Augelli
共享的数据包括会员姓名和IP地址、可能表明会员是否注册了凯撒医疗账户或服务的信息,以及会员与网站和移动应用程序互动的方式和在健康百科中使用的搜索词,但未暴露用户名、密码、社会安全号码 (SSN)、金融账户信息或信用卡号。数据泄露影响了访问公司网站和移动应用程序的1340万个人。
不同于联合健康遭受的黑客组织恶意窃取数据,凯撒医疗的数据泄露事件属于在数据传输层面的疏漏,指向的是第三方广告商对客户数据的过度追踪以及医疗网站对安全信息传输的懈怠。在医疗科技和政府领域,这类追踪是普遍存在的问题。
业内人士指出,由于是非恶意行为,因此很难衡量数据泄露的严重程度。
凯撒表示,公司随后从网站和移动应用程序中删除了跟踪代码,并实施了安全专家建议的额外措施,防止将来发生类似事件。
由于影响的人数规模,美国卫生与公众服务部将凯撒的数据泄露事件列为2024年迄今为止最大的健康数据泄露事件。
03
为什么健康险公司易受攻击?
联合健康的网络攻击和凯撒医疗数据泄露指向了一个趋势:健康险公司更容易受到网络攻击从两家公司的属性来看,可以总结出背后的原因包括数据密集度、数据价值、技术原因以及供应链风险。
从数据密集度来看,和其他行业相比,健康险公司通常拥有大量的个人健康数据,包括医疗记录、财务信息、社会保障号码等。这些数据需要不断更新和存储,形成了数据密集型环境。联合健康和凯撒医疗的数据泄露事件显示,庞大的数据存储使得这些公司成为黑客的主要目标。根据数据收集企业SOAX 2023年的最新研究,医疗保健是最容易受到攻击的行业,2023年数据泄露案件数量位居榜首,达809起。这些案件影响了医疗保健行业内的5600万受害者。
数据价值则体现在真实性、信息的使用潜能以及法规要求上。和社交媒体、电商等行业相比,健康险公司的数据特点是真实,无论是姓名、ID号,还是医疗支付、医疗记录,都是基于真实的情况汇总出来的,因此更具有价值。也因为真实性,黑客不仅可以利用这些数据进行身份盗窃,还可以进行医疗欺诈、非法交易,从而带来巨大的经济利益。另一方面,法规要求也凸显了数据价值。健康险公司必须遵守严格的监管和隐私法规,如美国的《医疗保险可移植性与责任法案》(HIPAA)。由于法规严苛,导致黑客认为这些公司拥有更多有价值的信息,由此增加数据泄露和网络攻击的风险。
在技术层面上,健康险公司的IT基础设施复杂,往往涉及到许多遗留系统和不兼容的软件,为网络攻击提供了可乘之机。例如,许多健康险公司仍在使用几十年前的技术,这些技术没有更新,缺乏现代安全防护措施。此外,复杂的系统互联性也增加了安全管理的难度,使得漏洞更难以发现和修补。
供应链风险方面,健康险公司通常与各种供应商和合作伙伴合作,包括医院、医生办公室和第三方服务提供商,这些合作关系可能会增加网络攻击和数据泄露的风险,例如联合健康旗下的Change Healthcare就是典型的例子。
综上所述,健康保险公司由于其数据密集度高、数据价值高、技术基础设施复杂以及供应链风险大,更容易成为网络攻击的目标。这些因素共同作用,导致了近年来健康保险公司网络攻击和数据泄露事件频发。如果说凯撒医疗的数据泄露事件暂时未造成什么实质性的影响,那么联合健康旗下Change Healthcare的黑客攻击事件则重创了联合健康本身,将这家几十年未亏损、始终保持全球第一的保险集团拉下神坛,更影响了美国整个医疗保健行业的报销、配药等一系列流程。
联合健康和凯撒医疗的事件表明,黑客攻击和数据泄露从不绕过谁,反而因为行业巨头的地位风险更大,今天是这两家巨头,明天可能就是寿险、财险领域的全球头部公司。联合健康和凯撒医疗的例子也为健康险乃至保险行业敲响了警钟,借助这两个例子,我们重申,网络攻击看似遥远,但近在眼前,网络安全再被强调都不为过。
