اتهم زوجان من أعضاء مجلس الشيوخ من الحزبين الجمهوري والديمقراطي شركة رعاية صحية كبرى تعرضت لهجوم إلكتروني معوق في فبراير بعدم الامتثال للقانون الفيدرالي الذي يتطلب إخطار المرضى عند سرقة بياناتهم.
في رسالة مرسلة إلى الرئيس التنفيذي لمجموعة UnitedHealth Group، أندرو ويتي هذا الأسبوع، طالبت السناتور الديمقراطية عن ولاية نيو هامبشاير ماجي حسن والسيناتور الجمهوري عن ولاية تينيسي مارشا بلاكبيرن، عملاق الرعاية الصحية “بتحمل المسؤولية الكاملة والفوري” عن إعطاء المرضى ومقدمي الخدمات الصحية معلومات عن الانتهاك .
يتطلب القانون الفيدرالي المعروف باسم قانون نقل المعلومات الصحية والمساءلة (HIPAA) بشكل عام من مقدمي الرعاية الصحية إخطار الأشخاص في غضون 60 يومًا من اكتشاف الانتهاك الذي يؤثر على بياناتهم الصحية الشخصية.
تقوم وزارة الصحة والخدمات الإنسانية بالفعل بالتحقيق فيما إذا كانت UnitedHealth متوافقة مع التزامات HIPAA لحماية بيانات المرضى. وقال متحدث باسم وزارة الصحة والخدمات الإنسانية لشبكة CNN إن الوزارة لا يمكنها مناقشة التحقيقات الجارية.
يمكن لـ HHS استخدام HIPAA لتغريم الشركات بسبب فشلها في حماية بيانات المرضى. وأعلنت الوزارة عن تسوية بقيمة 4.75 مليون دولار في فبراير/شباط مع نظام مستشفيات غير ربحي في نيويورك بسبب “فشل في أمن البيانات” قالت الوزارة إنه أدى إلى قيام أحد الموظفين بسرقة بيانات المرضى وبيعها.
لكن عملية التنظيف من هجوم برامج الفدية على شركة Change Healthcare، وهي شركة تابعة لشركة UnitedHealth، كانت فوضوية ومعقدة بشكل غير عادي مقارنة بهجمات برامج الفدية الأخرى على القطاع الصحي. أدى الاختراق إلى إصابة أجهزة الكمبيوتر التي يستخدمها برنامج Change Healthcare بالشلل لمعالجة المطالبات الطبية في جميع أنحاء البلاد. تم حرمان مقدمي الرعاية الصحية من مدفوعات بمليارات الدولارات، وفقًا لإحدى جمعيات المستشفيات، وكانت بعض العيادات الصحية على وشك الإفلاس لأنها لم تتمكن من الحصول على رواتبها.
أخبر ويتي الكونجرس الشهر الماضي أن ثلث الأمريكيين ربما تعرضوا لسرقة بياناتهم الشخصية في الاختراق، وأنه من المحتمل أن يستغرق الأمر “عدة أشهر” قبل أن تتمكن الشركة من تحديد وإخطار الأمريكيين المتأثرين. وقال إن أحد أسباب عملية الإخطار الطويلة هو أن الملفات الخاصة بالمرضى قد تم اختراقها في هجوم برامج الفدية.
في أعقاب الاختراق، كان بعض مقدمي الرعاية الصحية في حيرة من أمرهم بشأن ما إذا كانوا هم أو منظمة Change Healthcare مسؤولين عن إخطار المرضى بأن بياناتهم قد تم اختراقها. في 31 مايو، أوضح مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية أنه يمكن لمقدمي الرعاية الصحية تفويض هذا الالتزام إلى شركة Change Healthcare.
وقال إريك هاوسمان، المتحدث باسم UnitedHealth، في بيان أرسل عبر البريد الإلكتروني إلى CNN يوم الجمعة: “نحن نقدر التوضيح الأخير الذي قدمته OCR بأن مقدمي الخدمات والكيانات الأخرى المشمولة بقانون HIPAA يمكنهم تفويض التزامات الإشعار الخاصة بهم إلى التغيير، وهو ما كرر تفضيلنا المعلن مسبقًا لتسهيل التزامات الإبلاغ لعملائنا”. . “ونتيجة لذلك، نحن نعمل مع عملائنا للتأكد من أن عملية الإخطار تلبي احتياجاتهم وتفي بالالتزامات القانونية.”
سلط الاختراق الضوء على الدور القوي لشركة UnitedHealth في سوق الرعاية الصحية. وأعلنت الشركة عن إيرادات بلغت 371 مليار دولار العام الماضي. تتعامل شركة Change Healthcare مع واحد من كل ثلاثة سجلات للمرضى الأمريكيين، وفقًا لجمعية المستشفيات الأمريكية. Optum، وهي شركة تابعة أخرى لشركة UnitedHealth، توظف حوالي 90.000 طبيب.
كما أدى الاختراق التابع لشركة UnitedHealth، وهجوم آخر ببرامج الفدية على واحدة من أكبر سلاسل المستشفيات في البلاد، إلى زيادة الضغط على الكابيتول هيل وفي البيت الأبيض لإصدار لوائح جديدة تتطلب من شركات الرعاية الصحية تلبية الحد الأدنى من معايير الأمن السيبراني.
إن رسالة حسن-بلاكبيرن ليست التحقيق الوحيد الذي تواجهه شركة UnitedHealth في مجلس الشيوخ. دعا السناتور رون وايدن، الديمقراطي من ولاية أوريغون الذي يرأس اللجنة المالية، لجنة التجارة الفيدرالية ولجنة الأوراق المالية والبورصات إلى التحقيق في ممارسات الأمن السيبراني لشركة UnitedHealth. ورفضت لجنة التجارة الفيدرالية التعليق، بينما قال متحدث باسم هيئة الأوراق المالية والبورصة لشبكة CNN إن الوكالة سترد مباشرة على وايدن.
