Source: CNBC
美国联合健康集团首席执行官安德鲁·威蒂在美国参议院财政委员会周三的听证会上首次确认,该公司向黑客支付了一笔2200万刀的赎金,这笔赎金是用于黑客侵入其子公司Change Healthcare系统的。Change Healthcare提供付款、收入管理以及电子处方软件等解决方案。这次网络攻击在医疗保健行业造成了广泛的后果。当威胁被发现时,该公司断开了受影响的系统的连接,导致许多医生暂时无法为患者开具处方或为他们的服务付费。美国联合健康公司在四月告诉CNBC,他们支付了赎金以试图保护患者数据。此前的报道发现比特币区块链上有一笔2200万刀的转账,但公司直到现在才证实这个数字。作为首席执行官,支付赎金的决定是我的”,威蒂说,“这是我做过的最艰难的决定之一,我不愿意任何人经历这样的情况。美国联合健康是全球最大公司之一,市值约4500亿刀。
其业务单位Optum与Change Healthcare于2022年合并,Optum为1.03亿客户提供护理,而Change Healthcare触及三分之一的病历。委员会主席、俄勒冈州参议员罗恩·维登在开场白中表示,Change Healthcare的数据泄露是一种“严重警告,警示了太大规模的典型公司带来的后果。维登说,“这些如此庞大的公司有责任保护客户,并在该问题上发挥引领作用。威蒂告诉委员会,黑客通过一个未设有多因素身份验证的服务器,即需要用户以至少两种不同方式验证身份的MFA,访问了Change Healthcare。他说,美国联合健康现在在所有外部系统上都采用了MFA。由于这次恶意网络攻击,患者和服务提供者遇到了干扰,人们担心他们的私人健康数据”,威蒂说,“对于所有受影响的人,让我非常清楚地说:我深表歉意。北卡罗来纳州共和党参议员托姆·蒂利斯在听证会上举起了一本“黑客入门”鲜黄色封面的书,称这次数据泄露是美国联合健康公司需要解决的问题。这些都是一些基本的事情被忽略了,内部审计、外部审计以及负责冗余的系统人员都未尽到责任,他们没有做好自己的工作”,蒂利斯说。
美国证券交易委员会的文件声称,美国联合健康公司发现一名网络威胁参与者于二月底访问了Change Healthcare信息技术网络的部分内容。威蒂表示,Change Healthcare的核心系统已经恢复,但部分辅助支持功能仍在恢复中。美国联合健康公司于二月表示,勒索软件组织黑猫(Blackcat)是这次袭击的幕后黑手。黑猫,也被称为诺贝鲁斯和阿尔夫,从机构窃取敏感数据,并以威胁将其公开,除非支付赎金,根据美国司法部十二月的报道。美国联合健康公司在四月确认,包含受保护健康信息和个人可识别信息的文件在袭击中受到了损害。公司表示正在进行数据审核,因此可能需要几个月的时间才能通知受影响的个人。威蒂周三表示,美国联合健康正在与监管机构合作评估袭击,并将尽快通知人们其信息是否遭到威胁。三月初,美国联合健康推出了临时资金援助计划,以帮助受网络攻击影响导致现金流中断的服务提供商。
这些款项无需额外费用、利息或其他费用,并在他们的标准支付业务恢复后,供应商有45天时间还款。威蒂在听证会上表示,公司尚未要求任何人偿还贷款,他们将由供应商决定何时他们的业务正式恢复正常。威蒂没有直接透露美国联合健康公司是否会为可能因袭击而面临其他贷款和利息支付的供应商提供额外支持。科罗拉多州民主党参议员迈克尔·贝内特迫使威蒂分享美国联合健康如何确保不会再次发生类似Change Healthcare的事件。威蒂表示,公司计划将有关袭击的发现与他人分享,并表示需要专注于减少医疗保健领域的网络攻击率。我们显然正在尽我们的责任应对这次袭击。我们也试图从中学到教训”,他说。
在保护隐私和数据安全问题上,大公司如何承担责任、引领行业仍然是亟待解决的挑战。" } ```
