智通財經APP獲悉,據報道,美國衛生與公衆服務部(HHS)已允許聯合健康(UNH.US)通知在2月份該公司遭網絡攻擊時數據被泄露的人員。這一決定讓這家醫療保健巨頭承擔了披露數據泄露的責任,並使醫院和其他醫療服務提供者免於通知受黑客攻擊影響的患者。
今年2月12日,黑客使用泄露的憑據信息遠程訪問Change Healthcare Citrix管理平臺,由於相關平臺並未支持雙重認證,因此黑客“大搖大擺地”進入了管理平臺,獲取了一系列內部機密文件,同時還部署了勒索軟件。
據悉,聯合健康直到黑客入侵第9天后才發現情況不對,此後該公司切斷了Change Healthcare服務環境,並在2月21日要求谷歌/微軟/思科/亞馬遜網絡專家前來重新打造Change Healthcare的基礎設施,據稱更換了數千檯筆記本電腦,同時重建了Change Healthcare的數據中心網絡與核心服務。
Change Healthcare是美國最大的金融結算機構之一,網絡攻擊事件導致全美醫生和醫療機構的支付系統中斷了一個月,同時對社區醫療中心造成了嚴重影響。聯合健康曾在4月表示,Change Healthcare遭網絡攻擊導致數據泄露,該公司今年可能將遭受高達16億美元的損失。
5月初,聯合健康首席執行官Andrew Witty在聽證會中首度確認旗下服務Change Healthcare在2月遭黑客入侵,同時坦言該公司已向黑客支付了2200萬美元贖金。Andrew Witty表示,他們希望“盡一切努力來保護人們的健康信息”,因此決定支付贖金,同時將加強安全管理,以設計“強大與實用的網絡解決方案”。Andrew Witty還表示,此次網絡攻擊暴露了可能屬於三分之一美國人的個人和健康信息。
網絡攻擊發生後,醫療服務提供商幾個月來一直敦促HHS將通知責任轉移給聯合健康和Change Healthcare,理由是缺乏財務資源和有關違規行爲的信息。據報道,官員們在5月31日同意了他們的要求,這是聯邦《健康保險流通與責任法案》的一個例外,該法案通常要求醫療服務提供者通知受害者。