智通财经APP获悉,据报道,美国卫生与公众服务部(HHS)已允许联合健康(UNH.US)通知在2月份该公司遭网络攻击时数据被泄露的人员。这一决定让这家医疗保健巨头承担了披露数据泄露的责任,并使医院和其他医疗服务提供者免于通知受黑客攻击影响的患者。
今年2月12日,黑客使用泄露的凭据信息远程访问Change Healthcare Citrix管理平台,由于相关平台并未支持双重认证,因此黑客“大摇大摆地”进入了管理平台,获取了一系列内部机密文件,同时还部署了勒索软件。
据悉,联合健康直到黑客入侵第9天后才发现情况不对,此后该公司切断了Change Healthcare服务环境,并在2月21日要求谷歌/微软/思科/亚马逊网络专家前来重新打造Change Healthcare的基础设施,据称更换了数千台笔记本电脑,同时重建了Change Healthcare的数据中心网络与核心服务。
Change Healthcare是美国最大的金融结算机构之一,网络攻击事件导致全美医生和医疗机构的支付系统中断了一个月,同时对社区医疗中心造成了严重影响。联合健康曾在4月表示,Change Healthcare遭网络攻击导致数据泄露,该公司今年可能将遭受高达16亿美元的损失。
5月初,联合健康首席执行官Andrew Witty在听证会中首度确认旗下服务Change Healthcare在2月遭黑客入侵,同时坦言该公司已向黑客支付了2200万美元赎金。Andrew Witty表示,他们希望“尽一切努力来保护人们的健康信息”,因此决定支付赎金,同时将加强安全管理,以设计“强大与实用的网络解决方案”。Andrew Witty还表示,此次网络攻击暴露了可能属于三分之一美国人的个人和健康信息。
网络攻击发生后,医疗服务提供商几个月来一直敦促HHS将通知责任转移给联合健康和Change Healthcare,理由是缺乏财务资源和有关违规行为的信息。据报道,官员们在5月31日同意了他们的要求,这是联邦《健康保险流通与责任法案》的一个例外,该法案通常要求医疗服务提供者通知受害者。