100 миллионов жертв: взлом Change Healthcare сотрясает мир

Компания Change Healthcare официально подтвердила, что в результате кибератаки, произошедшей 21 февраля 2024 года, был скомпрометирован медицинский персонал более 100 миллионов человек. Это событие стало крупнейшей утечкой защищённой медицинской информации (PHI) среди организаций, регулируемых HIPAA, превзойдя рекордное нарушение данных Anthem Inc. в 2015 году, затронувшее 78,8 миллиона человек.

Из-за масштабности утечки Управление гражданских прав США (OCR) инициировало отдельное расследование. На момент подачи отчёта в июле компания сообщала о 500 пострадавших, поскольку анализ утечки ещё продолжался. Теперь же Change Healthcare представила обновлённые данные, указав примерное число затронутых лиц в 100 миллионов, однако процесс проверки ещё не завершён, и цифра может измениться.

Сенатор Рон Уайден раскритиковал подход компании к кибербезопасности, отметив отсутствие многофакторной аутентификации на одном из серверов, что позволило злоумышленникам получить доступ и нанести масштабный ущерб. Он призвал к реформам, требующим ужесточения ответственности за нарушения в сфере безопасности и повышению штрафов за несоблюдение HIPAA.

UnitedHealth Group, владелец Change Healthcare, столкнулся с колоссальными расходами из-за инцидента. По итогам третьего квартала 2024 года убытки от кибератаки составили 2,87 миллиарда долларов. Восстановление систем продолжается, однако часть операций и транзакций до сих пор не достигла уровня до атаки.

Кибератака вызвала волну судебных исков. Более 50 исков от пациентов и медицинских учреждений были объединены для рассмотрения в суде Миннесоты. Пострадавшие обвиняют компанию в недостаточном уровне защиты данных и требуют компенсации за утечку личной информации.

Ситуация также спровоцировала опасения о возможном повторении подобных атак. В докладе Американской медицинской ассоциации (AMA) указано, что 60% поставщиков медицинских услуг продолжают испытывать сложности с проверкой страховых данных и подачей заявок на оплату услуг спустя несколько месяцев после атаки.

Скандал вокруг Change Healthcare стал тревожным сигналом для отрасли, указывая на необходимость пересмотра приоритетов в области кибербезопасности. Ведомства, такие как Министерство здравоохранения и социального обеспечения США (HHS) и Агентство кибербезопасности и инфраструктурной безопасности (CISA), начали разрабатывать новые стандарты для критически важных организаций, включая медицинский сектор.