عندما أدى هجوم إلكتروني على شركة Change Healthcare إلى إصابة جزء كبير من نظام الرعاية الصحية في الولايات المتحدة بالشلل، رأى بعض المشرعين في ذلك دليلاً على أن الشركة الأم، UnitedHealth Group Inc.، كانت كبيرة جدًا.
رأى أندرو ويتي، الرئيس التنفيذي لشركة يونايتد هيلث، الأمر بشكل مختلف. وقال إن حجم الشركة منع الاختراق، الذي أصاب شبكة تتعامل مع مطالبات صحية بقيمة 2 تريليون دولار سنويًا، من أن يكون أكثر ضررًا. قال ويتي في وقت سابق من هذا الشهر: “كان من المهم بالنسبة للبلد أن نمتلك شركة Change Healthcare”.
ومن المتوقع أن يظهر ويتي في جلسات الاستماع بمجلسي النواب والشيوخ يوم الأربعاء. ومن المرجح أن يُسأل عما إذا كانت شركة يونايتد هيلث، التي تدير أكبر شركة للتأمين الصحي في الولايات المتحدة، وتوظف الآلاف من الأطباء، وتدير فوائد الوصفات الطبية لملايين الأميركيين، قد ركزت قدراً أعظم مما ينبغي من المخاطر تحت سقف واحد.
وقدرت شركة UnitedHealth، التي تبلغ قيمتها السوقية 451 مليار دولار، أن هجوم 21 فبراير قد يقلل من أرباحها بما يصل إلى 1.6 مليار دولار هذا العام، مما يجعلها واحدة من أكثر عمليات الاختراق تكلفة على الإطلاق. وقالت شركة ميرك وشركاه إن الهجوم الإلكتروني الذي وقع عام 2017 والذي ألقي باللوم فيه على روسيا كلف شركة الأدوية 1.4 مليار دولار. غالبًا ما يصل ثمن الانتهاكات التخريبية الكبيرة إلى عشرات الملايين من الدولارات.
وقال متحدث باسم الشركة في رسالة بالبريد الإلكتروني إن UnitedHealth تعتقد أن الاختراق “سيكون على الأرجح أكبر خرق لبيانات الرعاية الصحية في الولايات المتحدة حتى الآن”.
تمت الآن استعادة جزء كبير من شبكة Change Healthcare، وفقًا لشركة UnitedHealth، وقد وفرت الشركة مليارات الدولارات لتخفيف الفوضى التي أحدثها الاختراق.
ومع ذلك فإن الاضطرابات لا تزال قائمة. استنزف مستشفى مونادنوك المجتمعي، في بلدة بيتربورو الصغيرة بولاية نيو هامبشاير، احتياطياته البالغة 5 ملايين دولار، وكان يحصل على خمس مدفوعاته العادية فقط حتى منتصف أبريل. وقالت الجمعية الطبية الأمريكية إن الأطباء، وخاصة أولئك الذين لديهم ممارسات صغيرة، ما زالوا يبلغون عن الصعوبات بعد شهرين من الاختراق.
تسلط مثل هذه الفوارق الضوء على حقيقة قاسية بشأن الرعاية الصحية في الولايات المتحدة: عندما تظهر المشاكل، فإن شبكات المستشفيات الكبيرة، وسلاسل الصيدليات المترامية الأطراف، وخطط التأمين الوطنية يمكنها عادة الصمود في وجه العاصفة، في حين يتحمل المرضى والشركات الأصغر تكاليف أعلى.
قال ريتشارد شينبلوم، المدير المالي لشركة Monadnock وكبير مسؤولي الأمن السيبراني: “لم أكن أتوقع شيئًا كهذا أبدًا”. وقال إنه يفكر في كيفية جعل أنظمة المعلومات في المستشفى أكثر مرونة.
وأضاف: “لا يمكننا أن نتحمل ارتكاب الأخطاء”. “الأخطاء تؤذي الناس.”
تم شراء شركة Change Healthcare، التي تم إنشاؤها من خلال سلسلة من عمليات الاندماج والاستحواذ في مجال التكنولوجيا الصحية، من قبل شركة UnitedHealth في عام 2022 – في صفقة حاولت الحكومة الأمريكية منعها. تواجه شركة UnitedHealth تحقيقًا منفصلاً في الولايات المتحدة لمكافحة الاحتكار، على الرغم من استمرار الشركة في متابعة الصفقات، بما في ذلك اتفاق لشراء ممارسة طبية كبيرة مقرها ماساتشوستس.
تعمل شركة Change Healthcare كعقدة مركزية في نظام الرعاية الصحية، حيث كانت تحمل تيرابايت من البيانات للأطباء والصيدليات وشركات التأمين والحكومة. عندما اقتحم المتسللون، أظهر الاقتحام كيف أصبح نقطة فشل واحدة يمكن أن تعرض خصوصية المرضى للخطر وربما تشكل خطراً على صحتهم.
وقال رئيس اللجنة المالية بمجلس الشيوخ رون وايدن، وهو ديمقراطي من ولاية أوريغون: “بينما ترون المزيد والمزيد من عمليات الاندماج هذه وعمليات الرعاية الصحية العملاقة، أعتقد أنك تخلق خطرًا نظاميًا فيما يتعلق بالأمن السيبراني”.
وقال النائب الجمهوري عن ولاية إنديانا، لاري بوكشون، في جلسة استماع بمجلس النواب في أبريل/نيسان بشأن الاختراق، إن “التكامل الرأسي الهائل في نظامنا” ليس “في مصلحة الشعب الأمريكي”.
وقالت UnitedHealth إن حجمها يسمح لها بالرد “بسرعة وحسم” على الهجوم لإصلاح أنظمة Change وتقديم مساعدة بقيمة 6.5 مليار دولار لمقدمي الخدمات. وقالت الشركة إنها تواصلت بانتظام مع السلطات والعملاء وغيرهم من المتضررين، وأنها تعمل على الوصول إلى مقدمي الخدمة الذين يخدمون المرضى الضعفاء. قالت UnitedHealth إنها قامت بتحسين برنامج التمويل استجابةً للتعليقات وأنه يجب على مقدمي الخدمات المحتاجين التواصل للحصول على الدعم، بما في ذلك القروض المجانية بدون فوائد.
UnitedHealth “تصد محاولة اقتحام كل 70 ثانية”، وفقًا لشهادة ويتي المعدة للجنة الفرعية للطاقة والتجارة في مجلس النواب للرقابة والتحقيقات، والتي أصدرتها اللجنة يوم الاثنين. وتدعم الشركة الحد الأدنى من معايير الأمان للصناعة لمواجهة الهجمات المتطورة بشكل متزايد، وفقًا للشهادة.
عدم وضوح
في العام الماضي، اعتقدت السلطات الأمريكية أن لديها مجموعة قرصنة سيئة السمعة هاربة. وقد ساعد مصدر سري جهات إنفاذ القانون على اختراق أنظمة عصابة برامج الفدية المعروفة باسم BlackCat، أو ALPHV، وفقًا لمذكرة تفتيش في ديسمبر/كانون الأول. استولى مكتب التحقيقات الفيدرالي على مواقع BlackCat وقام ببناء أداة لمواجهة برامج الفدية الخاصة بها.
ورداً على ذلك، ورد أن المتسللين شجعوا الشركات التابعة على استهداف المستشفيات والمحطات النووية. أفادت صحيفة وول ستريت جورنال أن المتسللين تسللوا إلى شبكة Change Healthcare في 12 فبراير من خلال تسجيل دخول مخترق، ولم يتم اكتشافهم لأكثر من أسبوع، واستخرجوا البيانات التي قالت الشركة لاحقًا إنها “يمكن أن تغطي نسبة كبيرة” من الأمريكيين.
قطعت UnitedHealth اتصالات Change Healthcare بالعالم الخارجي في 21 فبراير وأبلغت مكتب التحقيقات الفيدرالي بعد ظهر ذلك اليوم. وبحلول وقت متأخر من ذلك المساء، كان المسؤولون التنفيذيون على اتصال بكبار قادة الوكالات الصحية، وناقشوا ما يعرفونه وخياراتهم لإصلاح الشبكات التالفة أو استبدالها أو تجاوزها، وذلك وفقًا لأشخاص مطلعين على المناقشات.
في الصيدليات في جميع أنحاء الولايات المتحدة، تعطلت أنظمة الكمبيوتر المستخدمة للتحقق من التغطية التأمينية ومعالجة الوصفات الطبية. وفي حين وجدت السلاسل الكبيرة حلولاً بديلة، فقد أزعج انقطاع التيار الكهربائي سلاسل أخرى، وتوقف التوزيع في المنشآت العسكرية. ومع توقف المدفوعات بسبب الاختراق، قال الأطباء والمستشفيات إنهم لم يتلقوا الكثير من المعلومات أو إحساسًا واضحًا من UnitedHealth بموعد إصلاح المشكلات.
شعر مسؤولو الأمن السيبراني الذين أطلعوا لجنة تابعة للكونجرس في 13 مارس/آذار بأنهم “مقيدون في هذه الحالة بسبب الافتقار إلى الشفافية ونقص المعلومات التي تتدفق إلينا” من الشركة، وفقًا لرسالة أرسلها الممثل الديمقراطي عن ولاية ماريلاند، جيمي راسكين، إلى ويتي. طلبت HHS في رسالة من UnitedHealth “التواصل بشكل متكرر وأكثر شفافية” مع بقية الصناعة.
بحلول أوائل شهر مارس، تمت استعادة نظام الوصفات الإلكترونية الخاص بشركة Change Healthcare إلى حد كبير. وفي أواخر أبريل، قالت الشركة إن المطالبات كانت عند “مستويات شبه طبيعية” وأن حوالي 80% من وظائف Change على المنصات الرئيسية كانت تعمل. وقالت شركة UnitedHealth إنها دفعت فدية للمتسللين لحماية بيانات المرضى، رغم أنها لم تكشف عن المبلغ. ولم تقم الشركة بإخطار المرضى الذين ربما تم الكشف عن بياناتهم وقالت إن الأمر سيستغرق أشهرًا للتأكد.
الأضرار المالية التي لحقت بـ UnitedHealth كانت محدودة. وبينما انخفضت أسهمها بنحو 6% منذ الهجوم، فإن مبلغ 1.6 مليار دولار الذي ضرب مشاريعها هذا العام سيأتي من الربح السنوي المتوقع البالغ 24.7 مليار دولار، وفقًا للتقديرات التي جمعتها بلومبرج.
ضغط الكابيتول
علنًا، التزم المسؤولون في وزارة الصحة والخدمات الإنسانية الصمت إلى حد كبير فورًا بعد الانتهاك. وتشرف الوكالة على برنامجي Medicare و Medicaid، اللذين يغطيان الرعاية الصحية لنحو 150 مليون شخص بتكلفة 1.7 تريليون دولار سنويًا. واصلت شركات التأمين التي تدير هذه البرامج، بما في ذلك يونايتد هيلث، جمع أقساط التأمين، لكن المدفوعات لمقدمي الخدمات الطبية توقفت.
وقالت أندريا بالم، نائبة سكرتير وزارة الصحة والخدمات الإنسانية، في مقابلة إن قادة الوكالة كانوا على اتصال يومي تقريبًا مع المديرين التنفيذيين لشركة UnitedHealth منذ اكتشاف الاختراق. وقالت إن وزارة الصحة والخدمات الإنسانية ضغطت على الشركة لتوسيع برنامج الدفع المسبق عندما اشتكى مقدمو الرعاية من أنه غير كاف.
“في نهاية المطاف، مسؤولية وزارة الصحة والخدمات الإنسانية هي تجاه المرضى ورعايتهم، وإذا لم يتمكن مقدمو الخدمة من إبقاء أبوابهم مفتوحة فإن ذلك يمثل مشكلة لرعاية المرضى”، قال بالم، الذي أشار إلى أن الوكالة بذلت جهودها الخاصة للحصول على أموال في مقدمي الخدمات. الأيدي. “لقد دفعناهم بقوة لتوسيع هذا البرنامج.”
ومع ذلك، كان المشرعون، بمن فيهم زعيم الأغلبية في مجلس الشيوخ تشاك شومر، الديمقراطي من نيويورك، يضغطون على إدارة بايدن للتحرك. أصدرت وزارة الصحة والخدمات الإنسانية بيانها الأول بشأن الهجوم في 5 مارس، حيث حثت شركات التأمين على تخفيف متطلبات الترخيص المسبق وإخبار مسؤولي البرامج الصحية الحكومية بمساعدة مقدمي الخدمات على إيجاد حلول بديلة أثناء تعطل أنظمة Change.
ناقشت السيناتور ماجي حسن، النائبة الديمقراطية عن ولاية نيو هامبشاير، عملية الاختراق مع الرئيس جو بايدن عندما زار ولايتها في 11 مارس/آذار. وأخبرت بعض المستشفيات الريفية حسن أن 98% من تدفقاتها النقدية اختفت بعد الاختراق.
“أفكر في حقيقة أنني كنت بحاجة إلى التواصل مع رئيس الولايات المتحدة ووزير الصحة والخدمات الإنسانية لإشراكهما في هذه المحادثة أيضًا، لأن UnitedHealthcare كبيرة جدًا ولها مثل هذا التأثير في جميع أنحاء البلاد”. وقال حسن في مقابلة.
وقال حسن، عضو اللجنة المالية بمجلس الشيوخ التي من المتوقع أن تستمع إلى شهادة ويتي، إن الولايات المتحدة يجب أن تفكر في ما هو مطلوب “حتى لا يؤدي الهجوم على أحد هؤلاء المشغلين الكبار إلى تعريض مثل هذه النسبة الهائلة من استثماراتنا للخطر”. نظام الرعاية الصحية، ويعرض المرضى للخطر في نهاية المطاف”.
وبعد أن نقلت حسن مخاوفها إلى بايدن، التقى كبار مسؤولي الإدارة مع مجموعات التجارة الصحية ويتي. ضغط حسن على ويتي لإدخال الأموال النقدية إلى حسابات المستشفيات. جعلت UnitedHealth شروط برنامج قرض مقدم الخدمة أقل عبئًا.
التقت حسن مع المديرين التنفيذيين للمستشفى في مكتبها في مانشستر في 15 مارس. وأخبرها شينبلوم، المدير المالي لشركة Monadnock، أنه لا يزال يكافح من أجل الحصول على المساعدة من UnitedHealth. بعد ظهر ذلك اليوم، تواصل معه أحد كبار المسؤولين التنفيذيين، وكان في طريقه للحصول على سلفة قدرها 2 مليون دولار.
التداعيات المالية
وكانت تداعيات الاختراق واسعة النطاق، وبقيت آثارها قائمة، خاصة عندما يكون من الصعب التغلب على النكسات المالية.
لم يتمكن المرضى الذين يتصلون بعيادات شبكة الأمان في فيلادلفيا من الاتصال عندما تعطلت مراكز الاتصال التي تم الاستعانة بمصادر خارجية لها. عقد مسؤولو برنامج Medicaid في ولاية كارولينا الشمالية جلسات إحاطة يومية حول الوضع، الذي شعروا أنه يشكل مخاطر كبيرة على المستفيدين.
تتوقع بعض الشركات ازدحامًا ممتدًا. قالت شركة Option Care Health Inc.، وهي شركة ضخ متداولة علنًا بإيرادات سنوية تبلغ 4.3 مليار دولار، في ملف بتاريخ 14 مارس/آذار، إن أكثر من نصف مطالباتها لم تتم معالجتها منذ الاختراق. وقالت هذا الشهر إنها تتوقع أن يستمر تراكم النقد لديها في الربع الثالث.
تواجه الممارسات الصغيرة تحديات حادة. لم تكن أنجيلي ماون آكي، طبيبة الرعاية الأولية في غينزفيل بولاية فلوريدا، على علم بالهجوم الإلكتروني إلى أن ذهبت لدفع رواتب موظفيها التسعة عشر في أوائل شهر مارس. ووجدت أن مبلغ 25 ألف دولار أسبوعيًا الذي كان يتدفق عادةً إلى حساب العيادة قد تضاءل إلى أقل من 6000 دولار.
أخبرت آكي عائلتها أنها قد تحتاج إلى إغلاق العيادة أو بيعها، حيث “كبرت مع المرضى” منذ أكثر من 25 عامًا من الممارسة في مسقط رأسها. للحصول على المال، باعت استثمارات التقاعد وبدأت تطلب من المرضى في مكتب الاستقبال أن يدفعوا لها مبلغ 45 دولارًا عند وصولهم.
وقالت: “جاء الناس وأسقطوا شيكات بقيمة 100 دولار، أو 200 دولار، أو 2000 دولار”. ساعدها الكرم على إبقاء أبوابها مفتوحة. حصلت Akey أيضًا على دفعات مقدمة من Medicare والشركات الأخرى التي تعمل معها، ولكن حدث خلل أدى إلى تأخير المساعدة من UnitedHealth: في 25 أبريل، تمت الموافقة على حصولها على قرض بقيمة 31000 دولار، وهو مبلغ قالت إنه غير كاف.
وفي جميع أنحاء الولايات المتحدة، هناك قصص مماثلة. أنشأت أناستاسيا تايلور، وهي أخصائية اجتماعية ومعالجة، عيادة غير ربحية تسمى EmpathyHQ في منطقة دالاس فورت وورث في عام 2013. وتقبل تايلور التأمين، على عكس العديد من مقدمي رعاية الصحة العقلية. ولكن عندما تعطلت شبكة التغيير، غادر العشرات من المرضى المحتملين ولم يعودوا أبدًا بعد أن قيل لهم إنه لا توجد طريقة للتحقق من تغطيتهم.
وقال تايلور: “نحن هنا للمساعدة ومهمتنا تخيم عليها أعمال خارجة عن سيطرتنا”. “إنه أمر محبط ومفجع للغاية لأننا لا نعرف ما إذا كان أي من هؤلاء الأشخاص سيعود أم لا.”
صورة: المصور: غابي جونز / بلومبرج
حقوق الطبع والنشر 2024 بلومبرج.
المواضيع
الناقلات السيبرانية الولايات المتحدة الأمريكية
عبد الرحمن العمارتي هو شاب سعودي متعدد المواهب، يتمتع بخلفية تنوعت بين التدوين والطب. وُلد في عام 1988، مما يجعله في سن مبكرة لتحقيق إنجازات ملحوظة. يُعرف عبد الرحمن بمهاراته الاستثنائية في مجال التدوين، حيث يمتلك قدرة فريدة على التعبير عن الأفكار والمفاهيم بشكل ملهم وجذاب.
بالإضافة إلى موهبته في التدوين، يمتلك العمارتي خلفية قوية في مجال الطب، حيث حصل على درجة الدكتوراه في تخصص معين. هذا يظهر تفانيه في العمل الأكاديمي واستعداده لاستكشاف مجالات جديدة وتحقيق نجاحات فيها.
تجمع شخصية عبد الرحمن بين العلم والأدب، حيث يجمع بين خبرته الطبية وقدراته في التدوين لنشر المعرفة والوعي بمواضيع صحية وأدبية واجتماعية. تعتبر هذه الخلفية المتنوعة ميزة بارزة تعكس تفانيه في تطوير ذاته وخدمة المجتمع.
