Giám đốc điều hành UnitedHealth xác nhận với các nhà lập pháp việc đã trả cho tin tặc khoản tiền chuộc 22 triệu USD



Giám đốc điều hành UnitedHealth Andrew Witty lần đầu tiên xác nhận công ty đã trả khoản tiền chuộc 22 triệu USD cho những tin tặc đã xâm nhập vào công ty con Change Healthcare của họ và gây ra hậu quả lan rộng trong lĩnh vực chăm sóc sức khỏe. Thông tin của Witty được đưa ra trong phiên tòa ngày 1 tháng 5 trước Ủy ban Tài chính Thượng viện Hoa Kỳ.

Change Healthcare cung cấp dịch vụ thanh toán, quản lý doanh thu và các giải pháp khác như phần mềm kê đơn điện tử. Change Healthcare đã ngắt kết nối các hệ thống bị ảnh hưởng khi mối đe dọa được phát hiện, dẫn đến nhiều bác sĩ tạm thời không thể mua thuốc theo đơn hoặc được trả tiền cho dịch vụ của họ.

UnitedHealth thông báo vào tháng 4 với CNBC rằng họ đã trả tiền chuộc để cố gắng bảo vệ dữ liệu của bệnh nhân. Các báo cáo trước đó đã phát hiện ra một khoản chuyển khoản trị giá 22 triệu USD trên blockchain của Bitcoin, nhưng công ty vẫn chưa xác nhận con số này cho đến nay.

“Quyết định trả tiền chuộc là của tôi,” Witty nói. “Đây là một trong những quyết định khó khăn nhất mà tôi từng phải đưa ra và tôi không mong muốn điều đó xảy ra với bất kỳ ai”.

UnitedHealth là một trong những công ty lớn nhất thế giới, với vốn hóa thị trường khoảng 450 tỷ USD. Đơn vị kinh doanh Optum – cung cấp dịch vụ chăm sóc cho 103 triệu khách hàng – và Change Healthcare – liên quan đến 1/3 hồ sơ bệnh nhân – được hợp nhất vào năm 2022.

Chủ tịch Ủy ban, Thượng nghị sĩ Ron Wyden, D-Ore., Cho biết trong bài phát biểu khai mạc rằng vi phạm của Change Healthcare đóng vai trò như một “cảnh báo nghiêm trọng về hậu quả của các tập đoàn lớn quá lớn nếu thất bại”.

Wyden nói: “Các công ty lớn có nghĩa vụ bảo vệ khách hàng của mình và dẫn đầu về vấn đề này”.

Witty đã trao đổi với ủy ban rằng tội phạm mạng đã truy cập Change Healthcare thông qua một máy chủ không được bảo vệ bằng xác thực đa yếu tố hoặc MFA, yêu cầu người dùng xác minh danh tính của họ theo ít nhất hai cách khác nhau. Ông cho biết UnitedHealth hiện đã áp dụng MFA trên tất cả các hệ thống bên ngoài.

Witty cho biết: “Hậu quả của cuộc tấn công mạng độc hại này là bệnh nhân và nhà cung cấp đã gặp phải tình trạng gián đoạn và mọi người lo lắng về dữ liệu sức khỏe riêng tư của họ”. “Đối với tất cả những người bị ảnh hưởng, hãy để tôi nói rõ: Tôi vô cùng xin lỗi.”

Thượng nghị sĩ Thom Tillis, R-N.C. đã đưa bản sao của “Hacking for Dummies” trong phiên tòa và cho rằng hành vi vi phạm là trách nhiệm của UnitedHealth phải khắc phục.

Tillis nói: “Đây là một số nội dung cơ bản đã bị bỏ sót, điều này thật đáng xấu hổ đối với kiểm toán nội bộ, kiểm toán bên ngoài và những người trong hệ thống của UnitedHealth được giao nhiệm vụ dư thừa, họ đã không thực hiện công việc của mình”.

Hồ sơ gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ cho biết UnitedHealth đã phát hiện ra kẻ đe dọa mạng đã truy cập vào một phần mạng công nghệ thông tin của Change Healthcare vào cuối tháng 2.

Witty cho biết các hệ thống cốt lõi của Change Healthcare đã hoạt động trở lại, mặc dù một số chức năng hỗ trợ phụ vẫn đang được khôi phục.

UnitedHealth cho biết vào tháng 2 rằng nhóm ransomware Blackcat đứng đằng sau vụ tấn công. Theo thông cáo tháng 12 từ Bộ Tư pháp Hoa Kỳ, Blackcat, còn có tên Noberus và ALPHV, đánh cắp dữ liệu nhạy cảm từ các tổ chức và đe dọa sẽ phát hành dữ liệu đó trừ khi trả tiền chuộc.

UnitedHealth xác nhận vào tháng 4 rằng các tệp chứa thông tin sức khỏe được bảo vệ và thông tin nhận dạng cá nhân đã bị xâm phạm do cuộc tấn công. UnitedHealth cho biết việc xem xét dữ liệu đang diễn ra nên có thể phải mất vài tháng nữa công ty mới có thể thông báo cho những cá nhân bị ảnh hưởng.

Ngày 1 tháng 5, Witty cho biết UnitedHealth đang làm việc với các cơ quan quản lý để đánh giá hành vi vi phạm và thông báo cho mọi người nếu thông tin của họ bị xâm phạm “càng sớm càng tốt”.

Đầu tháng 3, UnitedHealth đã triển khai chương trình hỗ trợ tài trợ tạm thời để giúp hỗ trợ các nhà cung cấp gặp phải sự gián đoạn dòng tiền do cuộc tấn công mạng. Không có phí, lãi hoặc chi phí khác ngoài các khoản thanh toán và nhà cung cấp có 45 ngày để hoàn trả khoản tiền sau khi hoạt động thanh toán tiêu chuẩn của họ tiếp tục.

Trong phiên tòa, Witty cho biết công ty vẫn chưa yêu cầu ai trả nợ và các nhà cung cấp sẽ quyết định khi nào hoạt động của họ chính thức trở lại bình thường.

Witty không trực tiếp tiết lộ liệu UnitedHealth có cung cấp hỗ trợ bổ sung cho các nhà cung cấp có thể đang gặp khó khăn với các khoản vay và thanh toán lãi khác do vi phạm hay không.

Thượng nghị sĩ Michael Bennet, D-Colo., đã thúc giục Witty chia sẻ cách UnitedHealth đang thực hiện để đảm bảo những điều như vi phạm Change Healthcare sẽ không xảy ra nữa. Witty cho biết UnitedHealth có kế hoạch chia sẻ những gì họ phát hiện được về hành vi vi phạm với những người khác, đồng thời nói thêm rằng cần phải tập trung vào việc giảm tỷ lệ tấn công mạng vào lĩnh vực chăm sóc sức khỏe.

“Rõ ràng chúng tôi đang cố gắng nhận trách nhiệm của mình trong cuộc tấn công này. Chúng tôi cũng đang cố gắng học hỏi từ nó”, ông nói.

Nguồn: cnbc.com