Change Healthcare Ransomware 攻击影响数据揭露

文章重点

• UnitedHealth Group 报告指出，美国受去年 Change Healthcare 勒索病毒攻击影响的人数接近 1.9 亿。
• 此数字几乎是其 10 月报告的两倍，使这起事件成为史上最大的医疗数据泄露事件。
• 据称，受影响的人已获得“个别或替代通知”。
• 专家呼吁加强对医疗数据安全的规范和加强多重身份验证的要求。

UnitedHealth Group 在1月24日报告，去年发生的 Change Healthcare 勒索病毒攻击影响的美国人数估计接近 1.9亿，这一数字几乎是其在10 月报告中的两倍，进一步证实了这起事件成为史上最大的医疗数据泄露事件。

UnitedHealth 发言人 Tyler Mason 表示，受影响的 1.9 亿人中大多数已经收到“个别或替代通知”。Mason 在发送给 SCMedia 的声明中表示：“最终的数字将在稍后确认并提交给 HHS 的公民权益办公室。”同时他指出，Change Healthcare目前尚未发现因该事件导致个人信息被滥用，也未在数据分析中发现电子医疗记录数据库的出现。

尽管 UnitedHealthcare 表示这一事件不会造成严重后果，但在 1 月 24 日的最新更新中，CEO Brian Thompson 去年 12月在纽约市白天被枪杀，这使得该公司的声誉和安全问题受到更大关注。

随著 Change Healthcare 勒索病毒攻击的消息在 2024 年 2 月首次传出后，媒体报导说，尤其是 Medicaid患者的药房无法填写处方。UnitedHealth 的 在 5 月的参议院听证会上就此事件作证，告诉参议员公司将为受影响的患者提供信用监控服务。然而，俄勒冈州参议员 Ron Wyden 回应称：“信用监控对数据泄露而言就像是‘思念与祈祷’，这绝对不够有效。”

Pathlock 的首席执行官 Piyush Pandey指出，这一事件显示出涉及敏感数据的数据泄露（如患者的健康保险信息、医疗记录、帐单和支付信息及敏感个人信息）可以带来深远的影响。虽然 HIPAA并不严格要求医疗组织强制执行多重身份验证（MFA），但 Pandey 表示 Change Healthcare 勒索病毒攻击清楚地显示缺乏 MFA会大大增加风险，并可能导致灾难性后果。

“立法者应引入更严格的合规要求，不仅要求 MFA，还应要求组织投资于主动监控谁有权访问什么的流程，并实施持续的访问控制监控，以防止此类攻击在整个组织中蔓延。”Pandey 说。

Keeper Security 的联合创始人兼首席执行官 Darren Guccione 表示，受到 Change Healthcare 勒索病毒攻击影响的 1.9 亿人的数据是一个明确的提醒，让我们认识到现代网络威胁的严重性。Guccione 乐观地指出，这次更新强调了调查此类事件的复杂性和持续性。

“被盗的敏感个人和医疗数据的惊人数量强调了在医疗行业中加强网络安全措施的迫切需求。”Guccione 说，“评估这样规模的攻击的真实影响往往需要几个月甚至几年，因为组织需要揭示数据曝光的全貌，验证泄露报告的准确