ملخص
- مؤكد:استخدم المجرمون بيانات اعتماد مخترقة للدخول إلى بوابة Citrix قديمة لـ Change Healthcare في 12 فبراير 2024. لم تكن البوابة مزودة بالمصادقة متعددة العوامل على الرغم من أن سياسات UnitedHealth Group و Change Healthcare تطلبها للتطبيقات الخارجية. قام المتسللون لاحقًا بتصعيد الامتيازات، ووصلوا إلى Active Directory، وسربوا معلومات صحية محمية، ونشروا برامج الفدية عبر أنظمة Windows و ESXi.
- مؤكد:اكتشفت UnitedHealth Group الحادث عند نشر برامج الفدية في 21 فبراير وقطعت اتصال Change Healthcare بسرعة. ساعد قرار الاحتواء هذا في الحد من التلوث، لكنه أزال أيضًا وظائف المطالبات والصيدليات والأهلية والترخيص والدفع التي اعتمد عليها جزء كبير من النظام الصحي الأمريكي.
- تقييم:كان التحكم المفقود في الهوية هو فشل الدخول الذي يمكن منعه. كان الاضطراب الوطني فشلاً منفصلاً في الاستمرارية: الكثير من الاعتماد التشغيلي كان يقع خلف منشأة مقاصة واحدة دون بدائل مختبرة وجاهزة للاستخدام على مستوى المعاملات والدافعين ومقدمي الخدمات والبرامج العامة.
- المساءلة:يجب أن تتبع المسؤولية السيطرة العملية. المجرمون سيطروا على الهجوم؛ UnitedHealth Group و Change Healthcare سيطرتا على مسار الوصول المكشوف، والتكامل الأمني بعد الاستحواذ، وهندسة الامتيازات، وبيئة البيانات، وعملية الاستعادة، وتصميم استمرارية العملاء. يتحكم الدافعون ومقدمو الخدمات والمنظمون والبرامج العامة في أجزاء أضيق من المرونة النهائية. هذه الأدوار تتداخل ولكنها ليست قابلة للتبادل.
كان الحدث أكبر من مجرد انقطاع
تقف Change Healthcare بين العمل الطبي والدفع الطبي. إنها تنقل وتحرر المطالبات، وتتحقق من الأهلية، وتدعم التصريح المسبق، وتوجه معاملات الصيدليات، وتحمل معلومات الدفع بين مقدمي الخدمات والدافعين. عندما توقفت هذه الوظائف في 21 فبراير 2024، لم يتوقف تقديم الرعاية بشكل موحد. بدلاً من ذلك، أصبحت الآلية الإدارية التي تخبر الصيدلية ما إذا كانت الوصفة مغطاة، وتخبر العيادة أين ترسل المطالبة، وتخبر مقدم الخدمة متى سيصل الدفع غير موثوقة أو غير متاحة.
هذا التمييز مهم. يمكن للمستشفى الاستمرار في علاج المريض بينما يكون اتصال المطالبات معطلاً، لكن يجب عليه تمويل العلاج والاحتفاظ بالأدلة الكافية للفوترة لاحقًا وقبول مخاطر عدم تخفيف قواعد التصريح أو التقديم في الوقت المناسب. يمكن للصيدلية صرف الدواء على افتراض حسن النية، لكنها تتحمل مؤقتًا مخاطر التغطية والدفع المشترك للمريض. يمكن لعيادة الطبيب الصغيرة الاستمرار في رؤية المرضى، لكن كشوف المرتبات ومشتريات الإمدادات لا تزال تعتمد على وصول النقد من الرعاية المقدمة سابقًا. لذلك انتقل الاضطراب من التكنولوجيا إلى رأس المال العامل والعمالة والمخزون وقرارات الوصول.
لم يكن النطاق ادعاءً مجردًا بعد الحدث. قبل الهجوم، وصفت الجمعية الأمريكية للمستشفيات Change Healthcare بأنها تعالج 15 مليار معاملة رعاية صحية سنويًا وتلمس ثلث سجلات المرضى. في استطلاعها لشهر مارس 2024، وجدت الجمعية أيضًا أن 67 بالمائة من المستشفيات المستجيبة اعتبرت التحول إلى منشآت مقاصة أخرى صعبًا أو صعبًا جدًا. هذه الأرقام جاءت من جمعية صناعية مهتمة ولا ينبغي الخلط بينها وبين نتائج السوق من جهة تنظيمية، لكنها تتسق مع ما حدث عندما أصبحت المنصة معتمة: كانت هناك حلول بديلة، لكن العديد منها كانت بطيئة أو يدوية أو غير كاملة أو غير متاحة في اللحظة التي كانت مطلوبة فيها. (مسح الجمعية الأمريكية للمستشفيات)
تعامل القطاع العام مع الاضطراب كمشكلة استمرارية، وليس مجرد نزاع مع بائع خاص. قالت وزارة الصحة والخدمات الإنسانية إن الحادث هدد رعاية المرضى الحيوية والعمليات الصحية الأساسية. أنشأت مراكز الرعاية الطبية والخدمات الطبية مدفوعات معجلة ومقدمة لمقدمي الخدمات والموردين المتضررين من Medicare، مع تقديم مرونة Medicaid للحفاظ على تدفق الأموال وتجنب مشاكل الملاءة المالية لمقدمي الخدمات. (رسالة مكتب الحقوق المدنية في HHS;ورقة حقائق الدفع المعجل من CMS;بيان CMS بشأن Medicaid)
هذه هي حقيقة المساءلة المركزية. الشبكة المخترقة كانت مملوكة لشركة. الوظيفة المتقطعة أصبحت بنية تحتية لآلاف المنظمات وبرامج عامة متعددة. الحدود الخاصة للملكية لم تحتوِ العواقب العامة.
جدول زمني مع حدود الثقة
التسلسل الآن موثق بشكل غير معتاد لأن UnitedHealth Group أجابت على أسئلة مفصلة بعد جلسات الاستماع في الكونغرس. إعادة البناء التالية تفصل ما أكدته الشركة عما يبقى تقييمًا.
3 أكتوبر 2022، مؤكد:أكملت Optum اندماجها مع Change Healthcare. لذلك كانت UnitedHealth Group تملك الشركة لمدة ستة عشر شهرًا تقريبًا عندما بدأ الاقتحام. (إعلان إتمام UnitedHealth Group)
12 فبراير 2024، مؤكد:استخدم المجرمون بيانات اعتماد مخترقة للوصول عن بُعد إلى بوابة Citrix لـ Change Healthcare. Citrix في هذا الحساب كان تطبيق الوصول عن بُعد، وليس ثغرة أمنية في البرنامج. قالت UnitedHealth Group لاحقًا إن الخادم كان نظامًا قديمًا لـ Change Healthcare، ولم يتم تمكين المصادقة متعددة العوامل عليه، وكان لا يزال قيد النقل إلى معايير أمان UnitedHealth Group. كما قالت الشركة إن سياسات كلتا المنظمتين تتطلب MFA على التطبيقات الخارجية. (ردود UnitedHealth Group على لجنة المالية في مجلس الشيوخ)
بعد الدخول الأولي، مؤكد جزئيًا:استخدم المهاجم تقنيات تصعيد الامتيازات ووصل إلى خادم Active Directory لـ Change Healthcare. أكدت UnitedHealth Group أن برامج الفدية اللاحقة أثرت على أنظمة Windows و ESXi. السجل العام لا يكشف المسار الكامل بين تسجيل الدخول إلى Citrix وتصعيد الامتيازات واختراق الدليل وتجميع البيانات والوصول إلى برنامج hypervisor والتشفير. لذلك يدعم استنتاجًا أن حدود الهوية والامتيازات تم تجاوزها، لكنه لا يدعم رسمًا بيانيًا كاملاً للشبكة الداخلية.
17 فبراير حتى 20 فبراير، مؤكد:قام المهاجم بسحب معلومات صحية محمية. إشعار خرق بيانات Change Healthcare قال لاحقًا إن الشركة أكدت في 7 مارس أن كمية كبيرة من البيانات غادرت البيئة خلال هذه الفترة. نفس الإشعار قال إن Change حصلت على مجموعة بيانات آمنة للتحقيق في 13 مارس. (إشعار خرق Change Healthcare)
21 فبراير، مؤكد:نشر مهاجم برامج فدية قامت بتشفير العديد من الأنظمة عبر بيئة Change Healthcare. قالت UnitedHealth Group إنها اكتشفت برامج الفدية في ذلك اليوم وقطعت بسرعة الاتصال بأنظمة Change للحد من التلوث الإضافي. أصبحت وظائف الصيدليات والمطالبات والأهلية والدفع وما يتصل بها غير متاحة أو متدهورة. وصف الإبلاغ الأولي للشركة في Form 8-K جهة مرتبطة بدولة مشتبه بها؛ تعديل 8 مارس أشار بدلاً من ذلك إلى جهات تهديد إجرامية وركز على أنظمة Change المتضررة. هذا التنقيح هو تحذير مفيد ضد التعامل مع لغة الإسناد في اليوم الأول كاستنتاج جنائي ثابت. (Form 8-K 22 فبراير;Form 8-K/A 8 مارس)
22 فبراير فصاعدًا، مؤكد:أبلغت UnitedHealth Group العملاء ووكالات إنفاذ القانون والوكالات الحكومية. في إجاباتها الكونغرسية لاحقًا، قالت إن الاتصال بـ HHS حدث في موعد أقصاه 22 فبراير. أكدت الشركة أن الحادث لم ينتشر خارج Change Healthcare. هذه نتيجة احتواء مهمة، على الرغم من أنها لا تقلل من التأثير داخل ممتلكات Change.
27 فبراير، استجابة القطاع:أصدرت CISA و FBI و HHS تحذيرًا محدثًا حول نشاط ALPHV/BlackCat بعد ملاحظة أن المجموعة شجعت الشركات التابعة على استهداف مؤسسات الرعاية الصحية. أنشأ التحذير السياق التشغيلي للمجموعة، وليس إدانة جنائية تحدد التابع الفردي المسؤول عن Change Healthcare. السجل الأكثر مباشرة الخاص بالحادث هو بيان UnitedHealth Group اللاحق بأن المسؤولية تمت المطالبة بها من قبل ALPHV/BlackCat بالعمل مع تابع. قبل هذا الحادث، وصفت وزارة العدل ALPHV/BlackCat كعملية برامج فدية كخدمة استهدفت أكثر من 1000 ضحية. (وصف وزارة العدل لـ ALPHV/BlackCat)
1 مارس، مؤكد:أطلقت Optum برنامج تمويل مؤقت لمقدمي الخدمات الذين تمت معالجة مدفوعاتهم عبر Change Healthcare. كان هذا جسرًا، وليس تعويضًا عن جميع خسائر الانقطاع. الأهلية والتسجيل وحسابات الدفع التاريخية والسداد والحاجة إلى إنشاء اتصالات دفع جديدة أثرت على مدى قابليته للاستخدام لكل مقدم خدمة.
7 مارس، مؤكد معلم استعادة:قالت UnitedHealth Group إن الوصفات الإلكترونية كانت تعمل وأن تقديم مطالبات الصيدليات ونقل الدفع كان متاحًا. توقعت أن تصبح وظيفة الدفع الإلكتروني متاحة للاتصال اعتبارًا من 15 مارس وأن يبدأ اختبار مطالب الرعاية الطبية وإعادة الاتصال في 18 مارس. كلمة "اتصال" مهمة: توفر خدمة مركزية لا يعني أن كل عميل أكمل إعادة الاتصال التقني والتشغيلي. (تحديث UnitedHealth Group 7 مارس)
9 مارس و15 مارس، مؤكد تدخل عام:جعلت CMS ما يصل إلى ثلاثين يومًا من مدفوعات Medicare المعجلة أو المقدمة متاحة لمقدمي الخدمات والموردين المؤهلين، مع السداد من خلال استرداد المطالبات. حددت CMS بشكل منفصل مسارات للولايات لإجراء مدفوعات Medicaid مؤقتة بموجب شروط محددة. تظهر هذه البرامج أن مسار الدفع العادي قد فشل بشكل خطير بما يكفي ليتطلب بدائل نقدية عامة. لا تظهر أن كل مقدم خدمة متضرر كان مؤهلاً لهذه البدائل أو حصل عليها أو وجدها كافية.
15 مارس و18 مارس، مؤكد معالم استعادة:قالت UnitedHealth Group إنها استعادت منصة المدفوعات الإلكترونية في 15 مارس وكانت تنفذ الدافعين. في 18 مارس، بدأت إصدار برنامج إعداد مطالب الرعاية الطبية وقالت إنها قدمت أكثر من 2 مليار دولار لمقدمي الخدمات. كما أبلغت عن استعادة 99 بالمائة من خدمات شبكة الصيدليات. مرة أخرى، كانت هذه مقاييس منصة وشبكة، وليست دليلاً على أن كل خدمة صيدلية أو برنامج دفع مشترك أو سير عمل مقدم الخدمة أو مسار دافع أو تراكم قد عاد إلى طبيعته. (تحديث UnitedHealth Group 18 مارس)
10 أبريل، أدلة لاحقة:استطلاع ملاءمة أجرته الجمعية الطبية الأمريكية من 26 مارس إلى 3 أبريل وجد اضطرابًا مستمرًا بين أكثر من 1400 مستجيب، معظمهم من عيادات بها عشرة أطباء أو أقل. ستة وثلاثون بالمائة أبلغوا عن تعليق مدفوعات المطالبات، 32 بالمائة لم يتمكنوا من تقديم المطالبات، و22 بالمائة لم يتمكنوا من التحقق من المزايا. لم تكن هذه عينة وطنية عشوائية، لذا لا ينبغي تعميم نسبها على كل عيادة أمريكية. ومع ذلك، فهي دليل مباشر على أن مجموعة مادية من العيادات الصغيرة ظلت متضررة بعد إعلانات الاستعادة المركزية. (إصدار استطلاع الجمعية الطبية الأمريكية)
22 أبريل، مؤكد تعافي جزئي وتحذير بيانات:قالت UnitedHealth Group إن خدمات الصيدليات كانت قريبة من الطبيعي، وكانت المطالبات الطبية تتدفق بمستويات قريبة من الطبيعي عبر النظام الصحي، ووصلت معالجة مدفوعات Change إلى حوالي 86 بالمائة من مستواها قبل الحادث، وتمت استعادة حوالي 80 بالمائة من وظائف Change على المنصات والمنتجات الرئيسية. كما كشفت أن العينات الأولية وجدت ملفات تحتوي على معلومات صحية محمية أو معلومات تعريف شخصية يمكن أن تغطي نسبة كبيرة من الناس في الولايات المتحدة. (تحديث UnitedHealth Group 22 أبريل)
1 مايو وسجل كونغرسي لاحق، مؤكد:أدلى الرئيس التنفيذي Andrew Witty بشهادته أمام لجان مجلس النواب والشيوخ. أكدت UnitedHealth Group لاحقًا في إجاباتها الكتابية أنها دفعت فدية قدرها 22 مليون دولار المطلوبة بعملة Bitcoin. نسبت الشركة الهجوم إلى ALPHV/BlackCat بالعمل مع تابع، لكن السجل العام لا يحدد فردًا مدانًا مسؤولاً عن هذا الاقتحام. الدفع مؤكد؛ أي وعد من المجرمين بحذف البيانات، وتوزيع الدفع بين التابع وخدمة برامج الفدية، والمصير النهائي للمواد المسروقة تبقى خارج التحقق العام الموثوق. (سجل جلسة لجنة المالية في مجلس الشيوخ)
20 يونيو فصاعدًا، مؤكد عملية الإخطار:بدأت Change Healthcare إخطار العملاء المتضررين على أساس مستمر ونشرت إشعارًا بديلاً. أرسلت إخطارات فردية حيث كان لديها عناوين كافية وحيث فوض العملاء الإخطار. استمرت العملية مع حل إسناد العملاء وتعليماتهم. في 19 يوليو، قدمت Change تقرير خرق إلى مكتب الحقوق المدنية في HHS. (أسئلة شائعة من HHS حول حادث Change Healthcare)
31 ديسمبر 2024، سجل مالي:قال التقرير السنوي لـ UnitedHealth Group إنها قدمت أكثر من 9 مليار دولار كقروض بدون فائدة لمقدمي الرعاية. أبلغت عن 2.2 مليار دولار في تكاليف الاستجابة المباشرة وحوالي 867 مليون دولار في آثار تعطل أعمال Optum Insight لعام 2024. قدرت الشركة أن حوالي 190 مليون شخص تأثروا وحذرت من مخاطر التقاضي والتنظيم والسمعة والبيانات المستمرة. تم تحديث بوابة خرق HHS لاحقًا لإدراج 192.7 مليون فرد متأثر. لذلك ينبغي قراءة رقم 190 مليون للشركة كتقدير نهاية العام، وليس العدد النهائي للبوابة. (Form 10-K لـ UnitedHealth Group 2024;بوابة خرق HHS)
المحفز والسبب الجذري والظروف المساهمة
غالبًا ما يدمج تحليل برامج الفدية عدة أسئلة في عبارة "السبب". هذا ينتج مساءلة ضعيفة لأن الحدث كان له أكثر من طبقة سببية.
المحفز: نشر برامج الفدية
المحفز التشغيلي المباشر كان نشر برامج الفدية في 21 فبراير عبر العديد من أنظمة Change Healthcare. التشفير جعل الأنظمة غير متاحة وأجبر على قرار احتواء. يتحمل المجرمون المسؤولية المباشرة عن الوصول غير المصرح به وسرقة البيانات والابتزاز وتعطيل الخدمة.
المحفز ليس السبب الجذري. برامج الفدية كانت الحمولة المستخدمة بعد أن كان المهاجم موجودًا بالفعل لمدة تسعة أيام، وصعد الامتيازات، ووصل إلى خادم الدليل، وأزال البيانات. خطة التعافي التي تركز فقط على فك تشفير الآلات أو إعادة بنائها ستغفل الضوابط التي كان يجب أن تمنع المهاجم من الوصول إلى هذا الموقف.
السبب الجذري الممكن المؤكد: شرط هوية غير مفعل
فشل التحكم الوقائي الأوضح لم يكن دقيقًا. بيانات الاعتماد المخترقة عملت ضد خدمة وصول عن بعد خارجية تفتقر إلى MFA. قالت UnitedHealth Group إن سياستها الخاصة وسياسة Change Healthcare كانتا تتطلبان MFA على التطبيقات الخارجية. كما قالت إن الخادم القديم لم يتم رفعه بعد إلى معايير UnitedHealth Group بعد الاستحواذ في 2022.
هذا يجعل "سرقة بيانات الاعتماد" تفسيرًا غير مكتمل. بيانات الاعتماد تُسرق بشكل روتيني. MFA موجودة لأن كلمة المرور لا ينبغي أن تكون دليلاً كافيًا للدخول عن بُعد إلى بيئة حساسة. هنا، كان التحكم مطلوبًا على الورق لكنه غائب في التشغيل. سياسة بدون تغطية كاملة للأصول، أو استثناء خاضع للمساءلة، أو موعد نهائي، أو ضوابط تعويضية، أو تحقق ليست سيطرة منفذة.
سياق ما بعد الاستحواذ يوضح، لكنه لا يحسم تلقائيًا، سؤال الحوكمة. ستة عشر شهرًا قد مرت بين الاندماج المكتمل والوصول الأولي. منالمؤكدأن هذا الخادم ظل دون معيار الشركة الأم. منالمحتملأن حوكمة تكامل الاستحواذ ساهمت لأن الشركة نفسها وصفت الأصل بأنه قديم ولا يزال في مرحلة انتقالية. منغير المعروفمن الأدلة العامة من كان يملك الموعد النهائي للهجرة، وما إذا كان قد تم منح استثناء رسمي، وما هو تصنيف المخاطر الذي حمله البوابة، وما إذا كانت الإدارة العليا أو مجلس الإدارة قد أُبلغوا بأن مسارًا مواجهًا للإنترنت إلى ممتلكات مقاصة حرجة ظل بدون MFA.
فشل الامتياز المؤكد، أدلة معمارية غير كاملة
أكدت UnitedHealth Group تصعيد الامتيازات والوصول إلى Active Directory. كما أكدت تشفير أنظمة Windows و ESXi. تظهر هذه الحقائق أن موطئ القدم الأولي لم يظل محصورًا في جلسة وصول عن بُعد واحدة. حصل المهاجم على سلطة ومدى كافيين للتأثير على بنية الهوية وأحمال الخوادم وبنية المحاكاة الافتراضية.
من المعقول استنتاج أن حدود الامتياز وضوابط نصف قطر الانفجار لم توقف الهجوم في الوقت المناسب. ليس من المعقول التأكيد، من السجل العام وحده، أن شبكة Change بأكملها كانت مسطحة أو أن جهاز تجزئة معين فشل. الرسوم البيانية للشبكة وقوائم التحكم في الوصول وهندسة طبقات الدليل ومسارات حسابات الخدمة وسجلات الإدارة ومسارات إدارة برنامج hypervisor ليست عامة. النتيجة القابلة للدفاع أضيق: مهما كانت التجزئة وضوابط الوصول المميز موجودة، لم تمنع التصعيد الموثق والتأثير متعدد المنصات قبل 21 فبراير.
ظرف مساهم: تركيز البيانات دون انقطاع مثبت للاستخراج
قام المهاجم بسحب البيانات بين 17 و20 فبراير. أبلغت Change Healthcare لاحقًا عن خرق أثر على عدد غير عادي من الناس. يمكن أن تشمل الفئات المكشوفة تفاصيل الاتصال وبيانات التأمين الصحي والتشخيصات والأدوية ونتائج الاختبارات ومعلومات الرعاية ومعلومات الفوترة وأرقام المطالبات، وبالنسبة لبعض الأشخاص، معرفات إضافية. قالت الشركة إن المزيج اختلف حسب الشخص وأن أرقام الضمان الاجتماعي لم تتأثر للأغلبية.
السجل يؤكد الاستخراج. لا يكشف الحجم الإجمالي المنقول أو طريقة التجميع أو قناة الخروج أو التنبيهات المنتجة أو ما إذا تم التحقيق في أي تنبيه قبل ظهور برامج الفدية. فشل مساهممحتملهو عدم فعالية اكتشاف أو مقاطعة الوصول غير الطبيعي والحركة الخارجية.ممكنمساهم إضافي هو الاحتفاظ المفرط أو التقسيم غير الكافي للبيانات المتعلقة بالمطالبات، لكن الأدلة العامة لا تحدد مقدار البيانات المتضررة كانت ضرورية قانونيًا أو تشغيليًا في وقت الاختراق. استنتاجات تقليل البيانات تتطلب جداول احتفاظ وأدلة على مستوى مجموعات البيانات غير متوفرة للعامة.
ظرف مساهم: تركيز المعاملات واحتكاك التحول
الهجوم اخترق مشغلًا واحدًا؛ الانقطاع انتشر عبر نظام بيئي. دور Change الكبير في معاملات المطالبات والصيدليات خلق اعتمادًا مشتركًا. كانت وزارة العدل قد وصفت غرفة مقاصة EDI لـ Change بأنها تنقل معلومات المطالبات والدفع بين شركات التأمين ومقدمي الخدمات عندما اعترضت على استحواذ UnitedHealth Group في 2022. تلك القضية المناهضة للاحتكار كانت تتعلق بالمنافسة والوصول إلى البيانات، وليس المرونة السيبرانية، وقد سمحت المحكمة بالاندماج. سيكون من الخطأ إعادة صياغة شكوى الحكومة كنتيجة قضائية بأن الاندماج تسبب في الهجوم. لا يزال دليلاً ذا صلة بأن غرفة المقاصة احتلت موقع معاملات مركزي قبل الحادث. (تحدي وزارة العدل للاندماج)
التركيز وحده لا يسبب برامج الفدية. يضخم العواقب عندما تفشل الوقاية والتعافي. البديل الصحيح ليس مجرد "شركة أصغر، لا هجوم". إنه نظام يمكن فيه عزل غرفة مقاصة مخترقة بينما يعيد العملاء توجيه فئات المعاملات الحرجة بسرعة عبر بدائل مختبرة، مع قبول الدافعين وبيانات الاعتماد والتعيينات وقواعد التسوية والدعم الموجودة مسبقًا.
استطلاع AHA يشير إلى أن هذا البديل لم يكن موجودًا للعديد من المستشفيات. معظم المستجيبين استخدموا حلولاً بديلة، لكن 81 بالمائة وصفوها بأنها ناجحة إلى حد ما و11 بالمائة أخرى غير ناجحة. عنق الزجاجة التشغيلي لم يكن دائمًا عدم وجود غرفة مقاصة منافسة. المسار البديل يتطلب أيضًا عقودًا وواجهات واختبارًا وتسجيل دافع وتكوين ملفات ومعرفة الموظفين وطريقة لتسوية المعاملات المتراكمة أثناء الانقطاع.
الكشف: بدأ الاحتواء بعد إنجاز العمل الضار
الجدول الزمني العام يحدد فاصلًا زمنيًا مدته تسعة أيام بين أول وصول عن بُعد في 12 فبراير ونشر برامج الفدية في 21 فبراير. خلال هذه الفترة، صعد المهاجم الامتيازات وسحب معلومات صحية محمية. قالت UnitedHealth Group إنها اكتشفت برامج الفدية في 21 فبراير. لم تظهر للعامة أنها اكتشفت واحتوت استخدام بيانات الاعتماد السابق أو تصعيد الامتيازات أو الوصول إلى الدليل أو حركة البيانات قبل بدء التشفير.
هذهفجوة كشف مؤكدة في النتيجة، لكن السبب الداخلي يبقىغير معروف. عدة احتمالات تناسب الحقائق المعروفة: القياسات عن بعد ذات الصلة لم تكن موجودة؛ كانت موجودة لكنها لم تغطي البيئة القديمة؛ تم إنشاء تنبيهات لكنها صنفت منخفضة جدًا؛ كان المحللون يفتقرون إلى السياق؛ الأفعال الضارة تشبه الإدارة المشروعة؛ أو رأى المحققون إشارات لكنهم لم يتمكنوا من إثبات الاقتحام في الوقت المناسب. السجل العام لا يميز بينها.
هذه الحدود مهمة للمساءلة العملية. قول "راقب بشكل أفضل" ليس تحكمًا. الأسئلة القابلة للاختبار هي ما إذا كان كل حدث وصول عن بُعد وصل إلى التحليلات المركزية؛ وما إذا كان تسجيل الدخول باستخدام حساب مخترق اختلف بالجهاز أو الجغرافيا أو الوقت أو السلوك؛ وما إذا كان تصعيد الامتيازات والوصول إلى الدليل يولدان إشارات عالية الأولوية؛ وما إذا كانت حسابات الخدمة وإدارة الهايبرفايزر مراقبة؛ وما إذا كانت عمليات نقل البيانات الكبيرة أو غير العادية قد تم حظرها أو التحقيق فيها؛ وما إذا كانت البيئة المكتسبة تتمتع بتغطية كشف مساوية للبيئة الأم.
الحادث يكشف أيضًا مشكلة مقياس. أخبرت UnitedHealth Group الكونغرس أن لديها أكثر من 1300 شخص في برنامج أمن المعلومات الخاص بها، وتستثمر حوالي 300 مليون دولار سنويًا، وتحبط محاولات الاقتحام بوتيرة عالية. هذه الأرقام تصف الحجم والنشاط. لا تثبت أن مسار وصول حاسم معين كان مغطى. المساءلة الأمنية تعتمد على الميزانية الإجمالية أقل مما تعتمد على ما إذا كان التحكم الإلزامي حاضرًا على كل طريق هام وما إذا كانت الانحرافات مرئية لشخص مخول بإغلاقها.
الاستجابة: احتواء حاسم، اعتماد مدمر
يبدو أن أول إجراء استجابة رئيسي لـ UnitedHealth Group كان سريعًا وقابلًا للدفاع. قطعت الاتصال بأنظمة Change Healthcare بعد اكتشاف برامج الفدية. هذا الإجراء قلل من فرصة التلوث الإضافي، ووفقًا للشركة، منع انتشار الحادث إلى أنظمة UnitedHealth Group الأخرى. لذلك لا ينبغي وصف الاستجابة بأنها غير فعالة بشكل موحد.
لكن الاحتواء الناجح على حدود المؤسسة أنتج خسارة خدمة شديدة على حدود النظام البيئي. هذا ليس تناقضًا. إنها السمة المميزة لوسيط حاسم: فصله قد يحمي الأطراف المتصلة من البرامج الضارة بينما يحرمهم في الوقت نفسه من الخدمة المطلوبة للتشغيل.
كان على الشركة أن تختار تحت عدم اليقين. إبقاء الأنظمة المشبوهة متصلة قد يمكن من المزيد من التشفير أو سرقة البيانات أو الحركة الجانبية. إيقافها عن العمل يعني أن الصيدليات ومقدمي الخدمات فقدوا مسارات المعاملات الموثوقة. العزلة كانت الإجراء الحكيم الفوري. سؤال المساءلة هو ما إذا كانت الشركة وعملاؤها قد استعدوا للعواقب الخدمية المتوقعة لهذا الإجراء.
الأدلة من الصيدليات المستقلة تظهر الفجوة. في 28 فبراير، أفادت الجمعية الوطنية لصيادلة المجتمع أن UnitedHealth Group قالت إن 90 بالمائة من حوالي 70,000 صيدلية في البلاد اضطرت لتعديل معالجة المطالبات. فرق الصيدليات حولت حركة المرور حيث كان لديها العديد من بائعي التحويل أو استخدمت عمليات غير متصلة حيث لم يكن لديها. هذه الإجراءات نقلت عدم اليقين في التغطية والدفع إلى الصيدلية. بعضها لم يستطع معالجة بطاقات الدفع المشترك للشركة المصنعة، وبعض المرضى واجهوا خيارًا بين دفع المزيد أو الانتظار أو التخلي عن الوصفة. (حساب NCPA 28 فبراير)
في 1 مارس، قالت أربع جمعيات صيدلانية إن بعض الصيدليات لم تستطع معالجة مطالبات الوصفات، وبعضها مضى أسبوع دون استلام وصفات إلكترونية، والكثير لم يستطع معالجة بطاقات الدفع المشترك لمساعدة المرضى. كانت أدلتهم مواد مناصرة، وليس مسحًا مضبوطًا، لكنها وصفت فشل معاملات محدد وتوزيع المخاطر الناتج عن الصرف دون اتصال. (بيان مشترك لجمعيات الصيدليات)
اتخذت UnitedHealth Group عدة إجراءات لتقليل أثر الرعاية. قالت إن Optum Rx ستعوض مطالبات الصيدليات المناسبة المملوءة بحسن نية. علقت UnitedHealthcare مؤقتًا التصريح المسبق لمعظم خدمات Medicare Advantage الخارجية، مع استثناءات مذكورة، وعلقت بعض مراجعة استخدام المرضى الداخليين وعمليات استثناء نموذج الجزء D من Medicare. عرضت تمويلًا مؤقتًا لمقدمي الخدمات ووسعته لاحقًا. كانت هذه إجراءات استجابة جوهرية.
كانت أيضًا أضيق من شبكة الاعتماد. لم تتحكم UnitedHealth Group في كل دافع أو برنامج حكومي أو مدير منافع صيدلية أو عقد مقدم خدمة يستخدم بنية Change التحتية. لذلك حثت HHS و CMS دافعين آخرين على تخفيف إدارة الاستخدام وقواعد التقديم في الوقت المناسب، وتقديم تمويل مقدم، وتنفيذ خطط استمرارية الأعمال. هذا يوضح مسؤولية موزعة: Change سيطرت على استعادة المنصة، لكن استمرارية المصب تعتمد أيضًا على قرارات الدافعين ومرونة البرامج العامة.
التعافي كان تسلسلاً، وليس مفتاحًا
عبارة "الخدمة المستعادة" أخفت عدة حالات مختلفة. يمكن لمنصة مركزية أن تكون متاحة تقنيًا بينما دافع معين غير متصل. يمكن أن يكون اتصال الدافع نشطًا بينما مسار تقديم مقدم الخدمة لا يزال غير مهيأ. يمكن إرسال المطالبة بينما وظائف الدفع والإشعار والأهلية والمرفقات والتسوية لا تزال غير متاحة. يمكن لمحول الصيدلية معالجة معظم المطالبات بينما كوبونات الشركة المصنعة أو فوترة Medicare الجزء B تبقى متضررة.
لذلك يُقرأ سجل الاستعادة بشكل أفضل وظيفة بوظيفة.
توجيه الصيدليات تعافى أولاً.بحلول 7 مارس، قالت UnitedHealth Group إن الوصفات الإلكترونية وأنظمة مطالبات الصيدليات الرئيسية كانت تعمل. بحلول 18 مارس، أبلغت عن استعادة 99 بالمائة من خدمات شبكة الصيدليات. كان ذلك تقليلاً كبيرًا لمخاطر وصول المرضى الفورية. لم يعني ذلك أن كل منتج صيدلية قد تعافى. أبلغت NCPA في 19 مارس أن MedRx، المستخدمة من قبل العديد من الصيدليات لمطالبات Medicare الجزء B، لا يزال يفتقر إلى توقعات الاستعادة وأن المرضى استمروا في مواجهة مشاكل مع مساعدة الدفع المشترك للشركة المصنعة. في 29 مارس، قالت NCPA إن وظائف مطالبات MedRx عادت، بينما كانت فحوصات الأهلية لا تزال متوقعة في وقت لاحق وتراكم المدفوعات لا يزال ممكنًا. (تحديث NCPA 19 مارس;تحديث NCPA 29 مارس)
توفر الدفع الإلكتروني لم يساوي تعافيًا كاملاً للدفع.استعادت UnitedHealth Group منصة المدفوعات الإلكترونية في 15 مارس وبدأت تطبيقات الدافعين. بعد أكثر من خمسة أسابيع على الهجوم، وضع تحديث 22 أبريل معالجة مدفوعات Change عند حوالي 86 بالمائة من مستواها قبل الحادث. تأخر الدفع كان مهمًا لأن مقدمي الخدمات كانوا قد مولوا بالفعل الرعاية وكشوف المرتبات والأدوية والإمدادات أثناء الانقطاع.
استعادة المطالبات تطلبت إصدارات مرحلية وإعادة اتصال العملاء.بدأت Change إصدار برنامج إعداد مطالب الرعاية الطبية في 18 مارس، مع توقع مصادقات طرف ثالث قبل التشغيل. قالت UnitedHealth Group لاحقًا إن المطالبات عبر النظام الصحي كانت تتدفق بالقرب من الطبيعي مع عودة الأنظمة أو انتقال مقدمي الخدمات إلى طرق أخرى. هذا البيان الإجمالي لم يعني أن كل منتج من Change أو كل مقدم خدمة قد تعافى. الشركة نفسها اعترفت بمجموعة أصغر من مقدمي الخدمات الذين ظلوا متضررين.
إزالة التراكمات امتدت إلى ما بعد توفر المنصة.المعاملات المولدة أثناء الانقطاع كان يجب تقديمها وتصحيحها ومطابقتها ودفعها. قد تفشل المطالبات في قواعد التقديم في الوقت المناسب أو التصريح. التقديمات المكررة ومسارات غرف المقاصة الموازية يمكن أن تخلق عمل تسوية. الموظفون الذين قضوا أسابيع في حلول بديلة يدوية كان عليهم بعد ذلك معالجة المطالبات المتراكمة أثناء استئناف العمليات العادية. لهذا السبب يجب أن يشمل مقياس استعادة البنية التحتية عمر التراكم ومعدلات الرفض وإتمام الإشعار وإعادة اتصال العميل، وليس فقط وقت تشغيل المنصة.
استعادة البيانات وإخطار الضحايا تبعا تقويماً مختلفًا.أكدت الشركة سحب البيانات في 7 مارس، وحصلت على مجموعة بيانات قابلة للتحقيق في 13 مارس، وحذرت علنًا من تعرض واسع النطاق لـ PHI و PII في 22 أبريل، وبدأت إخطارات العملاء المتدحرجة في 20 يونيو، وأرسلت إخطارات فردية في وقت لاحق. كان لا بد من فك تجميع مجموعة البيانات وإسنادها إلى العملاء والأفراد والتنسيق مع الكيانات الخاضعة للتنظيم. هذا التعقيد يفسر جزءًا من المدة. لا يمحو عواقب الخصوصية لانتظار الناس أشهرًا لمعرفة ما إذا كانت بيانات معينة متورطة.
كان برنامج التعافي مكلفًا حتى بالنسبة لـ UnitedHealth Group. في Form 10-K لعام 2024، فصلت 2.2 مليار دولار في تكاليف الاستجابة المباشرة عن 867 مليون دولار في تقديرات آثار تعطل أعمال Optum Insight. كما أبلغت عن حوالي 640 مليون دولار في التكاليف الطبية المرتبطة بأنشطة إدارة الرعاية المعلقة مؤقتًا. لا ينبغي إضافة هذه الفئات بشكل عرضي إلى كل تقدير عام للخسارة الاجتماعية لأنها تصف تأثيرات محاسبية مختلفة للشركة، وخسائر مقدمي الخدمات أو النقد المؤجل ليست نفس مصروفات UnitedHealth Group.
ومع ذلك، فإنها تثبت أن الحادث ظل ماديًا اقتصاديًا حتى بعد أن أخبرت الشركة المستثمرين في البداية في 8 مارس أنها لم تحدد أن الحادث من المحتمل بشكل معقول أن يؤثر ماديًا على الوضع المالي أو نتائج التشغيل.
انتقل العبء إلى المستشفيات والعيادات الصغيرة والصيدليات
أقوى حالة للمساءلة ليست الحجم الرئيسي للخرق. إنه الاتجاه الذي انتقلت فيه المخاطر عندما فشلت الضوابط المركزية.
المستشفيات مولت الانقطاع
استطلعت AHA ما يقرب من 1000 مستشفى بين 9 و12 مارس. أربعة وتسعون بالمائة أبلغوا عن تأثير مالي، و82 بالمائة أبلغوا عن تأثيرات على التدفق النقدي، وأكثر من النصف وصفوا التأثير المالي بأنه كبير أو خطير. بين المستشفيات التي أبلغت عن تأثيرات على التدفق النقدي، وضع ما يقرب من 60 بالمائة تأثير الإيرادات عند مليون دولار يوميًا أو أكثر. أربعة وسبعون بالمائة أبلغوا عن تأثير مباشر على رعاية المرضى. ما يقرب من 40 بالمائة أبلغوا عن صعوبة للمرضى مرتبطة بتأخيرات في متطلبات الاستخدام مثل التصريح المسبق.
هذه النتائج لها حدود. AHA تمثل المستشفيات، عينة الاستجابة لم تكن بالضرورة ممثلة لكل مستشفى، والتأثير المبلغ عنه ليس خسارة مدققة بشكل مستقل. الأرقام لا تزال تثبت ثلاث آليات بثقة عالية: الإيرادات تأخرت، العمل الإداري زاد، وسير عمل الرعاية تأثر. المستشفيات ذات الاحتياطيات الأكبر يمكنها سد الفجوة. المؤسسات الأصغر أو الريفية أو المتوترة بالفعل كان لديها مجال أقل.
استجابة CMS تؤكد آلية النقد بشكل مستقل. سمحت الوكالة لمقدمي الخدمات والموردين المؤهلين بطلب ما يصل إلى ثلاثين يومًا من مدفوعات Medicare بناءً على متوسط فترة سابقة. كانت هذه السلف خاضعة للاسترداد. هذا منع فشل معاملة مؤقت من أن يصبح توقف تمويل فوري لبعض المنظمات، لكنه حول النقد المفقود الحالي إلى سلفة قابلة للسداد. أغلقت CMS لاحقًا البرنامج الخاص في 12 يوليو 2024 بعد ملاحظة أن مقدمي الخدمات يمكنهم إصدار فواتير Medicare بنجاح من خلال أنظمة معالجة المطالبات المتاحة. (إغلاق برنامج CMS)
التدخل العام يكشف أيضًا عن عدم تناسق في السياسة. كان من المتوقع أن يستمر مقدم الخدمات في تقديم الرعاية حتى عندما فشل خط الدفع الخاص. يمكن للبرامج العامة تقديم النقد، لكن دافعي الضرائب ومقدمي الخدمات تحملوا مؤقتًا مخاطر السيولة الناتجة عن حادث بنية تحتية خاصة. هذا لا يجعل المساعدة العامة غير مناسبة؛ الاستمرارية تطلبتها. يعني أن تكلفة ضعف مرونة المورد تم توزيعها خارج المورد ومساهميه.
عيادات الأطباء الصغيرة امتصت صدمات رأس المال العامل والعمالة
استطلاع AMA في أبريل يقدم أوضح دليل على المؤسسات الصغيرة والمتوسطة. ثمانون بالمائة من المستجيبين أبلغوا عن فقدان إيرادات من المطالبات غير المدفوعة. خمسة وثمانون بالمائة استخدموا وقتًا وموارد إضافية للموظفين لأعمال دورة الإيرادات. خمسة وخمسون بالمائة استخدموا أموالًا شخصية لنفقات العيادة، و44 بالمائة قالوا إنهم لا يستطيعون شراء الإمدادات، و31 بالمائة قالوا إنهم لا يستطيعون دفع كشوف المرتبات. 15 بالمائة فقط أبلغوا عن تقليل ساعات العمل، مما يشير إلى أن العديد من العيادات حاولت الحفاظ على الرعاية بامتصاص العبء المالي والعمالي في مكان آخر.
الاستطلاع كان عينة ملاءمة ولا يمكن أن ينتج تقدير خسارة وطني. تكوينه مع ذلك ذو صلة بالموضوع المسيطر عليه: 78 بالمائة من المستجيبين جاءوا من عيادات بها عشرة أطباء أو أقل. هذه المنظمات كانت لديها قدرة أقل على الحفاظ على علاقات متعددة مع غرف المقاصة، أو بناء واجهات طوارئ، أو تحمل أسابيع من المستحقات. بالنسبة لهم، استمرارية البائع لم تكن تجريدًا من تكنولوجيا المعلومات. كانت الفرق بين خدمة محجوزة ونقد متاح لدفع الموظفين.
التمويل لم يصل إلى جميع المستجيبين. قالت AMA إن 25 بالمائة أبلغوا عن مساعدة من UnitedHealth Group أو Optum، و12 بالمائة من CMS، و4.5 بالمائة من خطط صحية أخرى، و0.7 بالمائة من خطط Medicaid الولائية. الفئات قد تتداخل، والاستطلاع لم يحدد مقدار أو كفاية المساعدة. الأرقام تظهر أن التمويل الطارئ وصل إلى أقلية من العينة عبر كل قناة بينما بقيت الأموال الشخصية جسرًا شائعًا.
هنا يمكن أن تختلف لغة العقد عن الاعتماد التشغيلي. مقدم خدمة صغير قد يختار رسميًا بائع فوترة أو غرفة مقاصة، لكن خيارات التحويل الحقيقية تعتمد على تسجيل الدافع ودعم البرامج وتعيينات المعاملات وقدرة الموظفين. لا ينبغي للمساءلة أن تفترض أن المنظمة النهائية كانت لديها قدرة متساوية على منع أو تقصير الانقطاع لمجرد أنها وقعت عقد بائع.
الصيدليات المستقلة تحملت مخاطر وصول المرضى والتدقيق
واجهت الصيدليات قرارًا فوريًا على المنضدة. إذا كانت الأهلية أو تسوية المطالبات غير متاحة، يمكنها رفض أو تأخير الصرف، أو فرض النقد، أو التوجيه عبر بديل، أو تقديم الدواء بحسن نية وتقديمه لاحقًا. كل خيار نقل المخاطر إلى المريض أو الصيدلية.
الصيدليات المستقلة كانت لديها تعرض خاص لأنها تشتري المخزون قبل السداد وغالبًا ما تعمل بسيولة ضعيفة. الانقطاع أثر أيضًا على وظائف بطاقات الدفع المشترك والقسائم، لذا حتى عندما كان الدواء الأساسي متاحًا، قد لا تكون الآلية التي تقلل التكلفة من جيب المريض متاحة. في 1 مايو، أخبرت NCPA الكونغرس أن الصيدليات المستقلة استمرت في التعرض لاضطراب مالي وتشغيلي وطلبت من الخطط ومديري منافع الصيدليات تعليق عمليات التدقيق وحماية المطالبات المملوءة بحسن نية. NCPA هي مناصرة لأعضائها واستخدمت لغة قوية حول التكامل الرأسي؛ استنتاجات سياستها مواقف متنازع عليها. حسابها لفئات سير العمل المستمرة لا يزال دليل تأثير مفيد. (بيان NCPA 1 مايو)
تخفيف التدقيق كان جزءًا من الاستمرارية لأن السجلات المرتجلة يمكن أن تُحكم عليها لاحقًا بموجب قواعد التوثيق العادية. أبلغت NCPA أن Optum Rx خططت لاستبعاد المطالبات المملوءة أثناء الانقطاع من بعض عمليات التدقيق واستخدام معاملة مؤقتة لعدم التدقيق لبعض الصيدليات. هذا درس مهم: التعافي غير مكتمل إذا استعادت المنظمة خط المعاملات لكنها عاقبت الأطراف المقابلة لاحقًا على الانحرافات المعقولة التي اتخذت بينما كان ذلك الخط غير متاح.
يجب أن يظل الدفع والإسناد منفصلين
النقاش العام حول فدية 22 مليون دولار غالبًا ما يدمج ثلاثة ادعاءات: من هاجم، ومن تلقى المال، وما إذا تم حذف البيانات. الأدلة تدعم مستويات ثقة مختلفة لكل منها.
مؤكد:أخبرت UnitedHealth Group لجنة المالية في مجلس الشيوخ أنها دفعت فدية 22 مليون دولار المطلوبة بعملة Bitcoin. هذا دليل أقوى من تقارير blockchain وادعاءات المنتديات الإجرامية التي تداولت في مارس لأنه إجابة الشركة الدافعة المكتوبة للكونغرس.
مؤكد كإسناد للشركة، وليس إدانة جنائية:قالت UnitedHealth Group إن ALPHV/BlackCat، بالعمل مع تابع، ادعت المسؤولية. وصف وزارة العدل السابق لـ ALPHV كعملية برامج فدية كخدمة يشرح لماذا قد لا تكون العلامة التجارية والمهاجم المباشر نفس الجهة. يمكن للتابعين الحصول على الوصول ونشر برامج ضارة لمشغل الخدمة مقابل مشاركة عائدات الفدية.
محتمل:كان الدفع يهدف إلى تقليل مخاطر نشر البيانات ودعم التعافي من الابتزاز. قال Witty علنًا إنه اتخذ قرار الدفع. لم تنشر الشركة سجل مفاوضات كامل أو مراجعة عقوبات أو معاملة تأمين أو تقييم فك تشفير أو سجل قرارات.
غير معروف:ما إذا تم تدمير كل نسخة من البيانات المسروقة. الوعد الإجرامي غير قابل للتحقق تقنيًا بعد الاستخراج. ادعاءات الابتزاز اللاحقة من قبل جهات تستخدم أسماء أخرى لا يمكن التعامل معها كدليل على اقتحام مستقل ثان دون أدلة جنائية مؤكدة. ومع ذلك، فإنها تظهر لماذا لا يمكن لدفع الفدية أن يحل محل الإخطار والمراقبة وتدابير حماية الهوية طويلة الأجل.
متنازع عليه كسياسة:يجادل البعض بأن الدفع كان ضروريًا لحماية المرضى وتسريع التعافي؛ يجادل آخرون بأن دفع عملية برامج فدية يمول هجمات مستقبلية ولا يضمن الحذف. لا يمكن لهذه المقالة حل هذا البديل لأن الأدلة اللازمة لمقارنة التعافي مع الدفع وبدونه ليست عامة. الحد الأدنى للمساءلة أضيق: توثيق من أذن بالدفع، وما البدائل التي تم اختبارها، وما هي فحوصات إنفاذ القانون والعقوبات التي تم إكمالها، وما الفائدة التشغيلية المتوقعة، وما الأدلة التي أظهرت لاحقًا حدوث تلك الفائدة.
من سيطر على ماذا
يجب تخصيص المساءلة حسب القدرة قبل الحادث والسلطة خلاله والأدلة بعده.
المجرمون
سيطر المهاجمون على الوصول غير المصرح به وتصعيد الامتيازات والاستخراج والتشفير والابتزاز. سلوكهم كان المحرك الخبيث للحدث. لا ينبغي لأي تحليل لحوكمة الشركات أن يخفف من هذه المسؤولية.
Change Healthcare و UnitedHealth Group
سيطرت الشركتان على خدمة الوصول عن بُعد ونشر MFA وهندسة الهوية ودورة حياة الخادم والتكامل بعد الاستحواذ وتغطية الكشف وبيئة البيانات وهندسة التعافي واتصالات العملاء وبرنامج التمويل وتسلسل الاستعادة. سيطرت UnitedHealth Group أيضًا على قرار قطع الاتصال ودفع الفدية.
أقوى نتيجة مساءلة هي بالتالي مباشرة ومحدودة: خادم قديم مواجه للخارج بقي بدون تحكم مطلوب بالسياسة بعد حوالي ستة عشر شهرًا من الاستحواذ، واستخدم المجرمون بيانات اعتماد مخترقة ضده. لم تنشر الشركة دليلاً على استثناء مقبول أو ضوابط تعويضية أو سبب لعدم إمكانية إغلاق الحالة في وقت أقرب.
تستحق UnitedHealth Group الفضل في الاحتواء السريع وأعمال الاستعادة الواسعة والسلف التمويلية وتخفيف إدارة الاستخدام المؤقت وتولي الإخطار للعديد من العملاء. هذه الإجراءات قللت الضرر. لا تفي بأثر رجعي بالتحكم الوقائي المفقود أو تثبت أن إعداد الاستمرارية يتوافق مع الدور النظامي لغرفة المقاصة.
الدافعون ومديرو منافع الصيدليات
سيطر الدافعون على ما إذا كانوا سيخففون التصريح المسبق وقواعد التقديم في الوقت المناسب ومراجعة الاستخدام والتدقيق. كما سيطروا على ما إذا كانوا سيقدمون أموالاً بناءً على تاريخ المطالبات بينما المعاملات العادية غير متاحة. HHS و CMS حثت علنًا على اتخاذ إجراءات في هذه المجالات لأن استمرارية مقدم الخدمة اعتمدت عليها.
كان لـ UnitedHealth Group مسؤولية أوسع من الشركة الأم العادية لأن أعمال UnitedHealthcare و Optum الخاصة بها احتلت أدوار الدافع ومنافع الصيدليات والرعاية والتكنولوجيا. هذا الهيكل الرأسي خلق قدرة وصراعات. سمح للمجموعة بتعليق بعض المتطلبات وتمويل السلف بسرعة. كما يعني أن مقدمي الخدمات المتضررين يمكن أن يعتمدوا على عائلة شركة واحدة لكل من خدمة المعاملات الفاشلة وأجزاء من الإغاثة. هذا مصدر قلق حوكمة، وليس دليلاً على سلوك غير قانوني.
مقدمو الخدمات والصيدليات
سيطرت المنظمات النهائية على تخطيط استمرارية الأعمال المحلي ومخزون البائعين والاحتياطيات النقدية والإجراءات غير المتصلة وعلاقات غرف المقاصة أو المحولات البديلة وتدريب الموظفين. الأنظمة الأكبر ذات المسارات الثانوية المختبرة كانت لديها قدرة أكبر على إعادة التوجيه. المنظمات الأصغر كان لديها أقل.
مسؤوليتهم حقيقية لكنها محدودة. لا يمكن لمقدم الخدمة تمكين MFA على بوابة Change Healthcare، أو تجزئة دليل Change، أو كشف استخراج Change، أو استعادة منصة دفع Change. ولا يمكنه من جانب واحد جعل كل دافع يقبل مسار طوارئ. لذلك فإن التكرار المحلي هو سيطرة تعويضية، وليس نقلًا للمسؤولية الأساسية عن فشل المورد.
HHS و CMS والمنظمون القطاعيون
سيطرت الحكومة الفيدرالية على مرونة البرامج العامة والتنسيق القطاعي والتحقيق والبيئة التنظيمية الأساسية. بدأ مكتب الحقوق المدنية تحقيقات تركز على ما إذا كانت المعلومات الصحية المحمية غير المؤمنة قد تم اختراقها والامتثال لقواعد HIPAA. وجود تحقيق ليس نتيجة انتهاك.
أثار الحدث سؤالًا تنظيميًا أوسع: هل يجب أن تواجه غرفة مقاصة ذات نطاق معاملات وطني التزامات مرونة أقرب إلى تلك المفروضة على الوسطاء الحيويين الآخرين؟ أهداف أداء الأمن السيبراني للرعاية الصحية التابعة لـ HHS تحدد بالفعل ممارسات عالية التأثير مثل MFA وتخطيط الحوادث وإدارة الثغرات والتعافي المرن، لكن الأهداف توصف بأنها طوعية. (أهداف أداء الأمن السيبراني للرعاية الصحية التابعة لـ HHS)
المنظمون أيضًا واجهوا تحدي استمرارية خاص بهم. كان عليهم إنشاء ترتيبات دفع بعد بدء الانقطاع. خطة قطاعية ناضجة كانت ستحدد مسبقًا المحفزات ومتطلبات البيانات والتنسيق مع الدافعين وشروط السداد لانقطاع غرفة مقاصة وطني بحيث لا تعتمد السيولة الطارئة على الارتجال.
ضوابط عملية تتبع من الأدلة
الهدف من حساب الطب الشرعي ليس إنتاج قائمة أطول من الضمانات العامة. كل تحكم مقترح يجب أن يجيب على فشل موثق وأن يكون له اختبار ملاحظ.
1. جعل تغطية الوصول الخارجي قابلة للقياس
يجب أن تظهر كل خدمة وصول مواجهة للإنترنت وشريكة في جرد يتم تسويته باستمرار مع مالك وطريقة مصادقة وحساسية بيانات وتاريخ آخر تحقق. يجب أن تكون MFA المقاومة للتصيد إلزامية للوصول عن بُعد والإدارة المميزة. لوحة معلومات النسبة المئوية غير كافية ما لم تتم تسوية المقام مقابل التعرض للشبكة وتكوين السحابة والأصول المكتسبة والخدمات المدارة من البائعين.
يجب أن تنتهي صلاحية الاستثناءات. يجب أن تسمي مسؤولاً تنفيذيًا خاضعًا للمساءلة، وتذكر سبب العمل، وتحدد ضوابط تعويضية، وتتضمن تاريخ إيقاف أو معالجة. الخدمات عالية العواقب بدون MFA يجب أن تؤدي إلى العزل، وليس القبول غير المحدد. يظهر حادث Change لماذا لا يمكن للتكنولوجيا الموروثة البقاء في فئة انتقالية بدون حالة نهائية صلبة.
2. معاملة أمن الاستحواذ كالتزام إغلاق
يجب أن يبدأ تكامل الاندماج والاستحواذ بالهوية والتعرض، وليس بالعلامة التجارية أو الدمج الإداري. قبل أو فور الإغلاق، يجب على المشتري تحديد مسارات الوصول عن بُعد والأدلة المميزة وإدارة برنامج hypervisor وحسابات الخدمة وأنظمة النسخ الاحتياطي ومخازن البيانات والقياسات الأمنية عن بعد والتبعيات التي يمكن أن تقطع المنتجات الحيوية.
يجب أن يتلقى مجلس الإدارة أو لجنة المخاطر المفوعة تقارير على مستوى الاستثناء: أي الأصول المكتسبة تبقى دون المعيار، وما هي العواقب التي تحملها، ومدة بقائها مفتوحة، ومن قبل المخاطرة. بيان بأن الفرق "تعمل على رفع" خادم قديم إلى المعيار ليس كافيًا بعد ستة عشر شهرًا من الإغلاق عندما يقف هذا الخادم أمام وسيط معاملات وطني.
3. عزل طبقات الهوية والتحكم في المحاكاة الافتراضية
لا ينبغي أن يكون للمستخدمين عن بُعد مسار عادي إلى إدارة النطاق أو برنامج hypervisor. يجب أن يستخدم الوصول المميز هويات منفصلة ومحطات عمل صلبة ورفع في الوقت المناسب و MFA قوية وتسجيل الجلسة وموافقة صريحة للإجراءات عالية المخاطر. يجب أن يكون لطبقات Active Directory وإدارة ESXi وإدارة النسخ الاحتياطي وأدوات الأمن حدود ثقة مستقلة.
الاختبار هو خصمي: بدءًا من بيانات اعتماد وصول عن بُعد مخترقة، هل يمكن لفريق أحمر الوصول إلى إدارة الدليل أو تغيير ضوابط الأمن أو الوصول إلى مخازن بيانات واسعة أو تشفير بنية المحاكاة الافتراضية؟ إذا كان بإمكانه، تكون المنظمة قد قاست نصف قطر انفجارها الحقيقي بدلاً من افتراض وجود تجزئة لأن مناطق الشبكة لها أسماء مختلفة.
4. اكتشاف تسلسل ما قبل برامج الفدية
يجب أن تركز هندسة الكشف على السلسلة الموثقة: وصول عن بُعد غير عادي، مصادقة مستحيلة أو عالية المخاطر، تصعيد الامتيازات، استطلاع الدليل، إنشاء أو استخدام جلسات إدارية، الوصول إلى مجموعات بيانات كبيرة للمطالبات، تجميع أو ضغط، خروج غير طبيعي، تدخل في أدوات الأمن، وإدارة ESXi.
يجب أن تشمل التغطية البيئات المكتسبة والقديمة. التنبيهات تحتاج إلى مالكين ومواعيد استجابة. يجب أن تكون المنظمة قادرة على إظهار متى يتم اكتشاف اختراق محاكى لأول مرة، ومن يتلقى التنبيه، وما السياق المتاح، وما إذا كان المحلل يمكنه تعطيل الهوية وعزل الجلسة قبل مغادرة البيانات.
5. بناء تجاوز فشل المعاملات، وليس فقط نسخ احتياطي للنظام
النسخ الاحتياطية تستعيد البيانات والبرامج. لا تستعيد تلقائيًا شبكة معاملات الرعاية الصحية. تتطلب مرونة غرفة المقاصة مسارات بديلة دافئة لكل وظيفة حرجة: تحويل مطالبات الصيدليات والأهلية والمطالبات الطبية والإشعار والدفع الإلكتروني والتصريح المسبق والمرفقات ودعم الدفع المشترك وفوترة الصيدليات Medicare الجزء B.
يجب على العملاء والدافعين التفاوض مسبقًا على القبول الطارئ. بيانات الاعتماد وعناوين النقاط الطرفية وأدلة المرافقة ومعرفات مقدم الخدمة وتسجيلات الدافع وملفات الاختبار وقواعد التسوية يجب صيانتها قبل وقوع الحادث. يجب أن تثبت التمارين أن عيادة صغيرة ممثلة ومستشفى ريفي وصيدلية مستقلة يمكنهم التحول، وليس فقط أن أكبر العملاء يمكنهم.
يجب أن تشمل المقاييس وقت إعادة اتصال العميل، ونسبة حجم المعاملات قبل الحدث حسب الوظيفة، وأقدم مطالبة غير معالجة، وتأخر الدفع، ومعدل الرفض، ومعدل التكرار، وعدد الاستثناءات غير المحلولة. "نسبة مئوية مستعادة" على مستوى المنصة خشنة جدًا لقرارات الاستمرارية.
6. الترتيب المسبق للسيولة وتخفيف القواعد
يجب على الوسطاء الحيويين والدافعين الحفاظ على آلية دفع طارئ قياسية بناءً على المطالبات المدفوعة تاريخيًا. يجب أن تكون الشروط واضحة، بدون فائدة خلال فترة الطوارئ، متناسبة، ومحمية من الاسترداد المفاجئ. يجب أن تكون متطلبات التقديم خفيفة بما يكفي لمقدمي الخدمات الصغار الذين يتعاملون بالفعل مع اضطراب تشغيلي.
يجب على الدافعين أيضًا تحديد مسبق متى سيتم تخفيف قواعد التصريح المسبق والتقديم في الوقت المناسب والتدقيق والتوثيق. يجب أن ينطبق التخفيف على الرعاية المقدمة بحسن نية خلال الفترة المتضررة ويستمر حتى إزالة التراكم. هذا يمنع استجابة الانقطاع من أن تصبح مشكلة رفض أو تدقيق لاحقًا.
يجب على البرامج العامة التنسيق مع الدافعين الخاصين قبل الأزمة. تدخل CMS في 2024 كان مهمًا، لكن آلية قابلة للتكرار من شأنها تقليل التأخير وعدم تجانس الأهلية في الحدث التالي.
7. تقليل ورسم خريطة عواقب البيانات
تحتاج وسطاء المطالبات إلى قواعد احتفاظ على مستوى مجموعة البيانات، وإسناد العملاء، والتشفير، وتقسيم الوصول، وبيانات الإخطار المختبرة. يجب أن تعرف الشركة أي منظمة قدمت سجلًا، وما الأفراد المرتبطون به، وما الحقول الموجودة، وكيفية الاتصال بالكيان المغطى المسؤول. هذا هو سيطرة خصوصية وسيطرة تعافي.
عملية الإخطار أظهرت مدى صعوبة الإسناد بعد سرقة مجموعة بيانات كبيرة ومختلطة. تقليل البيانات يمكن أن يقلل الكمية المكشوفة؛ رسم خرائط البيانات يمكن أن يقلل الوقت اللازم لإخبار الناس بما حدث. لا تمنع أي من السيطرة برامج الفدية، لكن كلاهما يحد من الحادث الثاني الذي يتبع الانقطاع: عدم اليقين المطول حول المعلومات الشخصية.
8. تمرين العزل على نطاق الأعمال الكامل
إجراء الاحتواء الحاسم كان فصل أنظمة Change. يجب ممارسة هذا السيناريو عمدًا: افترض أن غرفة المقاصة يجب أن تظل معزولة لمدة ثلاثين يومًا، افترض أن بيانات الاعتماد غير موثوقة، وافترض أن الاستعادة يجب أن تحدث في بيئة نظيفة. ثم قم بقياس استثناءات وصول المرضى وحجم المطالبات والاحتياجات النقدية ودعم العملاء وإعادة توجيه الدافعين وقدرة الإخطار.
تمارين الطاولة التي تتوقف عند صنع القرار التنفيذي غير كافية. يجب أن يعالج التمرين معاملات اختبار عبر مسارات بديلة، ويمول عيادة صغيرة محاكاة، ويصرف وصفة تحت قاعدة غير متصلة، ويسوي المطالبات المكررة، ويستعيد خدمة ممثلة من بنية تحتية نظيفة. يجب إثبات الاستمرارية في سير العمل حيث يظهر الضرر.
تتوافق الضوابط مع إرشادات برامج الفدية الفيدرالية التي تؤكد على MFA المقاومة للتصيد وتجزئة الشبكة والنسخ الاحتياطية غير المتصلة أو المحمية وتخطيط التعافي. كما تتجاوزها حيث يتطلب الحادث: تحتاج غرفة المقاصة إلى استمرارية معاملات على مستوى النظام البيئي، وليس فقط تعافي المؤسسة. (دليل CISA لوقف برامج الفدية)
المسؤولية والتحكم مرتبطان، لكنهما ليسا متطابقين
السجل العام يدعم تقييم قنوات التعرض. لا يدعم إعلانًا أن UnitedHealth Group أو Change Healthcare مسؤولة قانونيًا تجاه كل طرف متضرر.
HIPAA والإخطار بالخرق
Change Healthcare هي غرفة مقاصة للرعاية الصحية وتعمل أيضًا كشريك تجاري في العديد من العلاقات. تنص HHS على أن قاعدة أمن HIPAA تتطلب من الكيانات الخاضعة للتنظيم استخدام ضمانات إدارية ومادية وتقنية لحماية المعلومات الصحية الإلكترونية المحمية. قال مكتب الحقوق المدنية إن تحقيقاته ستركز على ما إذا كان خرق للمعلومات الصحية غير المؤمنة قد حدث وعلى امتثال Change Healthcare و UnitedHealth Group لقواعد HIPAA. (ملخص قاعدة أمن HHS)
التحكم المفقود في MFA وتصعيد الامتيازات وسحب البيانات والجدول الزمني للإخطار هي حقائق ذات صلة لمثل هذه المراجعة. لا تثبت بذاتها انتهاكًا تنظيميًا معينًا أو عقوبة. تحليل HIPAA يعتمد على دور الكيان وتحليل المخاطر والضمانات المنفذة والتوثيق والاستجابة للحوادث وترتيبات الشريك التجاري ونتائج المنظم.
مسؤولية الإخطار كانت معقدة بشكل غير عادي لأن Change احتفظت ببيانات العديد من الكيانات المغطاة. أوضحت مكتب الحقوق المدنية أن الكيانات المغطاة تظل مسؤولة عن ضمان الإخطار لكنها يمكن أن تفوض المهمة إلى Change Healthcare. عرضت Change أداء الإخطار والإدارة ذات الصلة للعملاء. العملية المتدحرجة عكست كلاً من حجم مجموعة البيانات والعلاقات القانونية حولها.
الالتزامات التعاقدية والخدمية
قد يكون لمقدمي الخدمات والصيدليات والدافعين والبائعين مطالبات تعاقدية أو دفاعات تتعلق بالتوفر والتزامات الأمن ومستويات الخدمة والرسوم والتعويضات ومعالجة البيانات والسلف الطارئة. ستتوقف النتائج على الاتفاقيات الفردية وحدود المسؤولية والسببية والإخطار والأضرار والقانون الحاكم. السجل العام لا يوفر تلك العقود.
حقيقة أن مقدمي الخدمات تكبدوا خسائر لا تثبت أن كل خسارة قابلة للاسترداد من Change. على العكس، الأصل الإجرامي للهجوم لا يلغي تلقائيًا مسؤولية المورد إذا كان العقد أو القانون المعمول به يتطلب ضمانات أو تدابير استمرارية. هذه أسئلة قانونية لسجلات ومنتديات محددة.
تم دمج القضايا الخاصة لإجراءات ما قبل المحاكمة المنسقة في التقاضي الفيدرالي متعدد المقاطعات. يسجل أمر النقل الادعاءات الشائعة والكفاءة الإجرائية؛ إنه ليس نتيجة بأن المدعى عليهم انتهكوا واجبًا أو تسببوا في خسارة قابلة للتعويض. (أمر نقل الهيئة القضائية للتقاضي متعدد المقاطعات)
الإفصاح عن الأوراق المالية
قدمت UnitedHealth Group Form 8-K أولي في 22 فبراير وتعديلًا في 8 مارس. قال التعديل إن الشركة لم تحدد أن الحادث من المحتمل بشكل معقول أن يؤثر ماديًا على وضعها المالي أو نتائجها. Form 10-K لعام 2024 حددت لاحقًا مليارات في تكاليف الاستجابة المباشرة وتأثيرات التعطل.
هذا التقدم لا يثبت أن الإفصاح السابق كان كاذبًا. يتم تقييمات المادية بمعلومات متاحة في ذلك الوقت، وتقديم مارس اعترف بهجوم غير مسبوق واستعادة جارية. يحدد سؤال مساءلة مشروع: ما الأدلة التشغيلية والمالية الموجودة في كل تاريخ إفصاح، وكيف قيمتها الإدارة، ومتى تجاوزت التكاليف المتوقعة والإيرادات المفقودة العتبات الداخلية؟ سجل مراسلات هيئة الأوراق المالية يظهر أن الموظفين سألوا UnitedHealth Group عن نظرها في الإفصاح المعدل، لكن المراسلات وحدها ليست نتيجة إنفاذ. (رد UnitedHealth Group على موظفي هيئة الأوراق المالية)
دفع الفدية ومخاطر العقوبات
يمكن أن تخلق مدفوعات الفدية مخاطر قانونية وامتثال اعتمادًا على المستلم وحالة العقوبات وظروف المعاملة. الأدلة العامة تؤكد المبلغ ووسيلة الدفع لكنها لا تكشف عملية العناية الواجبة الكاملة أو إسناد المستلم. لا يمكن استخلاص استنتاج مدعوم حول انتهاك عقوبات من السجل العام المذكور هنا.
إشراف الشركة ومجلس الإدارة
أخبرت UnitedHealth Group الكونغرس أن لجنة المراجعة والمالية تلقت تقارير أمن سيبراني متكررة وتناولت الأمن السيبراني في اجتماعات ربع سنوية منتظمة. أضافت لاحقًا Mandiant كمستشار لتلك اللجنة. اهتمام مجلس الإدارة ذو صلة، لكن تكرار الاجتماع ليس هو نفس فعالية التحكم.
سؤال الإشراف الأكثر حدة هو ما إذا كان التقارير كشف الاستثناء الفعلي: خدمة خارجية قديمة دون معايير هوية مطلوبة في شركة حيوية مستحوذ عليها. إذا لم يتم إبلاغ مجلس الإدارة، فقد يكون تقارير الإدارة مجمعًا جدًا. إذا تم إبلاغه، فإن السجل سيحتاج إلى إظهار الأساس المنطقي المقبول وجدول المعالجة. المواد العامة لا تجيب على هذا السؤال.
ما يبقى غير معروف أو متنازع عليه
يجب أن ينتهي الحساب المنضبط بالأدلة التي لا يملكها.
غير معروف:كيف تم اختراق بيانات الاعتماد أولاً؛ ما إذا كان الحقد قد أعيد استخدامه في مكان آخر؛ ما إذا كانت مراقبة كلمات المرور قد حددت التعرض؛ وما إذا كان تسجيل الدخول اختلف عن سلوك المستخدم الطبيعي.
غير معروف:مسار تصعيد الامتيازات الكامل، والهويات الإدارية المستخدمة، ودور حسابات الخدمة، والطريق الدقيق إلى Active Directory وإدارة ESXi.
غير معروف:أي تنبيهات ما قبل برامج الفدية أطلقت، وما إذا كان المحللون راجعوها، وما إذا كانت أنظمة Change القديمة لديها نفس القياسات الطرفية وهوية الشبكة والبيانات وأمن البيانات مثل أنظمة UnitedHealth Group.
غير معروف:تصميم التجزئة التفصيلي وهندسة النسخ الاحتياطي وقدرة الغرفة النظيفة وأداء نقطة الاستعادة وأهداف التعافي حسب الخدمة السارية قبل الهجوم.
غير معروف:الحجم الإجمالي للبيانات المسروقة وكل مصدر تخزين وضرورة وعمر كل سجل محفوظ وما إذا كان المجرمون احتفظوا بنسخ أو أعادوا توزيعها بعد الدفع.
غير معروف:التكلفة الاجتماعية الإجمالية. نفقات UnitedHealth Group وتأخيرات التدفق النقدي لمقدمي الخدمات ومدفوعات المرضى من جيبهم ووقت الموظفين وتمويل مخزون الصيدليات والسلف العامة وضرر الخصوصية هي فئات مختلفة. إضافتها دون إزالة التداخل سيخلق رقمًا مضللاً.
متنازع عليه:كم أدى التكامل الرأسي إلى تفاقم الحدث وكم ساعد في تمويل الاستجابة. يجادل النقاد بأن التركيز خلق نقطة فردية خطيرة ووضع الإغاثة داخل نفس عائلة الشركة. يمكن لـ UnitedHealth Group أن تشير إلى الموارد السريعة على مستوى المجموعة والمليارات في السلف واحتواء الحادث في Change. قد تكون كلتا الآليتين قد عملتا في وقت واحد.
متنازع عليه:ما إذا كان دفع الفدية قلل الضرر الصافي. قد يكون القرار قد اتخذ تحت مخاطر شديدة على المريض والبيانات، لكن الحذف لا يمكن التحقق منه والدفع يمكن أن يقوي اقتصاد برامج الفدية. بدون بدائل التفاوض وفك التشفير والتعافي، فإن الحكم القطعي سيتجاوز الأدلة.
مؤكد وغير متنازع عليه من قبل الشركة:السياسة تطلبت MFA على التطبيقات الخارجية؛ الخادم القديم المستخدم للوصول الأولي لم يكن لديه ذلك؛ المهاجم دخل ببيانات اعتماد مخترقة؛ والخادم لم يتم رفعه بعد إلى معيار الشركة الأم.
استنتاج المساءلة
لا ينبغي تذكر حادث Change Healthcare كدليل على أن أي مهاجم مصمم يمكنه هزيمة أي منظمة. هذا الإطار يزيل القرارات من النظر. مسار الدخول هزم تحكمًا كانت الشركات تطلبه بالفعل. ثم كان لدى المهاجم الوقت لتصعيد الامتيازات وإزالة البيانات قبل أن تجعل برامج الفدية الاختراق لا يمكن إنكاره.
ولا ينبغي اختزال الحدث إلى فقدان موجه MFA واحد. هذا التحكم يفسر الدخول الذي يمكن منعه. لا يفسر بذاته لماذا اضطرت الصيدليات والمستشفيات والبرامج العامة والعيادات الصغيرة في جميع أنحاء البلاد إلى الارتجال في سير عمل المطالبات والدفع والتصريح والأدوية لأسابيع. الفشل الأكبر كان أن وسيط معاملات عالي التركيز لم يكن من الممكن فصله دون نقل مخاطر الاستمرارية إلى المنظمات الأقل قدرة على تمويلها.
المسؤولية العملية تتبع القدرة على تغيير تلك الظروف. كان لـ UnitedHealth Group و Change Healthcare السيطرة الأكبر على الهوية والتكامل والهندسة والكشف والبيانات واستعادة المنصة. الدافعون سيطروا على الإغاثة الإدارية والتمويل. مقدمو الخدمات سيطروا على التراجع المحلي بقدر ما تسمح به السوق ومواردهم. HHS و CMS سيطرت على استجابة البرامج العامة والخط الأساسي التنظيمي. المجرمون سيطروا على الهجوم.
الاختبار الدائم هو بالتالي ملموس. يجب ألا يظل مسار وصول خارجي دون السياسة بعد الاستحواذ. يجب ألا تؤدي بيانات اعتماد عن بُعد مخترقة إلى دليل وبرنامج hypervisor. يجب اكتشاف الوصول غير الطبيعي والاستخراج قبل التشفير. يجب أن تكون غرفة المقاصة قادرة على عزل بيئتها بينما تستمر المعاملات الحيوية عبر بدائل مختبرة. وعندما لا تزال هذه الضوابط تفشل، يجب أن تصل السيولة الطارئة وتخفيف القواعد إلى العيادة الصغيرة والصيدلية المحلية قبل أن يضطروا إلى الاختيار بين استمرارية الرعاية واستمرارية الأعمال.

