サマリー
- 確認済み:犯罪者は2024年2月12日に盗まれた認証情報を使用して、多要素認証が有効化されていなかったレガシーな Change Healthcare Citrix ポータルに侵入した。攻撃者は後に権限を昇格させ、Active Directory に到達し、保護対象健康情報を流出させ、Windows および ESXi システム全体にランサムウェアを展開した。
- 確認済み:UnitedHealth Group は2月21日にランサムウェアが展開されたことを検知し、Change Healthcare の接続を迅速に遮断した。これにより被害の拡大は抑えられたが、米国の医療システムの多くが依存していた請求、薬局、資格確認、承認、支払い機能が停止した。
- 評価:アイデンティティ管理の欠如が防ぐべき初期侵入の失敗であった。国家レベルの混乱は別の継続性の失敗である。すなわち、十分にテストされた代替手段が取引、保険者、医療提供者、公的プログラムの各レベルで用意されていないまま、あまりに多くの運用依存が一つのクリアリングハウスに集中していたことによる。
- 責任:責任は実践的な管理に従うべきである。犯罪者は攻撃を主導し、UnitedHealth Group と Change Healthcare は露出したアクセス経路、買収後のセキュリティ統合、特権アーキテクチャ、データ環境、復旧プロセス、顧客の継続性設計を管理していた。保険者、医療提供者、規制当局、公的プログラムは下流の回復力の狭い部分を管理していた。これらの役割は重複するが、互換性はない。
このインシデントは単なる停止ではなかった
Change Healthcare は医療業務と医療支払いの間を取り持つ。診療報酬請求の処理や編集、資格確認、事前承認、薬局取引のルーティング、保険者と医療提供者間の支払い情報を担っている。2024年2月21日にこれらの機能が停止したとき、医療ケアは一様に停止しなかった。その代わり、薬局に処方箋が保険適用かどうかを伝え、診療所に請求先を伝え、医療提供者に支払いがいつ来るかを伝える管理機構が信頼できなくなるか、利用できなくなった。
この区別は重要である。病院は請求接続がダウンしていても患者の治療を続けることができるが、治療の資金を自ら調達し、後で請求するための十分な証拠を保存し、承認や期限内提出ルールが緩和されないリスクを受け入れなければならない。薬局は善意の前提で医薬品を調剤できるが、患者の保険適用と自己負担リスクを一時的に引き受ける。小規模な診療所は患者を診続けることができるが、給与や消耗品の購入は以前に提供したケアからの入金に依存している。そのため、混乱は技術から運転資金、労働力、在庫、アクセス決定へと移行した。

