Sábado, Maio 25

CEO da UnitedHealth criticado por ataque cibernético

Numa tensa audiência no Senado na quarta-feira, os legisladores criticaram duramente a forma como o UnitedHealth Group lidou com o ataque cibernético que paralisou o sistema de saúde dos EUA, citando a falha dos seus sistemas de segurança e a potencial divulgação de milhões de informações confidenciais de saúde de americanos.

Senadores democratas e republicanos questionaram se o ataque cibernético à Change Healthcare, que gere um terço de todos os registos de pacientes americanos e cerca de 15 mil milhões de transações por ano, foi tão vasto porque a UnitedHealth está demasiado enraizada em quase todos os aspectos dos cuidados médicos do país. O UnitedHealth Group não é apenas o controlador da Change, mas também o controlador da maior seguradora de saúde do país e um grande gestor de benefícios farmacêuticos (Optum). A United também supervisiona quase um em cada 10 médicos no país.

“O hack da Change é um alerta terrível sobre as consequências de megacorporações ‘grandes demais para falir’ que devoram porções cada vez maiores do sistema de saúde”, disse o senador Ron Wyden, o democrata do Oregon que é presidente do Comitê de Finanças. .

O sistema de saúde dos EUA foi lançado no caos após o ataque de 21 de Fevereiro à Change, que serve como uma via digital entre seguradoras de saúde, hospitais e médicos. Os pacientes não conseguiam aviar as suas receitas e os hospitais e médicos enfrentavam uma grave crise de liquidez porque não podiam ser pagos pelos seus cuidados.

O CEO da UnitedHealth, Andrew Witty, foi intimado a testemunhar perante o Comitê de Finanças do Senado e o Comitê de Energia e Comércio da Câmara.

Na manhã de quarta-feira, ele defendeu os esforços da empresa para restaurar os serviços e pediu desculpas.

“Como resultado deste ataque cibernético malicioso, pacientes e prestadores de serviços sofreram interrupções e as pessoas estão preocupadas com os seus dados privados de saúde. “Para todos os afetados, deixe-me ser muito claro: lamento profundamente”, disse ele.

Mas Witty reconheceu a falta de segurança digital que permitiu que hackers entrassem na rede da Change e admitiu que a United falhou nos esforços iniciais para ajudar a cobrir os pagamentos dos fornecedores.

Na semana passada, a United começou a divulgar que hackers tiveram acesso a alguns dados de pacientes, embora Witty tenha dito aos senadores que levaria algum tempo até que a empresa tivesse uma ideia sólida de quão extensa era essa violação de informações de pacientes.

Witty disse que a UnitedHealth está trabalhando com os reguladores para determinar quando e como começar a se comunicar com as pessoas afetadas.

“Queremos tentar evitar a comunicação fragmentada”, disse ele.

A United foi forçada a desligar completamente os sistemas da Change por várias semanas, provocando discussões irritadas entre senadores e Witty sobre o ritmo de reembolsos a hospitais e outros fornecedores.

Witty disse aos senadores que “o fluxo de reivindicações em todo o país está praticamente de volta ao normal”. Wyden disse que ouviu de fornecedores que apresentaram reclamações em fevereiro que levaria pelo menos até junho para receber o reembolso.

“Podemos absolutamente avançar mais rápido do que isso”, disse Witty, pedindo para entrar em contato com qualquer organização que tenha reclamado com Wyden.

“Praticamente todos os fornecedores que encontro estão esperando para serem pagos”, respondeu Wyden.

Minutos depois, a senadora Marsha Blackburn, republicana do Tennessee, repetiu Wyden, acusando Witty de apresentar uma descrição “otimista” do processo de reembolso e dizendo que seu escritório foi bombardeado com ligações de prestadores de cuidados de saúde esperando receber seu pagamento.

Um hospital no estado tinha um acúmulo de pedidos de reembolso do Medicare equivalente a um mês de receita, disse Blackburn.

“Todos os dias eles ligam para uma atualização. Eles ligam todos os dias. E eles são evitados todos os dias, repetidamente”, disse ele. “É como se todos vocês não conseguissem entender isso.”

Witty também reconheceu que a empresa pagou um resgate de US$ 22 milhões aos invasores, dizendo que “a decisão de pagar o resgate foi minha. “Esta foi uma das decisões mais difíceis que já tive que tomar na minha vida.”

O FBI e outras autoridades estão investigando o ataque.

A UnitedHealth foi criticada por ser cautelosa quanto aos detalhes do ataque.

“Você esteve em todos os lugares em termos de responsabilidade pessoal”, disse Wyden a Witty. “Você minimizou consistentemente seu papel nisso.”

Wyden disse que a UnitedHealth não implementou o tipo mais básico de medida de segurança cibernética: a chamada autenticação multifatorial.

Witty disse que na quarta-feira todos os “sistemas externos” da UnitedHealth estavam implementando essa forma de autenticação. A empresa também contratou grupos externos para realizar análises adicionais da tecnologia da empresa, acrescentou, e contratou a Mandiant, uma empresa de segurança cibernética, como consultora.

“Essas são algumas coisas básicas que foram esquecidas”, disse o senador Thom Tillis, republicano da Carolina do Norte, segurando um exemplar do livro “Hacking for Dummies”.

A audiência deu ao Sr. Witty a oportunidade de oferecer uma cronologia mais detalhada do hack e a resposta a ele.

Os cibercriminosos obtiveram acesso aos sistemas da Change em 12 de fevereiro, nove dias antes da UnitedHealth perceber que precisava desligá-los. Witty enfatizou que a empresa evitou rapidamente que o ataque se espalhasse além da Change, para a controladora ou qualquer uma de suas outras unidades, como a Optum ou a seguradora de saúde. “Contivemos o alcance da explosão apenas para mudá-lo”, disse ele.

Witty também argumentou que a vulnerabilidade do sistema de saúde a ataques vai muito além do United, que, segundo ele, revoga uma tentativa de intrusão a cada 70 segundos. Ele disse que, como a United adquiriu o sistema Change há apenas 18 meses, não foi capaz de renovar totalmente as “tecnologias herdadas” do Change que o tornavam vulnerável a ataques.

O Sr. Witty disse em outro momento da audiência que simpatizava com os fornecedores que estavam relutantes em usar o Change novamente.

“A razão pela qual a recuperação demorou mais do que o esperado é que construímos literalmente esta plataforma a partir do zero, para que possamos garantir às pessoas que não existem elementos do antigo ambiente atacado na nova tecnologia”, disse ele.

Alguns senadores consideraram a aquisição da rede Change pela United em 2022 como um exemplo de consolidação massiva no setor de saúde. O Departamento de Justiça, que supervisiona as seguradoras de saúde, tentou bloquear a compra da Change pela United, mas não conseguiu convencer um juiz federal de que o acordo era anticompetitivo.

A senadora Elizabeth Warren, democrata de Massachusetts, chamou a UnitedHealth de “um monopólio de esteróides”, observando mais de uma vez que era a 11ª maior empresa do mundo.

Ele acusou o United de aproveitar o caos criado pelo hack para adquirir ainda mais consultórios médicos, dizendo que agora supervisiona um em cada 10 médicos no país.

Witty contestou suas afirmações e apontou setores onde a United não fazia negócios. “Apesar do nosso tamanho, não possuímos hospitais nos Estados Unidos ou fabricantes de medicamentos”, disse ele.