A violação de dados da Change Healthcare, confirmada em 22 de outubro de 2024 pela UnitedHealth, tornou-se uma das maiores violações de dados de saúde na história dos EUA. Este ataque cibernético expôs informações pessoais e de saúde confidenciais de mais de 100 milhões de indivíduos. Foi causado por um ataque de ransomware à Change Healthcare, uma subsidiária da UnitedHealth, em fevereiro de 2024. Aqui, fornecemos uma visão geral clara e abrangente do incidente, suas consequências e as dúvidas que as pessoas possam ter.
Alterar violação de dados de saúde: o que aconteceu?
Em fevereiro de 2024, a Change Healthcare foi atingida por um ataque de ransomware orquestrado pelo grupo ALPHV/BlackCat. Os invasores usaram credenciais roubadas para violar o sistema de acesso remoto da empresa, que não possuía autenticação multifator (MFA). Isto permitiu-lhes roubar cerca de seis terabytes de dados e criptografar os sistemas de TI da empresa, levando a interrupções generalizadas no setor de saúde. O ataque afetou inúmeras instalações de saúde, incluindo hospitais, clínicas e farmácias, que dependiam fortemente da Change Healthcare para processar reclamações de seguros e outras operações essenciais.
A UnitedHealth, empresa controladora da Change Healthcare, admitiu ter pago um resgate de US$ 22 milhões aos invasores por um descriptografador e a promessa de que os dados roubados seriam excluídos. No entanto, os afiliados do grupo de ransomware alegaram que ainda tinham os dados e exigiram pagamento adicional, levando a uma segunda rodada de tentativas de extorsão. Isto resultou em incerteza e stress prolongados para os indivíduos afetados, prestadores de cuidados de saúde e pacientes, que ficaram inseguros sobre a segurança das suas informações confidenciais.
O ataque também levou a interrupções significativas na funcionalidade geral do sistema de saúde. A falta de acesso a sistemas críticos significou que os prestadores de cuidados de saúde tiveram dificuldades para prestar serviços de forma eficiente e os pacientes enfrentaram atrasos na recepção dos tratamentos necessários. A violação de dados da Change Healthcare destacou a fragilidade da infraestrutura de TI do setor da saúde, especialmente quando é alvo de ataques cibernéticos bem coordenados.
Informações expostas na violação de dados da Change Healthcare
A violação de dados expôs uma grande quantidade de informações pessoais e relacionadas à saúde, incluindo:
- Informações sobre seguro saúde: detalhes da apólice, IDs de membros e informações do Medicaid/Medicare. Este tipo de dados é altamente sensível, pois pode ser usado para reclamações fraudulentas de seguros e roubo de identidade.
- Informação de saúde: Números de registros médicos, diagnósticos, tratamentos, medicamentos, resultados de exames e detalhes de cuidados. Essas informações não são apenas sensíveis, mas também profundamente pessoais, e a sua exposição pode ter sérias implicações para a privacidade e o bem-estar dos indivíduos.
- Informações de faturamento e financeiras: Números de reclamações, detalhes de pagamento e informações financeiras e bancárias. A exposição de informações financeiras coloca os indivíduos afetados em risco de fraude financeira e roubo de identidade.
- Identificadores pessoais: números de segurança social, carteiras de motorista e números de passaporte. Estes identificadores são essenciais para estabelecer a identidade de um indivíduo, tornando a sua exposição particularmente perigosa.
O tipo de informação roubada variou entre os indivíduos e nem todas as pessoas afetadas tiveram o seu histórico médico completo comprometido. No entanto, o grande volume e diversidade dos dados roubados tornam esta violação uma das mais preocupantes da história recente. O potencial uso indevido dessas informações representa um risco significativo para a privacidade, a segurança financeira e o bem-estar geral dos indivíduos.
O ataque de ransomware de fevereiro causou perturbações significativas no sistema de saúde. Médicos, clínicas e farmácias enfrentaram dificuldades no processamento de reclamações de seguros, o que impactou o acesso dos pacientes a medicamentos e tratamentos pré-autorizados. Os pequenos prestadores de cuidados de saúde e as farmácias rurais foram especialmente afectados, com alguns até a enfrentar a insolvência devido à suspensão dos pagamentos. A incapacidade de processar reclamações e pagamentos em tempo útil levou a graves dificuldades financeiras para estes fornecedores mais pequenos, muitos dos quais operam com orçamentos apertados.
A violação também destacou vulnerabilidades na segurança dos dados de saúde, levantando questões sobre as práticas de segurança cibernética da UnitedHealth. Durante uma audiência no Congresso, o CEO da UnitedHealth, Andrew Witty, admitiu que a violação de dados da Change Healthcare poderia ter sido evitada se a empresa tivesse usado autenticação multifatorial. Apesar de gastar 300 milhões de dólares anualmente em segurança cibernética, a UnitedHealth não conseguiu implementar esta medida básica de proteção. Esta falha não só permitiu que os atacantes obtivessem acesso, mas também levantou preocupações sobre a eficácia da estratégia global de segurança cibernética da UnitedHealth.
A violação de dados da Change Healthcare também levou a um maior escrutínio por parte de reguladores e legisladores. O Departamento de Saúde e Serviços Humanos (HHS) dos EUA e outros órgãos reguladores lançaram investigações sobre as práticas de segurança cibernética da UnitedHealth e a sua falha em proteger dados sensíveis de saúde. Os legisladores pediram regulamentações e requisitos mais rigorosos para as organizações de saúde, a fim de garantir que tais violações não voltem a acontecer. Este incidente gerou uma conversa mais ampla sobre a necessidade de melhores padrões de segurança cibernética em todo o setor de saúde.
O que fazer?
Grupo Unido de Saúde compartilhou orientação crucial sobre as etapas que você pode seguir após o recente incidente de violação de dados.
1. Inscreva-se no monitoramento de crédito gratuito
- Acesse serviços gratuitos de monitoramento de crédito: O United Health Group está oferecendo dois anos de monitoramento de crédito e proteção de identidade gratuitos por meio do IDX. Para se inscrever, clique no link “Inscreva-se agora” ou ligue para 1-888-846-4705.
- Proteja sua identidade: Este serviço monitora possíveis usos indevidos de suas informações, fornecendo alertas e assistência caso alguma atividade suspeita seja detectada. A cobertura é paga por dois anos pela Change Healthcare.
2. Monitore seus registros financeiros e de saúde
- Revise suas declarações de cuidados de saúde: Verifique regularmente as declarações de Explicação de Benefícios (EOB) e os documentos dos prestadores de cuidados de saúde para detectar quaisquer serviços desconhecidos ou não autorizados.
- Verifique as demonstrações financeiras: observe seus extratos bancários e de cartão de crédito, bem como registros fiscais, para detectar quaisquer cobranças ou transações inesperadas.
- Denunciar atividades suspeitas: Se você notar qualquer atividade incomum, entre em contato com seu médico, plano de seguro ou instituição financeira imediatamente. Em casos de atividade não autorizada, registre um boletim de ocorrência junto às autoridades locais.
3. Mantenha-se informado sobre a violação
- Verifique sua notificação: A Change Healthcare começou a enviar notificações por correio aos indivíduos afetados pela violação. Esta notificação inclui detalhes sobre quais dados podem ter sido comprometidos. Se você acredita que foi afetado, certifique-se de que suas informações de contato estejam atualizadas com o United Health Group.
- Procure apoio se necessário: Uma central de atendimento dedicada (1-866-262-5342) está disponível para responder perguntas, fornecer assistência de monitoramento de crédito e oferecer suporte emocional por meio de médicos treinados.
4. Fortaleça sua segurança financeira
- Solicite um relatório de crédito gratuito: Acesse seu relatório anual de crédito de cada agência de crédito via www.annualcreditreport.com ou ligando para 877-322-8228. Este relatório ajuda a identificar contas ou verificações de crédito desconhecidas.
- Coloque um alerta de fraude: um alerta de fraude notifica os credores para realizarem etapas extras de verificação antes de abrir novas contas em seu nome. Você pode adicionar um alerta de fraude entrando em contato com uma das agências de crédito:
- Equifax: 800-525-6285
- Experian: 888-397-3742
- TransUnião: 800-680-7289
- Congele seu crédito: Um congelamento de segurança impede que novos créditos sejam abertos em seu nome. Entre em contato com cada agência de crédito para solicitar um congelamento:
- Equifax: 800-525-6285
- Experian: 888-397-3742
- TransUnião: 800-680-7289
5. Entenda as proteções
- Alerta de fraude vs. congelamento de segurança:
- Alerta de fraude: adiciona uma notificação ao seu relatório de crédito informando que você pode ter sido vítima de fraude. Os credores devem verificar a sua identidade antes de abrir novas contas.
- Congelamento de segurança: evita que os credores acessem totalmente o seu relatório de crédito, bloqueando novas contas, a menos que você suspenda o congelamento.
Impacto financeiro da violação de dados da Change Healthcare
O impacto financeiro da violação de dados da Change Healthcare foi substancial. O ataque de fevereiro resultou em perdas de 872 milhões de dólares, que cresceram para 2,45 mil milhões de dólares no final de setembro de 2024. Estes custos incluíram pagamentos acelerados e empréstimos sem juros a prestadores de cuidados de saúde afetados, reconstrução dos sistemas da Change Healthcare e esforços de resposta a incidentes. O encargo financeiro não se limitou apenas à UnitedHealth; muitos prestadores de cuidados de saúde que dependiam dos serviços da Change Healthcare também enfrentaram dificuldades financeiras significativas.
Além dos custos diretos de resposta à violação, a UnitedHealth também enfrentou danos à sua reputação. A violação minou a confiança na capacidade da UnitedHealth de proteger dados sensíveis, e esta perda de confiança pode ter implicações financeiras a longo prazo. Pacientes e prestadores de cuidados de saúde podem hesitar em trabalhar com uma empresa que sofreu uma falha de segurança tão significativa, o que pode levar a uma perda de negócios e receitas.
O impacto financeiro também se estendeu aos indivíduos afetados. Aqueles cujas informações pessoais e financeiras foram comprometidas enfrentaram o risco de roubo de identidade e fraude financeira. Muitos indivíduos tiveram de tomar medidas para se protegerem, como congelar o seu crédito, monitorizar as suas contas financeiras e estar atentos a sinais de roubo de identidade. O custo destas medidas de protecção, tanto em termos de tempo como de dinheiro, aumentou o peso global da violação.
Quantas pessoas foram afetadas pela violação?
Mais de 100 milhões de pessoas foram afetadas pela violação de dados da Change Healthcare. Isso a torna uma das maiores violações de dados de informações de saúde da história. O número de indivíduos afetados sublinha a escala do ataque e o amplo alcance das operações da Change Healthcare nos Estados Unidos.
Que tipo de informação foi roubada?
Os dados roubados incluíam detalhes de seguro saúde, registros médicos, informações de cobrança e pagamento, números de Seguro Social e outros identificadores pessoais. Nem todos os indivíduos tiveram os mesmos tipos de informação comprometidos, mas a diversidade dos dados roubados significa que os riscos potenciais são variados e significativos. A exposição de uma gama tão ampla de informações torna esta violação particularmente preocupante tanto para os indivíduos como para o setor da saúde como um todo.
Quem foi o responsável pela violação de dados da Change Healthcare?
O ataque de ransomware foi realizado pelo grupo ALPHV/BlackCat, uma gangue de ransomware de língua russa. Após o pagamento inicial do resgate, uma afiliada do grupo formou uma nova operação de ransomware chamada RansomHub, exigindo pagamento adicional da UnitedHealth. Esta série de eventos destaca os desafios de lidar com grupos de ransomware, pois mesmo o pagamento do resgate não garante a segurança dos dados roubados.
#ALPHV fraudando afiliados? $ 22 milhões pagos e retirados pic.twitter.com/0ocKoXNLme
— 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) 4 de março de 2024
Que medidas a Change Healthcare tomou em resposta à violação?
A Change Healthcare tem trabalhado para notificar os indivíduos afetados e ofereceu apoio aos consumidores e prestadores de cuidados de saúde. Eles também reconstruíram partes da sua rede e implementaram medidas de segurança adicionais. Estas medidas incluem o reforço dos seus protocolos de segurança cibernética, a implementação da autenticação multifatorial e a realização de uma revisão completa das suas práticas de segurança para evitar incidentes futuros. No entanto, a eficácia destas medidas no restabelecimento da confiança e na prevenção de futuras violações continua por ver.
Essa violação poderia ter sido evitada?
De acordo com o CEO da UnitedHealth, Andrew Witty, a violação de dados da Change Healthcare poderia ter sido evitada se a empresa tivesse usado autenticação multifatorial para proteger seus sistemas de acesso remoto. Isto destaca uma falha na implementação de protocolos básicos de segurança cibernética. O facto de uma medida tão simples poder ter evitado uma das maiores violações de dados de saúde da história sublinha a importância de aderir às melhores práticas de segurança cibernética. Também levanta questões sobre o estado mais amplo da segurança cibernética no setor da saúde e a necessidade de regulamentações mais rigorosas.
Quais são as consequências a longo prazo desta violação?
As consequências a longo prazo incluem a potencial utilização indevida de dados roubados para roubo de identidade ou outros esquemas de extorsão. A violação de dados da Change Healthcare também levou a uma perda de confiança na capacidade da UnitedHealth de proteger informações confidenciais de saúde e levou ao escrutínio regulatório das suas práticas de segurança cibernética. Além disso, a violação desencadeou uma conversa mais ampla sobre a necessidade de melhores padrões de segurança cibernética no setor da saúde. O impacto a longo prazo sobre os indivíduos, os prestadores de cuidados de saúde e a indústria como um todo dependerá da eficácia com que a UnitedHealth e outras partes interessadas abordam estes desafios e implementam as mudanças necessárias.
Com mais de 100 milhões de pessoas afetadas, as consequências deste ataque são um lembrete da necessidade crítica de melhores salvaguardas e responsabilização no setor da saúde. O incidente expôs vulnerabilidades significativas na forma como os dados de saúde são protegidos e suscitou apelos por regulamentações mais rigorosas e práticas de segurança mais eficazes.
As investigações em andamento visam rastrear os responsáveis e prevenir incidentes semelhantes no futuro. No entanto, a violação de dados da Change Healthcare já teve consequências de longo alcance, afetando milhões de indivíduos, prestadores de cuidados de saúde e o sistema de saúde em geral. As lições aprendidas com esta violação devem ser utilizadas para impulsionar mudanças significativas na forma como os dados de saúde são protegidos, garantindo que a privacidade e a segurança das informações sensíveis dos indivíduos sejam priorizadas num mundo cada vez mais digital.
Créditos da imagem: Kerem Gülen/Ideograma