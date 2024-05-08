O impacto do recente ataque cibernético da Change Healthcare é sem precedentes, assim como os custos. Rick Pollack, o presidente e CEO da American Hospital Association afirmou: "O ciberataque à Change Healthcare é o incidente mais significativo e consequente desse tipo contra o sistema de saúde dos EUA na história."
Em uma call recente de resultados, o UnitedHealth Group, a empresa-mãe da Change Healthcare, especulou sobre os custos gerais da violação de dados. Quando tudo estiver dito e feito, a conta total poderá chegar a US$ 1 bilhão ou mais.
No final de fevereiro, a gangue de ransomware ALPHV/ BlackCat assumiu a responsabilidade por invadir a Change Healthcare. Os invasores interromperam operações e exfiltraram até 4 TB de dados, incluindo informações pessoais, detalhes de pagamento, registros de seguro e outras informações confidenciais. Isso levou a um pagamento de ransomware não verificado de US$ 22 milhões.
A Change Healthcare desempenha um papel central em 15 bilhões de transações e USD 1,5 trilhão em sinistros de saúde anualmente. Após o ataque, a empresa teve de encerrar as principais operações, e foi difícil colocar os sistemas totalmente online novamente.
O ataque cibernético Change Healthcare coloca em risco a sobrevivência de muitas práticas de saúde devido a atrasos no atendimento do paciente e no reembolso. O incidente teve repercussões massivas em todo o setor de saúde dos EUA.
"Os impactos cibernéticos no trimestre totalizaram cerca de US$ 870 milhões", disse John Rex, Presidente e Diretor Financeiro do UnitedHealth Group na recente teleconferência de resultados.
“Dos USD 870 milhões, cerca de USD 595 milhões foram custos diretos devido à restauração da plataforma da câmara de compensação e outros esforços de resposta, incluindo despesas médicas diretamente relacionadas à suspensão temporária de algumas atividades de gerenciamento de cuidados. Para o ano inteiro, estimamos esses custos diretos em US$ 1 bilhão a US$ 1,15 bilhão", continuou Rex.
Parte dos custos do incidente da Change Healthcare inclui um pagamento de mais de US$ 2 bilhões para ajudar os prestadores de serviços de saúde afetados pelo ataque cibernético. No entanto, isso pode não ser suficiente para ajudar algumas práticas a se recuperar do impacto.
Uma pesquisa realizada pela American Medical Association (AMA) mostrou a extensão dos danos. Em porcentagem de práticas entrevistadas afetadas:
Na pesquisa, alguns profissionais compartilharam sua dor com palavras, comentando como "Este ciberataque está me levando à falência, e estou prestes a ficar sem dinheiro". Outros entrevistados disseram: “Isso prejudicou nossa nova prática. Estou mantendo as luzes acesas usando fundos pessoais.” Outro profissional disse que o incidente pode levar à falência sua "prática de 50 anos" em uma comunidade rural.
Embora não tenha sido especificamente mencionado na chamada de resultados do UnitedHealth Group, os custos legais associados ao hack serão altos. Para amenizar o golpe, a Change Healthcare quer consolidar 24 ações judiciais de classe, de acordo com um recente documento judicial.
A subsidiária do UnitedHealth Group pediu a um painel judicial para combinar os processos e centralizá-los no Tribunal Distrital federal dos EUA para o Distrito Médio do Tennessee, onde a Change Healthcare está sediada. A empresa argumenta que os casos compartilham reivindicações de fato e legais e que a consolidação preservaria os recursos do tribunal.
Se o primeiro hack não foi ruim o suficiente, surgiram novos relatórios de que a Change Healthcare está sendo extorquida novamente por outro grupo chamado RansomHub. Ataques de ransomware de extorsão em várias fases como esse são muito comuns, pois os invasores tentam dobrar suas demandas.
Neste caso, a segunda extorsão parece ser um afiliado da ALPHV que provavelmente participou de um esquema do tipo Ransomware como Serviço , onde múltiplos atores participam do ataque. Capturas de tela vazadas parecem mostrar dados de saúde e arquivos do Change Healthcare, incluindo dados de pacientes. O grupo afirma que venderá os dados roubados a quem der o lance mais alto se a Change Healthcare se recusar a negociar o pagamento.
Não está claro se essa segunda tentativa de extorsão foi incluída na análise de custo. De qualquer forma, o ataque do Change Healthcare entrará para a história como uma das violações de dados mais caras de todos os tempos. Como escreveram os membros do Congresso: “A violação da mudança equivaleu a atingir o sistema de integridade em sua totalidade”.