헬스케어사이버해킹2200만달러'거래'개인의료정보 고가화
Healthcare cyber hacking $22 million ‘tr
헬스케어 사이버 해킹 2200만 달러 ’거래‘ 개인 의료정보 고가화
미국에서 사이버 공격으로 의료 기록이 거액 요구 가치로 도난이 빈발해지며 병원, 건강 보험사, 의사 클리닉 및 기타 업계의 주요 해킹 대상이 점점 더 많아지고 있다.
전체 환자 기록의 1/3을 처리하는 미국 최대의 정보 센터인 유나이티드헬스 그룹(UnitedHealth Group)의 자회사인 체인지 헬스케어(Change Healthcare)에 대한 공격이 절정에 달하며 헬스케어 대한 t사이버 공격이 미국 의료 시스템 전반에 걸쳐 취약점이 얼마나 심각한지 드러냈다고 뉴욕타임스가 지난달 30일 보도했다.
미국 연방수사국(FBI)과 보건복지부는 환자의 기록과 개인 정보가 유출됐는지 여부를 포함해 체인지 해킹 사건을 조사하고 있다.
체인지의 네트워크는 환자의 첫 번째 의사 방문부터 암이나 우울증과 같은 진단, 그리고 후속 치료에 이르기까지 정보를 건강 보험사에 연결하여 혜택 및 지불을 받는 디지털 교환기 역할을 하기 때문에 사람들의 의료 기록이 수년 동안 노출 위험에 커졌다.
NYT는 헬스케어 산업이 표적이 되는 이유에 대해 “의료 기록은 도난당한 신용 카드보다 몇 배나 많은 금액 요구할 수 있고 빠르게 해지할 수 있는 신용카드와 달리 개인의 의료 정보는 변경할 수 없다”며 “개인 건강 정보가 도난당할 경우 환자는 거의 구제할 수 없다”고 밝혔다.
NYT는 이번 사이버 공격에 대해 “의료 산업에서 거의 보편화되어 버린 가장 광범위한 사례일 뿐”이라며, 데이터 보안 회사인 엠시소프트(Emsisoft)에 따르면 소유자가 해커에게 돈을 지불하지 않으면 범죄자가 컴퓨터 시스템을 종료하는 랜섬웨어 공격은 2022년 25개에서 지난해 46개 병원 시스템에 영향을 미쳤고, 해커들은 최근 몇 년 동안 의료 트랜스크립션 및 청구와 같은 서비스를 제공하는 회사를 무너뜨렸다고 밝혔다.
미국 병원협회(American Hospital Association)의 사이버 보안위험 국가 고문인 존 리기(John Riggi)는 "우리는 당신의 진단을 취소하고 새로운 진단을 보낼 수 없다"며 “그 기록들은 의료 사기를 저지르기 쉽기 때문에 가치가 있다”고 NYT에 말했다.
건강 보험사는 은행과 달리 사기를 감지하기 위해 정교한 방법을 사용하지 않는 경우가 많아 허위 청구를 쉽게 제출할 수 있으며, 사회 보장 번호 및 기타 금융 정보 도난에 대해 걱정하는 사람들은 신용 모니터링 기관에 등록해 구제 할 수 있으나 개인 건강 정보 도난의 환자는 거의 구제할 수 없다.
의료 해킹 사건에 대해 병원 네트워크 및 기타 의료 그룹은 환자의 노출을 제한하기 위해 신속하게 거래해 요구액을 지불했고, 이번 체인지 헬스케어 사건은 2,200만 달러의 몸값을 지불한 것으로 알려졌다.
NYT는 “FBI가 랜섬웨어 공격의 표적이 되지 말라고 조언하지만, 대부분의 병원은 위험이 너무 높기 때문에 돈을 지불한다”고 밝혔다.
상원 재정위원회의 민주당 위원장인 론 와이든 상원의원(오리건)은 최근 예산안 청문회에서 "오늘날 의료 산업에 대한 연방 정부의 의무적인 기술 사이버 보안 표준은 없다"며 "사람들이 수십 년 동안 이에 대해 이야기해 왔음에도 불구하고 의료 산업에 대한 연방 의무 기술 사이버 보안 표준은 없다. 이제는 바뀌어야 한다"고 밝혔다.
바이든 행정부는 최근 예산안의 일환으로 병원 시스템 개선을 돕기 위해 초기 8억 달러를 의회에 요청했으나 의회가 현재 현대화를 위한 자금을 제공할 수 있을지, 또는 제공할 의향이 있는지는 분명하지 않다고 NYT가 밝혔다.
대부분의 병원은 엄격한 디지털 보호에 비용을 들이지 않고 최신 MRI 기술이나 진단 장비에 투자하고 더 많은 간호사에게 계속 돈을 쓰고 있다.
병원과 의사들이 보안 조치 강화에 비용 지불을 소홀히 한 틈에 의료에 연결된 제품과 공급업체가 뒤죽박죽 섞여 있어 디지털 측면의 문이 열린 상태로 해커를 유인하고 있다.
체인지 사건은 이전에 해킹이 주로 개별 병원 시스템을 겨냥했고, 이로 인해 여러 건강 의료 단체들은 자신들의 위험을 과소평가했다.
랜섬웨어 공격으로 영국 국민보건서비스(National Health Service)의 의료 기록이 잠겨 환자들에게 막대한 혼란을 초래했던 2017년 사건은 미국에 앞서 단일 의료체계의 허점을 드러냈다.
사이버 보안 컨설턴트와 정부 관료들은 미국 경제에서 가장 공격에 취약한 부문으로 의료 서비스를 꼽았으며, 에너지와 물만큼이나 미국의 중요한 인프라의 일부라고 NYT가 밝혔다.
보험회사 디디바이드 헬스(Devoted Health)의 기술책임자이며 연방 과학기술정책국(Office of Science and Technology Policy)의 전 수석 데이터 과학자인 D.J. 파틸은 “우리 모두가 겁에 질려야 한다"며 "사이버 보안 및 정보 보안과 관련하여 전체 부문은 자원이 심각하게 부족하다"고 NYT에 밝혔다.
서터 헬스(Sutter Health)의 수석 부사장이며 전국 생명과 건강통계위원회(National Committee on Vital and Health Statistics) 재키 몬슨 의장은 "사람들은 무엇에 투자할지 결정해야 하며, 사이버 보안은 일반적으로 목록의 맨 위에 있지 않다"고 NYT에 말했다.
체인지 헬스케어 사건은 2월 21일 ‘어슈어런스’ 앱과 ‘릴레이 익스체인지’ 앱이 블랙캣(ALPV)으로 알려진 해킹 그룹의 사이버 공격으로 마비됐다.
‘어슈어런스’는 의료 청구·송금 관리, ‘릴레이 익스체인지’는 청구된 보험의 오류 검사 해결 시스템이다.
체인지헬스케어는 의사 90만명, 약국 3만3000개, 병원 5500개, 실험실 약 600개 등의 고객의의료기술 기업으로 미국 내 의료 청구의 약 50%를 처리하며, 2021년 미국 대형 보험사 UNH에 인수·합병됐다.
UNH는 3월 18일 의료 청구 시스템을 복구할 예정이며 해킹으로 재정적 피해를 본 의료기관에 지금까지 20억 달러 이상의 선지급금을 지급했다고 밝혔다.
UNH는 대응책으로 “플랫폼에 대한 완전한 신뢰 회복을 위해 모든 예방 및 안전 조치를 취했으며 내부 및 제3자 파트너와 함께 여러 과정의 보안 프로토콜(컴퓨터 상호간 통신 규약) 마련했다”고 설명했다. kimjc00@hanmail.net
Healthcare cyber hacking $22 million ‘transaction’ Personal medical information becomes expensive
Hospitals, health insurers, physician clinics and other industries are increasingly becoming prime targets for hacking as cyberattacks in the U.S. increasingly result in medical records being stolen for large sums of money.
Cyberattacks on the U.S. healthcare system culminated in an attack on Change Healthcare, a subsidiary of UnitedHealth Group, the largest information center in the U.S. that handles one-third of all patient records. The New York Times reported on the 30th of last month that it revealed how serious the vulnerabilities were overall.
The FBI and the Department of Health and Human Services are investigating the Change hack, including whether patient records and personal information were compromised.
Change's network acts as a digital exchange that links information to health insurers for benefits and payments, from a patient's first doctor's visit to a diagnosis like cancer or depression, and subsequent treatment, so people's medical records are exposed for years. The danger grew.
As for why the healthcare industry is being targeted, the NYT said, “Medical records can demand several times more money than a stolen credit card, and unlike credit cards, which can be canceled quickly, personal medical information cannot be changed.” “Personal health “If information is stolen, patients have little relief,” he said.
The NYT described this cyberattack as “just the most widespread example of what has become almost universal in the healthcare industry,” and according to data security company Emsisoft, criminals are forced to shut down computer systems unless owners pay the hackers. Ransomware attacks affected 46 hospital systems last year, up from 25 in 2022, and hackers have taken down companies that provide services such as medical transcription and billing in recent years, it said.
“We can’t cancel your diagnosis and send you a new diagnosis,” said John Riggi, national counsel for cybersecurity risk at the American Hospital Association. “Those records are valuable because they make it easy to commit health care fraud.” “There is,” he told the NYT.
Unlike banks, health insurers often don't use sophisticated methods to detect fraud, making it easy for them to submit false claims, and people worried about their Social Security numbers and other financial information being stolen can seek relief by registering with a credit monitoring agency. However, there is little relief for patients whose personal health information has been stolen.
In response to medical hacking incidents, hospital networks and other medical groups quickly transacted and paid demands to limit patient exposure, and in this Change Healthcare incident, a ransom of $22 million was reportedly paid.
The NYT said, “Although the FBI advises against being the target of ransomware attacks, most hospitals pay up because the risks are too high.”
“There are no federally mandated technical cybersecurity standards for the healthcare industry today,” Sen. Ron Wyden of Oregon, the Democratic chairman of the Senate Finance Committee, said during a recent budget hearing. “People have been talking about this for decades.” “Despite this, there are no federally mandated technical cybersecurity standards for the healthcare industry. It’s time for that to change.”
The Biden administration has asked Congress for an initial $800 million to help improve hospital systems as part of its latest budget proposal, but it is not clear whether Congress is currently able or willing to provide funding for modernization, the NYT said.
Most hospitals are investing in the latest MRI technology or diagnostic equipment and continuing to spend money on more nurses, without spending money on strict digital protection.
As hospitals and doctors neglect to pay for increased security measures, the hodgepodge of healthcare-connected products and suppliers is leaving the digital door open for hackers.
Change Incidents: Previous hacks have mainly targeted individual hospital systems, causing several health care organizations to underestimate their risks.
The 2017 incident in which medical records from the UK's National Health Service were locked due to a ransomware attack, causing enormous confusion for patients, exposed loopholes in the single healthcare system ahead of the US.
Cybersecurity consultants and government officials have identified health care as the most vulnerable sector of the U.S. economy to attack, and it is as much a part of America's critical infrastructure as energy and water, according to the New York Times.
D.J., chief technology officer at insurance company Devoted Health and former chief data scientist at the federal Office of Science and Technology Policy. “We should all be terrified,” Patil told the New York Times. “The entire sector is severely under-resourced when it comes to cybersecurity and information security.”
“People have to decide what to invest in, and cybersecurity is usually not at the top of the list,” said Jackie Monson, senior vice president at Sutter Health and chair of the National Committee on Vital and Health Statistics. “No,” he told the NYT.
In the Change Healthcare incident, on February 21, the ‘Assurance’ app and the ‘Relay Exchange’ app were paralyzed by a cyber attack by a hacking group known as Black Cat (ALPV).
‘Assurance’ is a medical billing and remittance management system, and ‘Relay Exchange’ is a system for checking and resolving errors in claimed insurance.
Change Healthcare is a customer medical technology company with 900,000 doctors, 33,000 pharmacies, 5,500 hospitals, and about 600 laboratories. It handles about 50% of medical claims in the U.S. and will be acquired by UNH, a large U.S. insurance company, in 2021. ·Merged.
UNH said it plans to restore its medical billing system on March 18 and has so far paid more than $2 billion in advance payments to medical institutions that suffered financial damage from the hack.
In response, UNH explained, “We have taken all preventive and safety measures to restore complete trust in the platform and have established multiple security protocols (intercomputer communication protocols) internally and with third-party partners.”
Personal health information, ransomware, hospital network, cybersecurity, cyber hacking, medical system, medical information, medical billing, protocol, healthcare
