Numa tensa audiência no Senado na quarta-feira, os legisladores criticaram duramente a forma como o UnitedHealth Group lidou com o ataque cibernético que paralisou o sistema de saúde dos EUA, citando a falha dos seus sistemas de segurança e a potencial divulgação de informações médicas sensíveis de milhões de americanos.
Senadores democratas e republicanos questionaram se o ataque cibernético à Change Healthcare, que gere um terço de todos os registos de pacientes dos EUA e cerca de 15 mil milhões de transações por ano, foi tão vasto porque a UnitedHealth está profundamente enraizada em quase todos os aspetos dos cuidados médicos do país. O UnitedHealth Group não é apenas o controlador da Change, mas também o controlador da maior seguradora de saúde do país e um grande gestor de benefícios farmacêuticos (Optum). A United também supervisiona quase um em cada 10 médicos no país.
“O hack da Change é um alerta terrível sobre as consequências de megacorporações ‘grandes demais para falir’ que devoram ações cada vez maiores do sistema de saúde”, disse o senador Ron Wyden, o democrata do Oregon que é presidente do Comitê de Finanças. .
O sistema de saúde dos EUA foi lançado no caos após o ataque de 21 de Fevereiro à Change, que serve como uma via digital entre seguradoras de saúde, hospitais e médicos. Os pacientes não conseguiam aviar as receitas e os hospitais e médicos enfrentavam uma grave crise financeira porque não podiam ser pagos pelos seus cuidados.
O presidente-executivo da UnitedHealth, Andrew Witty, foi convocado para testemunhar perante o Comitê de Finanças do Senado e o Comitê de Energia e Comércio da Câmara.
Na manhã desta quarta-feira, ele defendeu os esforços da empresa para restaurar os serviços e pediu desculpas.
“Como resultado deste ataque cibernético malicioso, pacientes e prestadores de serviços sofreram interrupções e as pessoas estão preocupadas com os seus dados privados de saúde. Para todos os afetados, deixe-me ser muito claro: lamento profundamente, profundamente”, disse ele.
Mas Witty reconheceu a falta de segurança digital que permitiu que hackers entrassem na rede da Change e admitiu que a United fracassou nos esforços iniciais para ajudar a cobrir os pagamentos dos provedores.
Na semana passada, a United começou a revelar que hackers obtiveram acesso a alguns dados de pacientes, embora Witty tenha dito aos senadores que demoraria um pouco até que a empresa tivesse uma compreensão sólida da extensão dessa violação de informações de pacientes.
Witty disse que a UnitedHealth estava trabalhando com os reguladores para determinar quando e como começar a se comunicar com as pessoas afetadas.
“Queremos tentar evitar a comunicação fragmentada”, disse ele.
A United foi forçada a desligar completamente os sistemas da Change por várias semanas, provocando discussões tensas entre senadores e Witty sobre o ritmo de reembolsos a hospitais e outros fornecedores.
Witty disse aos senadores que “o fluxo de reclamações em todo o país está essencialmente de volta ao normal”. Wyden disse que ouviu de fornecedores que entraram com ações em fevereiro que levaria pelo menos até junho para serem reembolsados.
“Podemos avançar muito mais rápido do que isso”, disse Witty, pedindo para ser colocado em contato com qualquer organização que tenha reclamado com Wyden.
“Praticamente todos os provedores que encontro estão esperando para serem pagos”, retrucou Wyden.
Minutos depois, a senadora Marsha Blackburn, republicana do Tennessee, repetiu Wyden, acusando Witty de apresentar um retrato “róseo” do processo de reembolso e dizendo que seu escritório foi bombardeado por ligações de prestadores de saúde esperando para serem pagos.
Um hospital no estado tinha um acúmulo de pedidos de reembolso do Medicare equivalente a um mês de receita, observou a Sra. Blackburn.
“Todos os dias eles ligam para saber uma atualização. Todos os dias eles estão ligando. E eles sofrem confusão todos os dias, repetidamente”, disse ela. “É como se todos vocês não conseguissem descobrir isso.”
Witty também reconheceu que a empresa pagou um resgate de US$ 22 milhões aos agressores, dizendo que “a decisão de pagar o resgate foi minha. Esta foi uma das decisões mais difíceis que já tive dificuldade de tomar.”
O FBI e outras autoridades estão investigando o hack.
A UnitedHealth foi criticada por ser cautelosa sobre os detalhes do ataque.
“Você esteve em todo o mapa em termos de responsabilidade pessoal”, disse Wyden ao Sr. Witty. “Você minimizou consistentemente seu papel nisso.”
Wyden disse que a UnitedHealth não conseguiu aplicar o tipo mais básico de medida de segurança cibernética – a chamada autenticação multifatorial.
Witty disse que, a partir de quarta-feira, todos os “sistemas voltados para o exterior” da UnitedHealth estavam implantando essa forma de autenticação. A empresa também trouxe grupos externos para fazer varreduras adicionais da tecnologia da empresa, acrescentou, e contratou a Mandiant, uma empresa de segurança cibernética, como consultora.
“Isso é algo básico que foi esquecido”, disse o senador Thom Tillis, republicano da Carolina do Norte, segurando um exemplar do livro “Hacking for Dummies”.
A audiência deu ao Sr. Witty a chance de oferecer um cronograma mais detalhado do hack e a resposta a ele.
Os cibercriminosos obtiveram acesso aos sistemas da Change em 12 de fevereiro, nove dias antes da UnitedHealth perceber que precisava desligá-los. Witty enfatizou que a empresa evitou rapidamente que o ataque se espalhasse além da Change, para a controladora ou qualquer uma de suas outras unidades, como a Optum ou a seguradora de saúde. “Contivemos o alcance da explosão apenas para Change”, disse ele.
Witty também argumentou que a vulnerabilidade do sistema de saúde a hacks vai muito além do United, que, segundo ele, revoga uma tentativa de intrusão a cada 70 segundos. Ele disse que, como a United só adquiriu o sistema Change há 18 meses, não foi capaz de renovar totalmente as “tecnologias legadas” do Change que o tornaram vulnerável ao hack.
Witty disse em outro momento da audiência que simpatizava com os fornecedores que estavam relutantes em usar o Change novamente.
“A razão pela qual a recuperação demorou mais do que o esperado é que literalmente construímos esta plataforma do zero, para que possamos tranquilizar as pessoas de que não há elementos do antigo ambiente atacado na nova tecnologia”, disse ele.
A aquisição da rede Change pela United em 2022 foi considerada por alguns senadores como um exemplo de consolidação em massa no setor de saúde. O Departamento de Justiça, que supervisiona as seguradoras de saúde, tentou bloquear a compra da Change pela United, mas não conseguiu convencer um juiz federal de que o acordo era anticompetitivo.
A senadora Elizabeth Warren, democrata de Massachusetts, rotulou a UnitedHealth de “um monopólio de esteróides”, observando mais de uma vez que era a 11ª maior empresa do mundo.
Ela acusou a United de aproveitar o caos criado pelo hack para adquirir ainda mais consultórios médicos, dizendo que agora supervisionava um em cada dez médicos do país.
Witty contestou suas afirmações, apontando setores onde a United não fazia negócios. “Apesar do nosso tamanho, não possuímos hospitais na América e nenhum fabricante de medicamentos”, disse ele.
.