Le gouvernement fédéral pourrait faire davantage pour prévenir les cyberattaques comme celle qui a touché Change Healthcare, la filiale du UnitedHealth Group (UHG), a déclaré un expert en cybersécurité. Page Med aujourd’hui.
Change Healthcare effectuait probablement le genre de « tests d’intrusion » nécessaires pour déterminer le degré de vulnérabilité de son système au piratage, mais « je pense que nous, en tant que nation, faisons un très mauvais travail en ce qui concerne la création d’exigences en matière de rapports externes » de ces tests d’intrusion à une agence gouvernementale, a déclaré Jason Hogg, un ancien agent spécial du FBI. “Et je crois aussi… que nous devrions avoir une agence gouvernementale indépendante, que ce soit sous l’égide du Département de la Sécurité intérieure ou d’une autre agence, qui commencerait à faire ce qu’ils appellent des tests ‘à l’extérieur’,” dans lesquels des pirates informatiques employés par le gouvernement tentent pour pénétrer à la fois dans les logiciels d’une entreprise et dans son emplacement physique afin de voir s’ils peuvent voler des données.
Hogg, qui est actuellement cadre en résidence chez Great Hill Partners, une société d’investissement, s’est exprimé lors d’un entretien Zoom avec un responsable des relations publiques présent. Il faisait référence à la cyberattaque du 21 février qui a affecté la capacité de Change Healthcare, un centre d’échange de paiements, à traiter les réclamations envoyées par les médecins, les hôpitaux, les pharmacies et d’autres prestataires de soins de santé aux payeurs. L’entreprise gère jusqu’à un dossier patient sur trois dans le pays. L’attaque a entraîné des retards de paiement et entravé les opérations de nombreux clients Change.
Sur le plan administratif, des cyberattaques comme celle-ci « indiquent la nécessité d’examiner le rôle de ces processeurs dans l’environnement dans lequel nous nous trouvons actuellement », a déclaré Jason Lucas, directeur d’Avalere, un cabinet de conseil en soins de santé.
« À l’origine, les activités des centres de compensation et de traitement des demandes d’indemnisation étaient très indépendantes des payeurs de soins de santé », et il y avait beaucoup plus de payeurs et de processeurs de demandes d’indemnisation, a-t-il déclaré. “Ce que nous avons vu au cours des 20 dernières années, c’est une consolidation du nombre réel de payeurs, et nous avons également vu ces payeurs se lancer dans le domaine de l’évaluation et du traitement des réclamations.”
Actuellement, les deux principaux acteurs des centres d’échange de traitement des réclamations sont Change Healthcare et Availity, qui appartient en partie aux assureurs Humana et Elevance Health (anciennement Anthem Blue Cross Blue Shield), avec une participation minoritaire détenue par la branche d’investissement du fabricant pharmaceutique Novo Nordisk, a déclaré Lucas, qui a pris la parole lors d’un appel en ligne auquel était présent un responsable des relations publiques. Il a suggéré que les cabinets médicaux « doivent probablement examiner de près la possibilité d’avoir plusieurs centres d’information auxquels ils sont connectés, ou [try to] comprendre la transition d’un centre d’échange à un autre et comment le faire dans le cadre d’un plan de reprise après sinistre.
L’administration Biden a pris plusieurs mesures pour tenter d’atténuer les effets de l’attaque. Le 9 mars, les Centers for Medicare & Medicaid Services (CMS) ont déclaré dans une fiche d’information que l’agence était « en communication fréquente avec UnitedHealth Group et Change/Optum et qu’elle continuerait à faire pression sur eux pour qu’ils communiquent rapidement avec le secteur des soins de santé et à offrir de meilleures options de paiements provisoires aux prestataires et fournisseurs afin d’assurer la continuité des opérations pour tous les prestataires et fournisseurs de soins de santé touchés par l’incident. CMS rencontre également des régimes de soins de santé privés et encourage leurs efforts continus pour éviter de nouvelles perturbations de la santé secteur des soins. »
Le même jour, CMS a annoncé la disponibilité de paiements accélérés aux prestataires Medicare Part A et de paiements anticipés aux fournisseurs Medicare Part B confrontés à des interruptions de réclamations à la suite de la cyberattaque.
“Les (…) paiements accélérés et anticipés peuvent être accordés pour des montants représentatifs allant jusqu’à 30 jours de paiement des réclamations aux prestataires et fournisseurs éligibles”, a noté l’agence. “Le paiement moyen sur 30 jours est basé sur le total des réclamations payées au prestataire entre le 1er août 2023 et le 31 octobre 2023, divisé par trois. Ces paiements seront remboursés par récupération automatique des réclamations Medicare pendant une période de 90 jours. Une demande sera émise pour tout solde restant le jour 91 suivant l’émission du paiement accéléré ou anticipé.
En outre, l’administration a convoqué le PDG d’UnitedHealth, Andrew Witty, à la Maison Blanche le 12 mars, où lui et d’autres dirigeants de la communauté des payeurs ont été invités à mettre des fonds à la disposition des prestataires qui n’étaient pas payés à cause de l’attaque. “[HHS] secrétaire [Xavier] Becerra et conseiller en politique intérieure [Neera] Tanden a clairement indiqué que le gouvernement et le secteur privé doivent travailler ensemble pour aider les prestataires à payer les salaires et à fournir des soins en temps opportun au peuple américain et que les assureurs aident les prestataires en cette période difficile”, a déclaré le HHS dans un communiqué de presse après la réunion.
Et mercredi, le Bureau des droits civils (OCR) du HHS a ouvert une enquête sur la cyberattaque. Le bureau a déclaré dans un communiqué de presse que, étant donné que l’OCR est responsable de l’administration des dispositions en matière de confidentialité, de sécurité et de notification des violations de la Health Insurance Portability and Accountability Act (HIPAA), « étant donné l’ampleur sans précédent de cette cyberattaque, et dans le meilleur intérêt de “
Hogg a convenu qu’une enquête était une bonne idée, mais “il ne devrait pas s’agir de cibler [a particular company]”, a-t-il déclaré. “Au FBI, il existe un terme – un rapport “après action”, similaire à [what’s done in] les militaires. L’enquête est importante, mais elle doit se dérouler dans le contexte de l’apprentissage de ce qui se passe, puis de l’évaluation de l’exposition du secteur, plutôt que de cibler une entreprise en particulier, puis de mettre en place un plan d’action pour remédier aux vulnérabilités. “.
