นายแอนดรูว์ วิตตี ซีอีโอของยูไนเต็ดเฮลท์ (UnitedHealth) ซึ่งเป็นบริษัทประกันสุขภาพรายใหญ่ที่สุดของสหรัฐ ได้แจ้งต่อคณะกรรมาธิการสภาคองเกรสเมื่อวานนี้ (1 พ.ค.) ว่า แฮกเกอร์ที่เจาะเข้าระบบเทคโนโลยีของบริษัทฯ เมื่อเดือนก.พ.ที่ผ่านมา อาจขโมยข้อมูลของชาวอเมริกันไปได้มากถึง 1 ใน 3
สำนักข่าวรอยเตอร์รายงานว่า สองคณะกรรมาธิการสภาคองเกรสได้ซักไซ้ไล่เลียงนายวิตตีถึงกรณีการโจมตีทางไซเบอร์ที่เกิดขึ้นกับเชนจ์ เฮลท์แคร์ (Change Healthcare) ซึ่งเป็นบริษัทในเครือของยูไนเต็ดเฮลท์ที่ทำหน้าที่ดำเนินการเกี่ยวกับการเคลมประกันสุขภาพราว 50% ของทั้งประเทศสหรัฐ
การโจรกรรมข้อมูลครั้งนี้สร้างความเสียหายอย่างกว้างขวางต่อกระบวนการเคลมประกัน ส่งผลกระทบต่อทั้งผู้ป่วยและผู้ให้บริการทางการแพทย์ทั่วประเทศ
นายวิตตีเผชิญคำถามที่ดุเดือดจากสมาชิกวุฒิสภาในคณะกรรมาธิการพลังงานและพาณิชย์ เกี่ยวกับความล้มเหลวของบริษัทฯ ในการป้องกันการรั่วไหลของข้อมูลและการควบคุมความเสียหายที่ตามมา
เมื่อถูกกดดันให้เปิดเผยรายละเอียดของข้อมูลที่รั่วไหล นายวิตตีระบุว่า ข้อมูลสุขภาพที่ได้รับการคุ้มครองและข้อมูลที่สามารถระบุตัวตนได้ของชาวอเมริกัน อาจถูกขโมยไปแล้วถึง 1 ใน 3
นายวิตตีกล่าวว่า แก๊งอาชญากรไซเบอร์ AlphV แฮกเข้าระบบของเชนจ์ เฮลท์แคร์ เมื่อวันที่ 12 ก.พ. โดยใช้ข้อมูลการล็อกอินที่ขโมยมาจากเซิร์ฟเวอร์เก่าที่ไม่มีระบบยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication)
"มันเป็น... แพลตฟอร์มที่เพิ่งเข้ามาเป็นส่วนหนึ่งของบริษัทฯ เมื่อเร็ว ๆ นี้ และกำลังอยู่ในระหว่างการอัปเกรด" นายวิตตีกล่าว โดยหมายถึงการเข้าซื้อกิจการเชนจ์ เฮลท์แคร์ มูลค่า 1.3 หมื่นล้านดอลลาร์ เมื่อปี 2565
นอกจากนี้ แพลตฟอร์มดังกล่าวยังขาดมาตรการรักษาความปลอดภัยตามที่ระบุไว้ในคำเตือนร่วมที่ออกโดย FBI และเจ้าหน้าที่ด้านไซเบอร์และสุขภาพของสหรัฐเมื่อเดือนธ.ค. 2566 โดยคำเตือนดังกล่าวระบุถึงกลุ่ม AlphV หรือ "แบล็กแคต" (Blackcat) ที่มีเป้าหมายเจาะระบบองค์กรด้านการดูแลสุขภาพโดยเฉพาะ
นายวิตตีกล่าวว่า ยูไนเต็ดเฮลท์จ่ายเงินค่าไถ่ไปแล้วประมาณ 22 ล้านดอลลาร์ให้กับแก๊ง AlphV ในรูปแบบบิตคอยน์ อย่างไรก็ตาม ไม่มีอะไรมารับประกันว่าข้อมูลที่รั่วไหลจะปลอดภัยและจะไม่รั่วไหลอีก
ขณะเดียวกัน กลุ่มแฮกเกอร์อีกกลุ่มที่อ้างว่าแตกแขนงออกมาจาก AlphV กล่าวเมื่อเดือนที่แล้วว่า มีสำเนาของข้อมูลรั่วไหลดังกล่าว อย่างไรก็ดี บริษัทฯ ยังไม่ยืนยันความถูกต้องของคำกล่าวอ้างนี้
วุฒิสมาชิกบิล แคสซิดี กล่าวว่า สมาชิกวุฒิสภาในคณะกรรมาธิการฯ "จำเป็นต้องถามว่า บทบาทที่ครอบงำของยูไนเต็ดฯ นั้นครอบงำเกินไปหรือไม่ เพราะมันเข้าไปเกี่ยวข้องกับทุกอย่าง และการทำลายยูไนเต็ดฯ ก็จะเท่ากับทำลายทุกคนไปด้วย"
"ประเด็นของผมคือ ขนาดของยูไนเต็ดฯ กลายเป็นว่าใหญ่จนปล่อยล้มไม่ได้ เพราะถ้ามันล้ม มันจะดึงส่วนอื่น ๆ ให้ล้มตามไปด้วยมากกว่าที่ควรจะเป็น" นายแคสซิดีกล่าว
ด้านนายวิตตีตอบว่า "ผมไม่เชื่อว่าจะเป็นเช่นนั้น เพราะแม้ว่าเราจะมีขนาดใหญ่ แต่เราก็ไม่มีโรงพยาบาลในอเมริกา เราไม่ได้เป็นเจ้าของผู้ผลิตยารายใด"
นอกจากนี้ นายวิตตีเปิดเผยว่า ข้อมูลของสมาชิกกองทัพสหรัฐยังถูกขโมยในการแฮกครั้งนี้ด้วย แต่ไม่ได้ระบุจำนวนผู้ได้รับผลกระทบแต่อย่างใด
นายรอน ไวเดน ประธานคณะกรรมาธิการการคลังวุฒิสภา เรียกการแฮกครั้งนี้ว่าเป็นภัยคุกคามความมั่นคงของชาติ
"ยูไนเต็ดเฮลท์ กรุ๊ป ยังไม่ได้เปิดเผยว่ามีบันทึกประวัติการรักษาพยาบาลของผู้ป่วยจำนวนเท่าใดที่ถูกขโมย มีผู้ให้บริการทางการแพทย์กี่รายที่ไม่ได้รับเงินชดเชย และมีผู้สูงอายุจำนวนกี่คนที่ไม่สามารถรับยาตามใบสั่งแพทย์ได้เนื่องจากการถูกแฮก" นายไวเดนกล่าว
อนึ่ง ในจดหมายถึงคณะกรรมาธิการสภาคองเกรสทั้งสอง สมาคมโรงพยาบาลอเมริกันระบุว่า จากการสำรวจภายในของสมาชิกสมาคมฯ พบว่า 94% ของโรงพยาบาลรายงานว่าการแฮกครั้งนี้สร้างความเสียหายต่อกระแสเงินสด และมากกว่าครึ่งรายงานว่าได้รับความเสียหายทางการเงินอย่างรุนแรง เนื่องจากเชนจ์ เฮลท์แคร์ ไม่สามารถดำเนินการด้านการเคลมประกันได้
ในทำนองเดียวกัน 90% ของแพทย์ผู้ตอบแบบสำรวจของสมาคมแพทย์อเมริกันระบุว่า พวกเขายังคงสูญเสียรายได้เนื่องจากการแฮก ตามคำให้การเป็นลายลักษณ์อักษรของสมาคมฯ ต่อคณะกรรมาธิการการคลังวุฒิสภา