Healthcare Cybersecurity Act: подробности

Сенаторы Джеки Розен (демократ от Невады), Тодд Янг (республиканец от Индианы) и Ангус Кинг (независимый от Мэна) представили законопроект Healthcare Cybersecurity Act (HCA), целью которого является защита медстраховок от хакерских атак.

Спонсоры билля требуют, чтобы Департамент здравоохранения и социальных служб (HHS) чётко следовал всем требованиям Агентства по кибербезопасности и защите инфраструктуры (CISA), а все основные спецслужбы США получили доступ к федеральной базе медицинских страховок. Уровень безопасности данных о медстраховках сенаторы предлагают поднять до наивысшего уровня (к нему, например, относятся данные о номерах социального страхования американцев).

Любопытно, что разработка HCA заняла всего шесть недель, и беспрецедентная для Конгресса скорость работы объясняется шквалом хакерских атак на Медикер и Медикейд, которые начались зимой 2023 года и продолжаются до сих пор.

Волна киберпреступлений даже изменила значение термина Medicaid/Medicare Fraud. Раньше он использовался преимущественно в отношении докторов, которые брали деньги за процедуры и операции, которые либо никогда не проводились, либо в которых не было необходимости. Известны случаи, когда такие мошенники обворовывали медстраховки даже не на миллионы, а на миллиарды долларов.

Сегодня Medicaid/Medicare Fraud чаще похож на инцидент, произошедший с 55-летней жительницей Калифорнии Аннет Д.

Она владела иншуренсом Медикейд, но ходила по врачам крайне редко - не чаще одного раза в два года. В феврале этого года к Аннет пришли сотрудники спецслужб и обвинили её в краже $1.7 млн. со страховки. Её Медикейд был «зачарджан» 14 раз в 10 разных штатах.

Согласно распечаткам биллинга, женщина получала несколько дорогостоящих препаратов и сделала аж восемь операций на коленных суставах.

Расследование быстро зашло в тупик, так как ни одного живого человека, причастного к мошенничествам, выявлено не было. Деньги были похищены внутри сложной компьютерной программы, доступ к которой имеют многочисленные посредники между Centers for Medicare & Medicaid Services (CMS) и пациентом.

С начала года произошли тысячи подобных инцидентов. У CMS до сих пор нет чёткой инструкции, как именно с ними бороться. Как результат, служба просто блокирует иншуренс и начинает расследование (investigation), которое может длиться до бесконечности. Пострадавший человек всё это время не может ходить по докторам, так как сам является подозреваемым.

Грубо говоря, ситуация очень похожа на кражу денег с кредитных карт. Разница лишь в том, что заметив fraudulent charge, вы звоните в банк и быстро восстанавливаете справедливость. Следить за платежами Медикер/Медикейд в режиме онлайн вы не в состоянии, поэтому когда происходит что-то подозрительное, страховку блокирует CMS, страховая компания или посредники.

Хакеры могут украсть деньги с иншуренса за считанные минуты, а расследование может занять годы. CMS часто подключает адвокатов, аудиторов и других специалистов, работающих качественно, но крайне медленно.

Самый простой способ решить проблему кибербезопасности Медикер/Медикейд - сделать все платежи прозрачными и доступными для всех звеньев в иншуренсной цепочке. Сегодня пациент не всегда знает, сколько за его лечение платит Медикер/Медикейд, поэтому хакеры-мошенники могут похищать с его страховки любые суммы.

Разрабатывая билль HCA, сенаторы ужаснулись, насколько закрытой является система медицинских страховок в США. С 2019 года сотрудники CISA неоднократно пытались получить доступ к системе для выявления брешей, которыми могут воспользоваться хакеры. HHS, однако, так никого и не допустила в свою базу данных, а CMS пригрозила судебным иском за «попытку проникновения в базы медицинских данных жителей США». Мол, здоровье человека - дело конфиденциальное и интимное. Следовательно, даже в финансовых данных Медикейд/Медикер инспекторам делать нечего.

Таким образом, HHS и CMS сами виноваты в происходящем. Сначала они создали сверх дорогую систему страхования, которая обходится в треть федерального бюджета, а потом поставили крест на всех попытках её независимого аудита. Более закрытой государственной структурой (базой данных) сегодня является только Федеральная резервная система (FED). Её аудит также находится под запретом.

Как защитить свою страховку от хакеров?

Самый часто встречающийся ответ на этот вопрос примитивен донельзя: храните карточку Медикейд/Медикер в надёжном месте, не давайте посторонним лицам её номер и копию (ксерокопия, цифровая фотография), ходите только к лицензированным докторам, внимательно читайте письма от вашего страховщика или HHS/CMS.

В реальности, деньги с вашего иншуренса могут украсть даже при соблюдении всех этих рекомендаций. Данные карточек крадут только самые мелкие мошенники. Хакеры воруют миллионы долларов через бреши в компьютерных системах. HHS/CMS хорошо об этом знают и каждый раз, запрашивая деньги из федерального бюджета, включают в необходимую сумму убытки от мошенников за уходящий год. В 21-м столетии она колебалась от $6 до $39 млрд. в год.

Ожидается, что законопроект HCA пройдёт через Конгресс и получит подпись президента Байдена уже этой осенью - как только политики вернутся с летних каникул.

Сколько времени уйдёт на внедрение новых мер кибербезопасности - неизвестно. Пока же каждый обладатель медицинской страховки (особенно - Медикейд/Медикер) должен быть психологически готов к вероятным проблемам с иншуренсом.

В пятёрку штатов, где кибер воровство страховых денег происходит чаще всего, входят Техас, Калифорния, Флорида, Луизиана и Массачусетс. Нью-Йорк - на шестом месте.  

Вадим Дымарский 

Ссылка по теме:

Обрыв под названием Медикер

Почему Медикер становится хуже Медикейд