2024 年 2 月,一場網路攻擊,讓全美國每 4 間醫院就有 3 間無法如常照顧病人,遭受財務損失的醫院更高達 94 %,部分醫院回報的財務損失更是從數億美金起跳,還有一些小型醫院甚至必須為此向銀行貸款應急。大型醫院之外,許多診所和藥局也面臨巨大衝擊,報導指出,有部分診所醫師甚至被迫把所有個人存款都領出來墊付開銷。
在法律和財務上,美國各間醫療院所明明並不屬於單一的公共醫療體系,看似各自為政,但由於美國醫療保險市場的寡佔,導致幾乎所有醫院的財務都必須仰賴少數幾間保險界巨頭的系統才能運作,而聯合健康保險(UnitedHealth Group)就是巨頭中的巨頭,是全球醫療產業界收益最高的企業。該集團在 2023 年進帳超過 3 千億美金,是全美第五大商業集團,更名列富比世 500 大企業中第 11 位。
這間大集團近年來大舉擴張,不斷從事所謂的「垂直整合」,也就是將同一產業的上中下游通通納入旗下,從保單提供、支付系統和第三方管理都有涉足,在前兩個領域是龍頭,在第三方管理產業則位居第三,全國幾乎所有醫院都必須和他們打交道。
2 月底導致全美七成醫院癱瘓的資安事故,正是由於聯合健康保險集團旗下、負責處理支付系統的 Change Healthcare 公司面臨勒索軟體攻擊,被迫將支付系統下線,才導致如此嚴重的後果。
而從資安技術的角度上來說,要防範這場攻擊根本不難。
根據事後釋出的資料顯示,聯合健康保險集團財力如此雄厚、權力如此龐大、又是身處如此敏感的產業,卻沒能做好現在許多公家機關和民間企業都已經採用的「多重要素驗證」(multifactor authentication,常簡稱為 MFA,也就是除了輸入帳號密碼之外,還額外要求其他資訊才允許登入、存取)。雖然內部規定明確要求必須執行多重要素驗證,這間保險巨頭卻怠於實際處理、更新,才讓駭客集團有了可乘之機,利用無須多重要素驗證的伺服器癱瘓整個系統。
遭少數企業寡占的關鍵產業,是資安攻擊的重災區
由於聯合健康保險在市場上的超級優勢地位,一年有超過 150 億筆交易是透過該系統處理,等於平均一日超過 4 千萬筆。所以在系統癱瘓之後,影響所及,讓全國各地的醫院、診所、藥局都無法向保險業者(甚至包含公共醫療保險)請款,因而完全沒辦法入帳;此外,在一些情況中,系統下線也讓他們無法取得一些必要的病患個人資訊,因此無法運作,或者必須臨時改以紙本運作,大幅增加人事與時間成本。
更有甚者,美國保險業者權力之大,為了壓縮成本,因此集體發展出一套行之有年的「事前授權」(prior authorization)制度,要求醫生在開特定的藥、動特定的手術等等之前,必須填寫各種表格、繳交各種資料,取得保險公司明確同意,否則之後將拒絕給付。
由於二月下旬起系統停擺,許多醫療院所申請授權也同步受阻,導致診療必須暫停。當然,許多急迫的診療(比如化療)無法拖延,但醫院如果臨時找不到其他支付系統商承接業務,而仍決定照原計畫執行,依照合約保險公司其實可以拒絕給付。到時埋單的,不是醫院就是病人自己,醫病雙方等於承擔巨大的風險,一個手術就可能讓一個家庭或者一間醫院破產。
此一議題如此嚴重,美國國會當然也相當關切,眾議院監管與政府改革委員會(House Committee on Oversight and Accountability)和參議院財政委員會(Senate Finance Committee)相繼展開調查,要求聯合健康保險的執行長出席聽證會擔任證人。政治人物之所以如此關心,一方面當然是因為醫療停擺的問題茲事體大,跨黨派的議員都收到眾多選民陳情,讓他們既想要釐清事實經過、協助解決此一問題,更想藉由聽證會的鎂光燈,展現自己認真看待此一問題,並正在努力向大財團究責。
然而,不只是醫療,在運輸、科技、金融等關鍵服務中,有許多環節是由少數企業寡占,但資安威脅日益嚴峻,而當這些企業沒有足夠的誘因投入資金、做出必要的投資時,我們又該怎麼辦?
2024 年 5 月 1 日,聯合健康保險集團執行長 Andrew Witty 出席參議院聽證會。(圖片來源:Tom Williams/CQ Roll Call via AP Images/達志影像)
