据报道，美国卫生与公众服务部(HHS)已允许联合健康通知在2月份该公司遭网络攻击时数据被泄露的人员。这一决定让这家医疗保健巨头承担了披露数据泄露的责任，并使医院和其他医疗服务提供者免于通知受黑客攻击影响的患者。

今年2月12日，黑客使用泄露的凭据信息远程访问Change Healthcare Citrix管理平台，由于相关平台并未支持双重认证，因此黑客“大摇大摆地”进入了管理平台，获取了一系列内部机密文件，同时还部署了勒索软件。

据悉，联合健康直到黑客入侵第9天后才发现情况不对，此后该公司切断了Change Healthcare服务环境，并在2月21日要求谷歌/微软/思科/亚马逊网络专家前来重新打造Change Healthcare的基础设施，据称更换了数千台笔记本电脑，同时重建了Change Healthcare的数据中心网络与核心服务。

Change Healthcare是美国最大的金融结算机构之一，网络攻击事件导致全美医生和医疗机构的支付系统中断了一个月，同时对社区医疗中心造成了严重影响。联合健康曾在4月表示，Change Healthcare遭网络攻击导致数据泄露，该公司今年可能将遭受高达16亿美元的损失。

5月初，联合健康首席执行官Andrew Witty在听证会中首度确认旗下服务Change Healthcare在2月遭黑客入侵，同时坦言该公司已向黑客支付了2200万美元赎金。Andrew Witty表示，他们希望“尽一切努力来保护人们的健康信息”，因此决定支付赎金，同时将加强安全管理，以设计“强大与实用的网络解决方案”。Andrew Witty还表示，此次网络攻击暴露了可能属于三分之一美国人的个人和健康信息。

网络攻击发生后，医疗服务提供商几个月来一直敦促HHS将通知责任转移给联合健康和Change Healthcare，理由是缺乏财务资源和有关违规行为的信息。据报道，官员们在5月31日同意了他们的要求，这是联邦《健康保险流通与责任法案》的一个例外，该法案通常要求医疗服务提供者通知受害者。

来源：智通财经