插圖來源：NICOLAS ORTEGA

聯合健康集團 (UnitedHealth Group)

第 4 位

?

騰空而起

1995年，聯合健康集團以38億美元的年收入首次登上《財富》美國500強，排名第303位，這也是服務公司上榜的第一年。這家總部位于美國明尼蘇達州的健康保險公司通過并購及其對健康服務的推動進行了轉型，現在的收入是這一數字的近100倍。

?

今年3月初的一天，位于美國紐約州約克維爾市的Function Better診所的老板喬·馬丁（Joe Martin）無意間看了一眼自己的銀行賬戶，他簡直不敢相信自己的眼睛，還以為自己的賬戶被人黑掉了。馬丁是一名骨科臨床醫生，行醫已經超過22年了，他對自己診所每周的收入情況了如指掌。難怪當他發現自己的銀行賬戶幾乎虧空殆盡時會如此的驚恐。

事實上，馬丁的賬戶沒有被黑，但是一家名叫Change Healthcare的公司確實被黑了。而且這家公司常年負責處理全美三分之一到一半的醫保報銷申請，這其中也包括馬丁的Function Better診所提交的醫保報銷申請。Change Healthcare每年處理的醫保賬單高達1.5萬億美元。另外，就在今年2月，美國的聯合健康集團（UnitedHealth Group）的一家子公司也遭到了勒索軟件的攻擊，此案被稱為“美國醫保系統史上最嚴重、影響最惡劣的網絡攻擊事件”，而且幾乎對全行業的每一個角落都造成了影響。

由于連續幾周沒有醫保報銷入賬，馬丁的診所變得難以為繼，甚至他已經請了一名破產律師。不過等到我們在3月中旬采訪到他的時候，他已經想出了一個度過難關的辦法。馬丁在美國佛羅里達州還有一家診所，而且這家診所只接受醫保（Medicare）和現金支付，因此并不完全依賴于醫保理賠。“在過去四周里，我有好幾次都拎著一大包現金上飛機，好讓我的員工能夠拿到工資。”

而在全美范圍內，與馬丁有相同遭遇的醫療從業者多達數萬人——其中既有《財富》美國500強級別的大企業，也有夫妻店式的小診所，從而可以一窺此次網絡襲擊事件的烈度。今年3月，美國有74%的醫院報告稱，網絡攻擊事件直接影響了患者的治療，94%的醫院表示網絡襲擊事件給它們造成了經濟影響。今年4月，美國醫學協會（American Medical Association）的一項調查發現，有36%的診所報稱醫保報銷支付驟然歸零，還有32%的診所報稱它們無法提交報銷申請。

醫保支付公司Nomi Health的聯合創始人及首席技術官博·哈特曼（Boe Hartman）形容道：“美國醫療行業的商業活動就這樣突然停止了。”受到網絡攻擊的影響，該公司的醫保報銷和支付流程同樣被凍結了。

就連行業巨頭也未能幸免。美國最大的營利性連鎖醫院HCA Healthcare同樣高度依賴Change Healthcare的醫保報銷系統。美國的第六大公司CVS Health（聯合健康集團的主要競爭者）也有四分之一的醫保報銷是通過Change Healthcare進行的。信諾（Cigna）和Elevance等大型保險公司也承認，它們的醫保報銷流程同樣受到了嚴重影響。美國軍方的藥房網絡也高度依賴Change Healthcare。作為美國最大的醫保客戶，美國聯邦政府自身的很多交易也是通過Change Healthcare進行的。另外，自2013年以來，Change Healthcare還是CommonWell Health Alliance的指定交易平臺，該機構每月處理的病人病歷信息超過2.5億份（例如，加利福尼亞州的一位醫生能夠通過該平臺，查看你在得克薩斯州拍的X光片）。換句話說，在當今美國的醫療保健生態下，不管你是病人、醫院還是保險公司，你都很難不直接或者間接地與Change Healthcare公司打交道。

這次網絡攻擊不僅給醫療機構帶來了巨大的財務風險，[當衛生工作者在此類襲擊中無法訪問他們的電子系統和對時間敏感的患者數據時——就像他們越來越頻繁地做的那樣（2023年有141家醫院受到襲擊）]同時也給患者的健康乃至生命安全造成了重大的隱患。與此同時，大量被盜的公民健康信息被掛在暗網上出售，也加大了這些患者被敲詐勒索和詐騙的風險。

三個多月過后，美國的醫療保健體系尚未從這起襲擊事件中徹底恢復元氣。包括馬丁的診所在內的很多醫療機構仍然在艱難掙扎求生。而Function Better這樣的公司也只拿到了一小部分的醫保報銷金額，并且這部分金額還不是通過Change Healthcare公司獲得的，而要多虧了一些小公司的自力更生。這些公司在醫保門戶網站上一行一行地手敲報銷單據，“就像20世紀80年代一樣。”

馬丁表示，自從他“上家的上家”，也就是Change Healthcare遭遇網絡襲擊之后，接連幾周的混亂和業務中斷簡直是一場“災難”，雖然他自己都沒有意識到，他對Change Healthcare的依賴竟然有這么深。

今年5月初，聯合健康集團的首席執行官安德魯·威蒂（Andrew Witty）在美國國會作證時，對所有受網絡襲擊影響的機構與個人表達了歉意和支持。他同時坦承，他的公司依舊在調查是否有“相當一部分的美國人”（具體地說是三分之一）的個人健康信息已經泄露。威蒂表示，聯合健康集團需要幾周甚至幾個月才可以給出一個完整的統計，并對受影響的人員進行提醒。目前，聯合健康集團已經為相關人員提供了為期兩年的免費信用監測和防盜保護。不過俄勒岡州的民主黨參議員羅恩·懷登（Ron Wyden）認為，這些所謂的服務純屬“馬后炮”，沒有任何意義。

今年，聯合健康集團因為網絡攻擊而造成的直接損失預計將達到16億美元，但這個數字對于一家2023年全年營收高達3,720億美元的公司來說，只不過是九牛一毛。國會兩黨也沒有輕易放過這件事情，他們在聽證會上向威蒂輪番發難——你知不知道，就因為你，有多少病人連續幾周吃不上救命藥，有多少鄉村醫院負債數千萬美元？他們都想知道，像聯合健康集團這樣一家財大氣粗且背靠大樹好乘涼的公司，何以會在黑客面前表現得如此不堪一擊？而且為什么一家公司的安全問題，就能夠威脅到整個美國的醫療系統？

有很多人認為，今年2月發生在美國的這次網絡襲擊事件，充分展現了高度碎片化和正在快速一體化的美國醫療保健生態系統的脆弱性。同時也表明，在醫療保健經濟、監管和技術變革等多方力量的影響下，美國的獨立醫療服務提供商要想在競爭中求生存，難度只會越來越大。

從技術上來看，Change Health-care公司遭遇的這起網絡襲擊事件并沒有什么離奇之處。這只是一次普通的勒索軟件攻擊事件，在美國早已屢見不鮮—僅2023年一年，美國聯邦調查局（FBI）就立案受理了全美重要基礎設施遭受的1,193起網絡攻擊事件，其中有249起發生在醫保領域。有報道稱，俄羅斯的一個名叫ALPHV/Blackcat的黑客組織至少應該對這1,193起事件里的100多起負責。今年2月12日，有黑客以一種典型的方式，侵了入Change Healthcare公司的系統——即使用已經泄露的驗證信息，比如黑客從暗網上買來的一串密碼。在接下來的九天內，黑客在Change Healthcare的運行環境里四處游蕩，如入無人之境，大肆竊取數據，并對系統進行加密，然后才啟動了勒索軟件。這批黑客顯然是發現了聯合健康集團的致命弱點——服務器缺乏多重身份驗證手段的保護。

威蒂是在一次董事會的會議上得知這一漏洞的。隨后他的團隊向美國聯邦調查局報了警，并在當日的晚些時候向美國證券交易委員會（SEC）表示，懷疑此事與“某個民族國家”有關。與此同時，很多依賴Change Healthcare的醫療保健機構對服務中斷的嚴重性仍舊一無所知。盡管聯合健康集團請來了一群網絡安全精英和技術大牛，但他們最終還是向黑客支付了價值2,200萬美元的比特幣（Bitcoin）作為贖金。而且該公司的官網連續八天都掛著一條含糊其辭且令人費解的安慰性說明：“預計服務中斷至少會持續到今天結束。”

關于此次破壞的具體規模，目前依然沒有全面且可靠的數據。很多棘手的問題也仍然沒有答案。例如，這么重要的系統，為何防御如此薄弱？有多少人的健康數據被泄露？黑客是否會出售這些數據來進一步牟利？

Change Healthcare 原本是一家名不見經傳的技術公司，但它卻為何可以撬動價值4.5萬億美元的美國醫療產業，并且扮演著如此巨大而關鍵的角色？2022年，Change Healthcare公司被聯合健康集團叫價130億美元收購。聯合健康集團的市值高達3,720億美元，它下面有一個市值達到2,270億美元的醫療服務福利部門Optum，Optum下面有一個市值320億美元的數據分析部門Optum Insight，而Change Healthcare正是被整合進了Optum Insight之中。你一定見過俄羅斯套娃吧？Change Healthcare就是那個最小、最里面的套娃，也是聯合健康集團的子公司的子公司的子公司。

所以，當聯合健康集團關閉Change Healthcare的系統之后，全美各地的醫療保健機構迎來了一場史無前例的大混亂——藥房交易受阻，計算機系統癱瘓，行政管理和支付系統也被迫中斷。這種情況讓受影響的醫療機構感到十分無力，很多醫療機構又撿起了勞動密集型的工作方法（比如打電話、發傳真、郵寄紙質報銷單），有的財政窘迫，被逼入了生死存亡的邊緣。大多數的醫療機構都不清楚自己應該做什么，也不知道下一步會怎么樣。賓夕法尼亞州威洛格羅夫的足踝專科中心（Foot & Ankle Specialty Center）的業務經理凱瑟琳·萊因海默（Catherine Reinheimer）在今年3月曾經表示：“我們的錢像大出血一樣只出不入。這太瘋狂了，我們不應該處于這種境地。”

在此次黑客襲擊事件發生之后，很多人把Change Healthcare的遭遇與最近的巴爾的摩的弗朗西斯·斯科特·基大橋（Francis Scott Key Bridge）被貨船撞塌事件相提并論，認為這兩起事故都是由于關鍵基礎設施未得到充分的重視和保護而造成的。

本杰明·喬利（Benjamin Jolley）是非營利機構“美國經濟自由項目”（American Economic Liberties Project）的一名藥劑師，這家非營利機構主張要推進醫療領域的反壟斷。他認為，這起黑客襲擊事件是醫療領域瘋狂兼并的結果，是不難預見的。“條條大路通羅馬”。喬利說：“在我看來，這是一個很大的系統性風險。”

加利福尼亞州的民主黨籍議員安娜·埃舒（Anna Eshoo）在今年4月的美國眾議院能源與商業委員會（House Committee on Energy and Commerce）的一次聽證會上指出：“這次襲擊表明，聯合健康集團的反競爭行為已經對國家安全構成了威脅。”

在2021年1月，當聯合健康集團宣布將收購Change Healthcare公司時，聯合健康集團的高管們把這筆交易吹得神乎其神。聯合健康集團的新聞通稿承諾，在Change Healthcare和Optum合體之后，將以更低的成本為所有人帶來更好的服務和體驗。

近年來，隨著醫療保健領域的兼并愈演愈烈，大型醫療保健公司變得越來越大，也經常有人用這番理論為此辯解。早在一年之前，《財富》雜志就發現了一個不容忽視的趨勢——《財富》美國500強榜單上的醫療保健公司越來越多了。2023年，全美最大的25家公司中有8家來自醫療行業，而在1995年，這個數字為零。

在幾十年之前，聯合健康集團基本上還只是一家普通的醫療保險公司，而CVS也只是一家連鎖藥店。但是自此以后，這兩家公司（還有其他幾家類似的公司）通過幾輪大規模的并購，已經變成了無所不能的醫療巨頭，其觸手早已滲透到了行業的各個角落。它們現在既是保險公司，也是藥店、診所和家庭保健公司。它們認為，這種新的、縱向的一體化公司才是改良昂貴的美國醫療體系的終極答案。它們聲稱，只要把所有這些資產整合在一起，它們就能夠調和支付方和醫療服務供應商長期以來的矛盾，并且利用各種數據，為老百姓帶來更高價值和更高協調水平的醫療服務。

當然，對于這些說法，以及是否應該讓這些唯利是圖的醫療巨頭擁有如此巨大的權力，很多人是表示懷疑的。

不管是好是壞，Change Healthcare公司顯然就是這種權力的代表。它是全美領先的醫保報銷信息中心，經常被人稱為美國醫療保健行業的“管道”，每年處理的信息交換以及支付方和醫療服務提供方之間的支付交易高達驚人的150億次。

用“管道”來比喻Change Healthcare其實不太確切，這實際上還低估了這家公司的影響和復雜性。該公司的平臺提供了將近200種不同的技術服務，其中有許多服務是通過醫療機構的電子病歷系統來運行的，并且實現了對各種后端流程的自動化——例如自動預約、資格審查、預授權、提供影像軟件和臨床決策支持工具（即指示醫療機構運行什么測試或者程序）、促進處方醫師與醫學實驗室之間的交流，等等。對于保險公司而言，Change Healthcare提供的工具可以引導患者選擇低成本的醫療服務提供商，并且實現快速報銷理賠。根據2023年聯合健康集團的投資者會議材料，Optum Insight目前平均每年促成230億次交易，處理“2.85億條臨床和報銷數據”。（占到美國總人口的85%以上。）

不過，也不是所有人都認為這些觸手廣泛的大醫療集團之間的相互兼并對于美國的醫療保健行業來說是一條健康的發展道路。在2022年聯合健康集團試圖收購Change Healthcare時，有政府律師就曾經試圖阻止此次收購，當然他們當時還沒有預見到網絡攻擊所導致的大面積系統癱瘓。他們擔心的是“聯合健康集團控制了一條重要的數據高速公路”，從而會對醫保行業的競爭對手形成降維打擊。但是負責審核此次并購的聯邦法官卻對此不以為然，當年的晚些時候，在聯合健康集團出售了它的保險索賠管理業務之后，這位法官還是對這筆并購開了綠燈。

在并購完成的一年半之后，也就是到了黑客攻擊事件發生的時候，聯合健康集團開始著手對這家價值130億美元的子公司進行技術升級。但此時Change Healthcare的系統已經相當脆弱了。甚至連威蒂自己也承認，該公司的有些系統已經用了40年之久。聯合健康集團也還來得及給Change Healthcare的所有服務器都用上多重認證保護——它既是聯合健康集團最基礎的網絡安防標準，也是幾乎所有美國大企業最基礎的網絡安防標準。

另外，Change Healthcare的系統缺乏冗余的問題也沒有得到解決。威蒂在參加美國國會的聽證會時曾經指出，系統恢復之所以需要耗費這么長的時間，一個重要原因就是攻擊導致其主系統和備份系統都癱瘓了，而這兩個系統沒有一個在云端上。

最近幾周，該公司的聲明似乎表明，美國的醫療保健系統已經從網絡襲擊事件中恢復了過來，全美的醫保報銷“現在也已經接近正常水平”。但是，美國國會的議員們和像馬丁及萊因海默這樣的一線的醫療機構卻不太相信這番說辭。聯合健康集團自己的在線恢復追蹤工具也顯示，相關工作依舊在持續進行中。截至今年5月14日，在Change Healthcare的28項功能中，只有9項被標注為“服務完全恢復”。

當然，這也不是美國的醫療保健系統第一次遭到如此嚴重的網絡攻擊。政府數據顯示，在過去五年里，因為黑客的攻擊而導致的大規模信息泄露事件增加了256%，勒索軟件攻擊事件增加了264%。根據來自美國醫院協會（American Hospital Association）的數據，美國大約每隔一周就會發生一起針對醫療機構的“嚴重勒索軟件攻擊”——即黑客要求支付贖金來換取停止攻擊。

黑客為何如此偏愛醫療機構？這其實沒有什么好奇怪的。美國的醫療保健行業創造的價值已經占到了美國經濟總量的五分之一。如此巨大的一塊蛋糕，當然會成為黑客覬覦的對象。特別是醫院一旦中招，交贖金的幾率還是不小的。據報道，除了勒索贖金以外，光是患者的一份病歷，在暗網上就叫價60美元以上，遠超社保賬號（1美元）和信用卡號（5美元）的黑市價格。

現在有不少人認為，在此次黑客攻擊事件之后，美國的醫療系統很可能會迎來進一步的兼并與整合——具有諷刺意味的是，聯合健康集團反而可能會加快兼并的步伐。它旗下的Optum公司已經收購了至少一家因此次網絡攻擊事件而瀕臨破產的醫療服務提供商。這一點也引起了立法者的極大關注。（威蒂在聽證會上告訴議員們：“我們絕不會試圖利用這一點。”）

作為Change Healthcare的老板，聯合健康集團在此次危機中扮演了什么角色，又應該負何種責任呢？對此，人們也是眾說紛紜。比如議員埃舒在今年4月的美國眾議院能源與商業委員會的聽證會上聲稱：“聯合健康集團是因為它的規模而成了眾矢之的。”還有人指出，在企業并購以及不同技術平臺和團隊的整合過程中，往往就會出現網絡安全漏洞。

而威蒂則表示，此次危機最終能夠得以收場，最終還是聯合健康集團的龐大體量發揮了關鍵作用——或者說至少沒有讓事情變得更糟。他指出，自從襲擊事件發生以來，聯合健康集團已經向受到影響的醫療機構提供了60多億美元的貸款，同時聯合健康集團也為恢復服務做出了巨大的努力。威蒂在今年4月的財報會議上說：“聯合健康集團在此次事件中提供了大量的資源支持……Change Healthcare公司在并購前是無法獲得這么多資源的。”他和其他高管還在財報會議上向投資者保證，公司的財務狀況仍舊良好。

當一家公司大到當它自己的系統遭遇嚴重網絡攻擊，導致無數中小醫療機構瀕臨破產，但它自己卻幾乎毫發無損的時候，這對整個美國的醫療體系又意味著什么呢？對此，美國經濟自由項目的本杰明·喬利給出了一個殘酷的結論：“它們已經大到根本不在乎這些事情了。”

譯者：Min