Change Healthcare Cyber Response (UnitedHealth Group) Cyber Security Incident

Change Healthcare Data Notification Update

This communication is to inform Change Healthcare, Inc. (“CHC”) customers regarding the criminal cyberattack on CHC’s systems that included the deployment of ransomware on CHC’s systems on February 21, 2024, and provide an update on the impacted data review process undertaken by CHC. 

We are in the late stages of the review of impacted data containing protected health information (PHI). To date, we have not identified specific individuals whose PHI was impacted and who are attributed to you as a customer of CHC. We will notify you if the final stages of the data review identify individuals whose PHI is impacted and are attributed to you. 

We are separately notifying those customers for whom the review has attributed specific individuals’ PHI to the customer as the covered entity or business associate. We are providing to those customers a substitute notice they should post on the home page of their website if they wish to do so. For your information, that substitute notice is located at https://www.changehealthcare.com/hipaa-substitute-notice. 

If helpful for individuals you serve, you may also post the link to the substitute notice on your website. The notice helps individuals understand what happened and gives them information on steps they can take to help protect their privacy, including enrolling in two years of complimentary credit monitoring and identity theft protection services if they are concerned their information may have been impacted. Individuals can visit changecybersupport.com for more information and details on these resources or call the toll-free call center, which also includes trained clinicians to provide support services. The call center’s number is: 1- 866-262-5342, available Monday through Friday, 8 a.m. – 8 p.m. CT. 

CHC plans to send direct notice (written letters), based on data review, to affected individuals for whom CHC has a sufficient address. Please note we may not have sufficient addresses for all affected individuals. The mailing process is expected to begin in late July as CHC completes quality assurance procedures. 

What should I do? 
To date, we have not identified PHI of specific individuals that is attributable to you as a customer. This does not require any action from you — although, as outlined above, CHC has made available information and resources for individuals to help protect their privacy if (at your discretion) you think it would be helpful to make this information available by publishing the link on your website. 

What happened? 
On February 21, 2024, CHC became aware of deployment of ransomware in its computer system. Once discovered, CHC quickly took steps to stop the activity, disconnected and turned off systems to prevent further impact, began an investigation, and contacted law enforcement. CHC’s security team worked around the clock with several top security experts to address the matter and understand what happened. CHC has not identified evidence this incident spread beyond CHC. 

CHC retained leading cybersecurity and data analysis experts to assist in the investigation, which began on February 21, 2024. On March 7, 2024, CHC was able to confirm that a substantial quantity of data had been exfiltrated from its environment between February 17, 2024, and February 20, 2024. On March 13, 2024, CHC obtained a dataset of exfiltrated files that was safe to investigate. On April 22, 2024, following analysis, CHC publicly confirmed the impacted data could cover a substantial proportion of people in America. 

How was my data affected? 
To date, we have not identified PHI of individuals that is attributable to you as a customer. We are in the late stages of our review. 

Does this mean none of my organization’s information was involved in this incident? Am I in the clear? 
Because the data review is in its late stages and has not yet been completed, we are not in a position to be able to make that determination. We will notify you if the final stages of the data review identify individuals whose PHI is impacted and are attributed to you.

Despite reasonable best efforts, we anticipate there will be a subset of individuals for whom we are unable to attribute to an organization as a covered entity or business associate. Change Healthcare plans to handle those HIPAA and state data breach notifications directly by mailing notice letters to those impacted individuals for whom it has a sufficient address, so they will receive notice even though we cannot identify that covered entity or business associate relationship. 

When will we know with certainty whether my patients’/members’ data was involved? 
Once the data review is complete, we will have determined whether or not individuals with PHI impacted were attributed to your organization as a covered entity or business associate.

We continue to dedicate significant resources to analyze the data and identify individuals, their PHI and their covered entity or business associate relationships. At this point, we believe the mailing process is expected to begin in late July as CHC completes quality assurance procedures. 

If I am later determined through data review to be an impacted customer, how will I know and will Change Healthcare handle notifications on my behalf? 
We will notify you if the final stages of the data review identify individuals whose PHI is impacted and are attributed to you. If and to the extent you are sent such a notice, it will explain that CHC is offering to handle notifications under HIPAA and state data breach notification laws through an opt-out process. 

What patient or member PHI was potentially impacted for other customers so far? 
CHC has provided details as part of the substitute notice located at https://www.changehealthcare.com/hipaa-substitute-notice. 

What has Change Healthcare done about it? 
CHC worked around the clock from the day of the ransomware deployment and has devoted significant resources to the response and restoration efforts, as well as retained several leading forensic firms to assist in analyzing the impacted data. However, rather than waiting to complete this review, CHC is providing free credit monitoring and identity theft protection services for two years to any U.S. individual who is concerned they may have been impacted, along with a dedicated call center staffed by clinicians to provide additional support services. Individuals may also visit changecybersupport.com for more information.

Privacy and security are our top priorities. In response to this incident, CHC immediately took action to shut down systems and sever connectivity to prevent further impact. CHC has also reinforced its policies and practices and implemented additional safeguards in an effort to prevent similar incidents from occurring in the future.

On June 20, 2024, CHC began providing notice to customers for whom the data review has attributed specific individuals’ PHI to that customer as the covered entity or business associate. CHC is taking additional steps to comply with legal obligations in relation to this incident as well as reduce the burden on its customers. These steps include notifying impacted customers and providing substitute notice information more broadly, including to customers who have not been identified as impacted thus far. CHC will also handle HIPAA and state data breach notifications directly by mailing notice letters to those impacted individuals for whom it has a sufficient address on behalf of the impacted covered entity — unless an impacted customer opts out of the CHC notice process. 

What if I have additional questions? 

CHC regrets any inconvenience or concern caused by this incident. CHC values your partnership and will take steps to both mitigate the impact of this incident and prevent future security incidents from occurring in the future. Please don’t hesitate to reach out to your client manager with questions. If you don’t have an account representative, please go to changehealthcarecyberresponse.com and click on the data notifications inquiry button. Fill out the form to be connected to support. 

Thank you for your support as this matter is resolved. 

Sincerely, 

The Change Healthcare Privacy Team 
--

 

Esta comunicación tiene como objetivo informar a los clientes de Change Healthcare, Inc. (“CHC”) sobre el ciberataque criminal a los sistemas de CHC que incluyó la implementación de cibersecuestro de datos en los sistemas de CHC el 21 de febrero de 2024 y también tiene como objetivo proporcionar una actualización sobre el proceso de revisión de datos impactados realizado por CHC.

Estamos en las últimas etapas de la revisión de los datos afectados que contienen Información Protegida sobre la Salud (PHI por sus siglas en inglés). Hasta la fecha, no hemos identificado personas específicas cuya Información Protegida (PHI) se haya visto afectada y que hayan sido identificados como clientes de CHC. Le notificaremos si las etapas finales de la revisión de datos identifican a personas cuya Información Protegida (PHI) se haya visto afectada y se relacione con usted.

Estamos notificando por separado a aquellos clientes para quienes la revisión ha atribuido la Información Protegida (PHI) de personas específicas como entidad cubierta o socios comerciales. Estamos ofreciendo a esos clientes un aviso sustituto que deben publicar en la página principal de su sitio web si así lo desean. Para su información, ese aviso sustituto se encuentra en https://www.changehealthcare.com/hipaa-substitute-notice.

Si es útil para las personas a las que presta servicios, también puede publicar el enlace del aviso sustituto en su sitio web. El aviso ayuda a las personas a comprender lo que sucedió y les brinda información sobre los pasos que pueden tomar para ayudar a proteger su privacidad, incluida la inscripción en dos años de servicios gratuitos de monitoreo de crédito y protección contra el robo de identidad si les preocupa que su información pueda haber sido afectada. Las personas pueden visitar changecybersupport.com para obtener más información y detalles sobre estos recursos o comunicarse con el centro gratuito de llamadas, que también incluye médicos capacitados para brindar servicios de apoyo. El número del centro de llamadas es: 1-866-262-5342 y está disponible de lunes a viernes de 8 a. m. a 8 p. m. (Hora standard del centro –CT)

CHC planea enviar aviso directo (cartas escritas), basado en la revisión de datos, a las personas afectadas para quienes CHC tiene una dirección adecuada. Es posible que no tengamos direcciones adecuadas para los afectados. Se espera que el proceso de envío por correo comience a fines de julio a medida que CHC complete los procedimientos de control de calidad. 

¿Qué tengo que hacer?

Hasta la fecha, no hemos identificado Información Protegida (PHI) de personas específicas que sea atribuible a usted como cliente. Esto no requiere ninguna acción por su parte, aunque, como se describió anteriormente, CHC ha puesto a disposición información y recursos para ayudar a las personas a proteger su privacidad si (a su discreción) cree que sería útil que esta información esté disponible publicando el enlace en su sitio web.

¿Qué pasó?

El 21 de febrero de 2024, CHC tuvo conocimiento de la implementación de cibersecuestro de datos en su sistema informático. Una vez descubierto, CHC rápidamente tomó medidas para detener la actividad, desconectó y apagó los sistemas para evitar un mayor impacto, comenzó una investigación y se comunicó con las autoridades. El equipo de seguridad de CHC trabajó las 24 horas del día con varios expertos en seguridad de primer nivel para abordar el asunto y comprender lo sucedido. CHC no ha identificado evidencia de que este incidente se haya extendido más allá de CHC.

CHC contrató a destacados expertos en ciberseguridad y análisis de datos para ayudar en la investigación, que comenzó el 21 de febrero de 2024. El 7 de marzo de 2024, CHC confirmó que se exfiltraron de su entorno muchos datos entre el 17 y el 20 de febrero de 2024. El 13 de marzo de 2024, CHC obtuvo un conjunto de datos de archivos exfiltrados con una investigación segura. El 22 de abril de 2024, tras la elaboración de un análisis, CHC confirmó públicamente que los datos afectados podrían cubrir una proporción sustancial de personas en Estados Unidos.

¿Cómo se vieron afectados mis datos?

Hasta la fecha, no hemos identificado la Información Protegida (PHI) de personas que sean atribuibles a usted como cliente. Estamos en las últimas etapas de nuestra revisión.

¿Significa esto que ninguna información de mi organización estuvo involucrada en este incidente? ¿Estoy a salvo?

Debido a que la revisión de datos se encuentra en sus últimas etapas y aún no se ha completado, no estamos en condiciones de poder tomar esa determinación. Le notificaremos si las etapas finales de la revisión de datos identifican a personas cuya Información Protegida (PHI) se ve afectada y se le atribuye a usted. 

A pesar de los mejores esfuerzos razonables, anticipamos que habrá un subconjunto de personas a quienes no podremos atribuir a una organización como entidad cubierta o socios comerciales. Change Healthcare planea manejar esas notificaciones de violación de datos estatales y de HIPAA directamente enviando cartas de notificación a las personas afectadas con una dirección adecuada, de modo que reciban una notificación, aunque no podamos identificar esa entidad cubierta o relación de socios comerciales.

¿Cuándo sabremos con certeza si los datos de mis pacientes/miembros estuvieron involucrados?

Una vez que se complete la revisión de datos, habremos determinado si las personas con Información Protegida (PHI) impactadas fueron atribuidas o no a su organización como entidad cubierta o socios comerciales.

Seguimos dedicados a implementar importantes recursos para analizar los datos e identificar a las personas, su Información Protegida (PHI) y sus entidades cubiertas o relaciones con socios comerciales. En este punto, creemos que se espera que el proceso de envío por correo comience a fines de julio a medida que CHC complete los procedimientos de control de calidad.

Si luego, mediante la revisión de datos, se determina que soy un cliente afectado, ¿cómo sabré y cómo Change Healthcare gestionará las notificaciones en mi nombre?

Le notificaremos si las etapas finales de la revisión de datos identifican a personas cuya Información Protegida (PHI) se ve afectada y se le atribuye a usted. Si se le envía dicho aviso y en la medida en que se le envíe, se le explicará que CHC se ofrece a tratar las notificaciones según HIPAA y las leyes estatales de notificación de violación de datos a través de un proceso de exclusión voluntaria.

¿Qué Información Protegida (PHI) del paciente o miembro se vio potencialmente afectada para otros clientes hasta el momento?

CHC ha proporcionado detalles como parte del aviso sustituto ubicado en https://www.changehealthcare.com/hipaa-substitute-notice.

¿Qué ha hecho Change Healthcare al respecto?

CHC trabajó las 24 horas del día desde el día de la implementación del cibersecuestro de datos y se ha dedicado a implementar importantes recursos para los esfuerzos de respuesta y restauración, además de contratar a varias empresas forenses líderes para ayudar a analizar los datos afectados. Sin embargo, en lugar de esperar a completar esta revisión, CHC brinda servicios gratuitos de monitoreo de crédito y protección contra robo de identidad durante dos años a cualquier individuo estadounidense que esté preocupado por haber sido afectado, junto con un centro de llamadas exclusivo atendido por médicos para brindar servicios de apoyo adicionales. Las personas también pueden visitar changecybersupport.com para obtener más información.

La privacidad y la seguridad son nuestras principales prioridades. En respuesta a este incidente, CHC tomó medidas de inmediato para apagar los sistemas y cortar la conectividad para evitar un mayor impacto. CHC también ha reforzado sus políticas y prácticas e implementado salvaguardas adicionales en un esfuerzo por evitar que ocurran incidentes similares en el futuro.

El 20 de junio de 2024, CHC comenzó a notificar a los clientes para quienes la revisión de datos atribuyó la Información Protegida (PHI) de personas específicas a ese cliente como entidad cubierta o socios comerciales. CHC está tomando medidas adicionales para cumplir con las obligaciones legales en relación con este incidente, así como para reducir la carga para sus clientes. Estos pasos incluyen notificar a los clientes afectados y proporcionar información de aviso sustituto de manera más amplia, incluso a los clientes que no han sido identificados como afectados hasta el momento. CHC también se encargará directamente de las notificaciones de violación de datos estatales y de HIPAA enviando cartas de notificación a aquellas personas afectadas con una dirección adecuada en nombre de la entidad cubierta afectada, a menos que un cliente afectado opte por no participar en el proceso de notificación de CHC.

¿Qué pasa si tengo preguntas adicionales?

CHC lamenta cualquier inconveniente o preocupación causado por este incidente. CHC valora su sociedad con nosotros y tomará medidas para mitigar el impacto de este incidente y evitar que ocurran futuros incidentes de seguridad. No tenga duda en comunicarse con su administrador de clientes si tiene preguntas. Si no tiene un representante de cuenta, vaya a changehealthcarecyberresponse.com y haga clic en el botón de consulta de notificaciones de datos. Complete el formulario para conectarse con el centro de apoyo.

Gracias por su apoyo mientras se resuelve este asunto.

Atentamente,

El equipo de privacidad de Change Healthcare  

--

Change Healthcare Cyber Response (UnitedHealth Group) Cyber Security Incident
Respuesta sobre el incidente de seguridad cibernética de Change Healthcare (UnitedHealth Group)

The UnitedHealth Group announced on April 22, 2024, that in response to the unprecedented cyberattack on Change Healthcare Services they have set-up a website to update people on the preliminary findings from their investigation and to also provide free credit monitoring services through IDX.
Change Healthcare is the claims processing company for most healthcare claims, including those of Lawrence General Hospital and is responsible for handling this cyber security incident investigation.
“According to Change Healthcare— “Given the ongoing nature and complexity of the data review, it is likely to take several months of continued analysis before enough information will be available to identify and notify impacted customers and individuals.” That said, anyone concerned about their personal data potentially being impacted, should call the Change Healthcare Call-In center at 1-(866) 262-5342 for assistance. 
Everyone is encouraged to call, as the company has noted on their website that they have found files containing protected health information (PHI) or personally identifiable information (PII), which could cover a substantial proportion of people in America.

More Information:
To learn more specific information and view the Press Release, please visit the Change Healthcare Dedicated Cyber Website at  http://changecybersupport.com/ to obtain more information.
The call center can be reached at 1-(866) 262-5342.