Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özgü
Hastane Zinciri, Mali Raporda Fidye Yazılım Saldırısının Etkisini Açıkladı
Marianne Kolbasuk McGee (SağlıkBilgisi) •
16 Şubat 2023
Geçen sonbaharda hastane zinciri CommonSpirit’in operasyonlarını en az bir ay kesintiye uğratan fidye yazılımı olayı, kuruluşa şu ana kadar 150 milyon dolarlık gelir, iyileştirme ve diğer gider kaybına mal oldu.
Ayrıca bakınız: Ödemek mi Ödememek mi? Fidye Yazılımlarına Hazırlık için Kanıtlanmış Adımlar
Bunun ne kadarının cepten yapılan bir harcama yerine sigorta tarafından karşılandığı belirsiz, şirket yatırımcılara bir mali raporda açıkladı.
21 eyalette yaklaşık 138 hastane işleten zincir, yatırımcılara saldırıyla ilgili önerilen toplu davanın mali durumunu veya bir bütün olarak operasyonlarını etkilemeyeceğine dair garanti veremez.
2 Ekim’de keşfedilen fidye yazılımı saldırısı, kısmen kuruluşun olay müdahalesi ve kurtarma sırasında elektronik sağlık kayıtları sistemleri ve hasta portalları dahil olmak üzere belirli sistemleri çevrimdışı duruma getirmesi nedeniyle, çeşitli tesislerdeki hasta bakım hizmetlerini bir aydan fazla kesintiye uğrattı. işlem.
Çeyrek genelinde CommonSpirit, 2022’nin aynı dönemi için 8,88 milyar dolar gelir ve 8,96 milyar dolar gidere kıyasla, 8,30 milyar dolar işletme geliri ve 8,77 milyar dolar işletme gideri bildirdi.
Olay, CommonSpirit’in bazı tesislerindeki hizmetleri etkilemesinin yanı sıra, o sırada hâlâ BT hizmetleri sağlamakta olduğu bazı eski hastanelerinin BT operasyonlarını ve hasta bakımı sunumunu da etkiledi. Bunlar, CommonSpirit’in geçen yıl Trinity Health’e sattığı Iowa’daki MercyOne’ı içerir (bkz: CommonSpirit BT Sistemleri Saldırıdan Bir Ay Sonra Hala Çevrimdışı).
Perşembe günü itibariyle Trinity Health, CommonSpirit’in MercyOne’ı etkileyen fidye yazılımı olayını yaşadığı çeyrek için henüz bir kazanç raporu yayınlamadı.
Aralık ayında CommonSpirit ayrıca federal düzenleyicilere, fidye yazılımı olayının yaklaşık 624.000 kişinin korunan sağlık bilgilerini tehlikeye attığını bildirdi. Buna, CommonSpirit’e bağlı bir kuruluş olan Virginia Mason Franciscan Health’in toplu olarak bir parçası olan Washington eyaletindeki yedi hastanenin hastaları ile bu hastaların aile üyeleri veya bakıcıları dahildir (bkz.: CommonSpirit Fidye Yazılımı İhlali Şimdiye Kadar Yaklaşık 624.000 Kişiyi Etkiledi).
Şimdiye kadar CommonSpirit aleyhine açılan ve saldırıyla ilgili önerilen toplu dava davalarından en az biri, olayda çok daha fazla sayıda kişinin verilerinin açığa çıktığını iddia ediyor (bkz:: CommonSpirit İhlal Sonrası 2 Önerilen Sınıf Eylemiyle Karşı Karşıya).
Saldırıların Mali Bedeli
Bazı uzmanlar, CommonSpirit’in ayrıca fidye yazılımı olayından kaynaklanan yasal sonuçların temizlenmesini içeren ek masraflarla da karşı karşıya kalacağını söylüyor.
Hukuk firması Pasich’in avukatı Peter Halprin, “Davalar erkenden reddedilse bile, CommonSpirit davaları bu noktaya getirmek için önemli yasal ücretlere tabi olacaktır. Ve davalar erken reddedilmezse, yasal ücretler artacaktır” diyor. CommonSpirit davasına dahil olmayan LLP.
Karmaşık sigorta kapsamı davalarında ticari poliçe sahiplerini temsil eden Halprin, CommonSpirit’in sigortacılarından herhangi bir finansal iyileşme görmenin ne kadar süreceğini ve bu iyileşmenin ne kadar olacağını zaman gösterecek, diyor.
Halprin, “Büyük kayıplar söz konusu olduğunda, büyük kuruluşların kayıplarını ölçmesi çok zaman alabilir. Ve buna paralel olarak sigortacılar, kayıp miktarını ne olarak gördüklerini belirlemek için kendi muhasebecilerinden yararlanabilirler” diyor Halprin.
“Siber iş kesintisi hesaplamaları, gelişmekte olan bir tartışma alanıdır” diye ekliyor.
Bu nedenle Halprin, siber güvenlik olaylarına maruz kalan sağlık kuruluşlarının kayıplarını belirlemek için adli muhasebecilerle yakın ve erken bir şekilde çalışmasını önermektedir. “Sigorta poliçeleri, bu tür muhasebeciler tarafından yapılan mesleki ücretlerin kapsamını içerebilir” diye ekliyor.
Halprin, “Sigorta kapsamı, değerli nihai koruma sağlayabilir, ancak otomatik değildir” diyor. Sağlık kuruluşlarının, hem bir poliçe temin etmeye çalışırken hem de bir olay ortaya çıktığında, yanıt veren teminat elde etmek için kurum içi profesyonel ve dış risk uzmanlarıyla işbirliği yapması gerektiğini tavsiye ediyor.
Halprin, bu arada, siber saldırılara maruz kalan bazı kuruluşlar tarafından hissedilen mali etkinin boyutunun, sağlık kuruluşlarının “siber güvenliğe büyük yatırım yapması” gerektiğini gösterdiğini söylüyor.