İhlal Bildirimi, Sağlık, Sektöre Özel
Ana Şirket UnitedHealth Group’un Raporlarına Göre Maliyetler Zaten 2 Milyar Dolara Ulaştı
Mathew J. Schwartz (euroinfosec) •
17 Temmuz 2024
Change Healthcare’in ana şirketi UnitedHealth Group, yatırımcılara yaptığı açıklamada, Change Healthcare ihlalinin maliyetinin 2 milyar dolara ulaştığını duyurdu.
Ayrıca bakınız: Bulut Analitiği ve Veri Maskeleme: Genel Bulutlarda Makine Öğrenmesinden En İyi Şekilde Yararlanma
Minnesota merkezli sağlık sigortası ve hizmetleri firması Salı günü ikinci çeyrekte 7,9 milyar dolar kazanç bildirdi. Bu rakam, Optum iş biriminin bir parçası olan Change Healthcare’e yapılan saldırının “olumsuz siber saldırı etkileri” nedeniyle yalnızca o çeyrekte 1,1 milyar dolarlık maliyete denk geliyor.
UHG, Şubat ayındaki fidye yazılımı saldırısıyla bağlantılı maliyetlerin 30 Haziran itibarıyla 1,98 milyar dolara ulaştığını, bunun 1,3 milyar dolarının “doğrudan maliyetler” olduğunu ve toplam maliyetlerin 2,3 ila 2,45 milyar dolara ulaşmasının muhtemel olduğunu söyledi.
UHG’nin başkanı ve mali işler müdürü John F. Rex, Salı günü yaptığı bir kazanç görüşmesinde, maliyetlerin arasında “takas merkezi platformunun ve diğer müdahale çabalarının yeniden canlandırılması” ve “bazı bakım yönetimi faaliyetlerinin geçici olarak durdurulmasından doğrudan kaynaklanan daha yüksek tıbbi masraflar” olduğunu söyledi.
Buna rağmen UHG, ikinci çeyrek gelirlerinin bir önceki yıla göre %6 artarak 98,9 milyar dolara ulaştığını bildirdi; bu gelirin büyük kısmı Optum grubu tarafından sağlandı.
“Şirket, ihtiyaç duyan kalan sağlık hizmeti sağlayıcılarına finansal destek sağlamaya devam ederken etkilenen Change Healthcare hizmetlerinin çoğunu geri yükledi,” dedi UHG. “Şirket bugüne kadar bakım sağlayıcılarını desteklemek için 9 milyar doların üzerinde peşin finansman ve faizsiz kredi sağladı.”
Kazanç toplantısının ardından şirketin hisse senedinin değeri günü yaklaşık yüzde 7 artışla kapattı.
Şirket, ABD sağlık sistemi ödemelerinin yaklaşık %6’sını işleyen ve ülke çapındaki sağlık hizmeti sağlayıcıları için büyük kesintilere yol açan tıbbi faturalama aracı kuruluşu Change Healthcare’e yönelik fidye yazılımı kullanan bilgisayar korsanlarının Şubat ayında gerçekleştirdiği saldırıya yanıt vermeye devam ediyor.
UHG, ihlali ilk olarak 21 Şubat’ta tespit ettiğini, bunun da saldırganların şirketin çok faktörlü kimlik doğrulamasını kullanarak koruyamadığı bir Citrix uzaktan erişim hizmetine 17 Şubat’ta erişmesiyle başladığı anlaşılıyor (bkz: Çok Faktörlü Kimlik Doğrulama İsteğe Bağlı Olmamalı).
Saldırıyla ilgili maliyetler arasında UHG’nin, şirketin 6 terabayt verisini çaldığını iddia eden Rusça konuşan fidye yazılımı grubu Alphv’e -diğer adıyla BlackCat- 22 milyon dolar fidye ödemesi de yer alıyor.
BlackCat’in operatörleri daha sonra gruplarını kapattılar ve fidyeyi Change’i hackleyen iştirakle paylaşmak yerine tüm parayı kendilerine sakladılar. Buna karşılık, iştirakin verileri başka bir fidye yazılımı hizmeti grubu olan RansomHub’a götürdüğü ve Change’den yeni bir fidye talep ettiği anlaşılıyor. UHG’nin de ikinci fidye talebine uyup uymadığı belli değil.
Geçtiğimiz ay, UHG, etkilenen kişileri belirlemek için çalınan verilerin incelemesini neredeyse tamamladığını ve etkilenen tüm bireyleri, Change’in müşterileri adına da dahil olmak üzere, bu kuruluşlar vazgeçmediği sürece bilgilendirmeye başladığını söyledi. UHG, etkilenen tüm bireylerin Temmuz ayı sonuna kadar bilgilendirileceğini söyledi.
Şirket henüz toplamda kaç kişiye haber vereceğini söylemese de, yaklaşık 333 milyonluk ABD nüfusunun üçte birinin saldırıdan etkilenebileceğini belirten UHG CEO’su Andrew Witty, Mayıs ayında iki kongre komitesi önünde ifade verdi (bkz: Kanun koyucular UnitedHealth CEO’sunu Sağlık Hizmetlerindeki Değişim Saldırısı Konusunda Sorguya Çekti).
UHG, Change’den çalınan bilgilerin dahil olan her birey için değiştiğini ancak bir bireyin adını, doğum tarihini, işverenini, Sosyal Güvenlik numarasını ve e-posta adresini ve ayrıca tıbbi teşhisler, ilaçlar, test sonuçları, görüntüler, bakım ve tedaviyle ilgili ayrıntıları içerebileceğini söyledi. Bazı bireylerin finansal veya ödeme kartı bilgilerinin yanı sıra sürücü belgesi ve pasaport numaralarının yanı sıra fatura taleplerinin ayrıntıları ve diğer hassas bilgiler ifşa edilmiş olabilir.
Birçok eyalet başsavcısı, çalınan bilgilerin kötüye kullanılabileceği göz önünde bulundurulduğunda, potansiyel olarak etkilenen tüketicilerin kimlik hırsızlığı ve dolandırıcılığa karşı dikkatli olmaları konusunda uyardı.