Siber Sigorta, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Hastane Zincirinin Siber Sigorta İddiasıyla İlgili Henüz Bir Haber Yok, Çok Sayıda Dava Bekleniyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Eylül 2023
Chicago merkezli CommonSpirit, Ekim 2022’deki fidye yazılımı saldırısına ilişkin sigorta talebiyle ilgili hâlâ haber almayı bekliyor, ancak hastane zinciri yıllık mali beyanında, bazı tesislerin kesintiye uğramasının ve faturalandırma ve tahsilat faaliyetlerinin “önemli ölçüde” engellenmesinin 1,4 dolarlık bir zarara katkıda bulunduğunu söyledi. milyar yıllık işletme zararı.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Yıllar içinde çoğunlukla birleşme ve satın almalar yoluyla büyüyen, kar amacı gütmeyen Katolik kuruluş, 24 eyalette 142’si hastane olmak üzere yaklaşık 2.200 sağlık tesisini işletiyor.
Perşembe günü yayınlanan denetlenmemiş yıllık raporda CommonSpirit, 30 Haziran’da sona eren 2023 mali yılı için 1,4 milyar dolarlık faaliyet zararı bildirdi. Kuruluş, 2022 mali yılında ise 1,3 milyar dolarlık biraz daha dar bir faaliyet zararı bildirdi.
Aynı dönemde, 2023 mali yılı gelirleri önceki yıla göre %0,5 artışla 34,6 milyar dolara ulaştı.
CommonSpirit’in bildirdiğine göre, kuruluşun 2 Ekim 2022’deki siber saldırısı, iş kesintisinden kaynaklanan gelir kaybı, olayı düzeltmek için katlanılan maliyetler ve ilgili iş giderleri de dahil olmak üzere sigortayla ilgili kurtarmalar hariç olmak üzere bugüne kadar yaklaşık 160 milyon dolarlık mali hasara neden oldu.
Mayıs ayında CommonSpirit ayrıca siber saldırının kuruluşa maliyetinin 150 milyon dolar olan orijinal tahmininden yaklaşık 160 milyon dolara çıktığını tahmin etti (bkz: CommonSpirit, 2022 Fidye Yazılımı İhlaliyle İlgili Maliyet Tahminini Yükseltti).
O dönemde CommonSpirit yetkilileri finansal analistlere, kuruluşun sigortanın siber saldırı maliyetlerinin çoğunu karşılamasını beklediğini söylemişti.
Ancak CommonSpirit’in geçen haftaki yıllık raporu itibarıyla kuruluş hâlâ tam olarak neyin kapsanacağına ve maliyetlerin ne zaman ödenebileceğine dair bir onay almamıştı.
CommonSpirit, “Sigorta şirketlerine bilgi verdik ve onlarla görüşmeye devam ediyoruz ancak şu anda sigorta geri ödemelerinin miktarını veya zamanlamasını tahmin edemiyoruz” dedi.
Toplu Dava Davası Yaklaşıyor
CommonSpirit raporunda, siber saldırıyla ilgili kuruluşa karşı açılması önerilen toplu davalarla ilgili mali belirsizlikle karşı karşıya olduğunu da kabul etti.
Kuruluş, “Bu konunun çözümünün bir bütün olarak CommonSpirit’in mali durumunu veya operasyonlarını etkilemeyeceğine dair hiçbir güvence verilemez” dedi.
Bir Illinois federal mahkemesinde açılan en az iki önerilen toplu dava davasındaki davacılar, diğer iddiaların yanı sıra, CommonSpirit’in fidye yazılımı uzlaşmasında bireylerin hassas sağlık ve kişisel bilgilerini koruma konusunda ihmalkar olduğunu iddia ediyor (bkz.: CommonSpirit İhlal Sonrası Önerilen 2 Toplu Davayla Karşı Karşıya).
CommonSpirit, geçen sonbahardaki fidye yazılımı saldırısını yönetme ve kurtarmayla ilgili maliyetlerin yanı sıra, yıllık raporunda finansal performansı etkileyen diğer faktörlere de değindi; bunlar arasında devam eden iş gücü sıkıntısı ve enflasyon, azalan keskinlik ve oranlar ve yaklaşık 2.000 kişilik iş gücü azalmasıyla ilgili ücretler yer alıyor. Dördüncü çeyrekte tam zamanlı çalışanlar.
CommonSpirit, siber saldırının bazı yerlerde hasta hizmetlerinde “kısa vadeli” kesintilere ve talep işleme ve tahsilatlarda “önemli” kesintilere neden olduğunu söyledi.
Olay, CommonSpirit’in dokuz bölgesel bölümünden dördünün (Kuzeybatı Pasifik, Güneydoğu, Ortabatı ve Teksas) gelirlerini etkiledi.
CommonSpirit ayrıca, 2023 mali yılındaki 1,5 milyar dolarlık net borçlanmanın, siber olayın ardından meydana gelen tahsilat açığını gidermek için işletme sermayesi kredi limitindeki bir çekmeyi de içerdiğini bildirdi. Kredi ayrıca bazı satın almalar için de kullanıldı.
Kuruluş, fidye yazılımı saldırısını Aralık ayında ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne yaklaşık 624.000 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi; ancak bir davada gerçek sayının 20 milyon kişi olduğu iddia ediliyor (bkz.: CommonSpirit Fidye Yazılımı İhlali Şu ana Kadar Yaklaşık 624.000 Kişiyi Etkiledi).
CommonSpirit mali beyanında, etkilenen kişilere yönelik ihlal bildirimlerini Nisan ayında tamamladığını söyledi.
Olayda ele geçirilen dosyalar, hastalara, hastaların aile üyelerine veya hastaların bakıcılarına ilişkin ad, adres, telefon numaraları, doğum tarihi ve kuruluş tarafından dahili olarak kullanılan benzersiz bir kimlik gibi bilgileri içeriyordu.
CommonSpirit geçen yıl siber saldırının ani etkisiyle uğraşırken, kuruluş bazı elektronik sağlık kayıtları ve diğer uygulamalar da dahil olmak üzere birçok BT sistemini çevrimdışına aldı ve bunun sonucunda bazı hastalar, etkilenen hastanelerin bir kısmından geri çevrildi. önlem” adımı.
CommonSpirit, Information Security Media Group’un yorum yapma ve siber saldırının mali sonuçlarına ilişkin ek ayrıntılara ilişkin talebine hemen yanıt vermedi.