Siber Sigorta , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Şirket Yöneticisi Sigortanın Maliyetlerin Çoğunu Karşılamasına Yardımcı Olacağını Umut Ediyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Mayıs 2023
Hastane zinciri CommonSpirit, geçen sonbaharda bazı tesislerinde hasta hizmetlerini haftalarca kesintiye uğratan bir fidye yazılımı olayının maruz kaldığı mali zarara ilişkin tahminini yükseltti ve olayın kendisine tahmini 160 milyon dolara mal olduğunu söyledi.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Şirket yetkililerinin, masrafların çoğunun şirketin sigortası tarafından karşılanmasını bekledikleri bildiriliyor.
Güncellenen rakam, Şubat ayında yapılan son tahminden 22 eyalette 143 hastane ve 2.300 başka bakım tesisi bulunan kar amacı gütmeyen Katolik hastane zincirinden gelen 10 milyon doları daha gösteriyor. 15 Mayıs tarihli ve yatırımcılara gönderilen denetlenmemiş bir raporda şirket, siber saldırı maliyetlerinin önceden tahmin edilenden daha yüksek olduğunu söyledi.
CommonSpirit, yeni toplam rakamın “ilgili iş kesintisinden kaynaklanan kayıp gelirleri, sorunları düzeltmek için katlanılan maliyetleri ve diğer ilgili işletme giderlerini içerdiğini ve sigortayla ilgili olası herhangi bir geri ödemeyi içermediğini” yazdı.
Bir şirket yetkilisi, yatırımcılarla üç aylık sonuçları tartışmak üzere 22 Mayıs’ta yaptığı bir görüşmede, sigorta şirketlerinin eninde sonunda maliyetlerin büyük kısmını üstleneceğini tahmin etti. CommonSpirit’in finanstan sorumlu kıdemli başkan yardımcısı Benjie Loanzon Salı günü Becker’s Hospital Review’de “Bunun çoğu kurtarılabilir olacak, ancak biraz zaman almasını bekliyoruz” dedi.
CommonSpirit ayrıca üç aylık raporunda, fidye yazılımı olayını içeren potansiyel toplu dava davalarıyla karşı karşıya olduğunu da kabul etti (bkz.: CommonSpirit İhlal Sonrası Önerilen 2 Toplu Eylemle Karşı Karşıya).
Şirketin raporunda, “Bu konunun çözümünün, bir bütün olarak ele alındığında, CommonSpirit’in mali durumunu veya faaliyetlerini etkilemeyeceğine dair hiçbir garanti verilemez.”
CommonSpirit, 1 Aralık 2022’deki fidye yazılımı saldırısını Sağlık ve İnsani Hizmetler Departmanına yaklaşık 624.000 kişiyi etkileyen bir bilgisayar korsanlığı olayı olarak bildirdi (bkz.: CommonSpirit Fidye Yazılımı İhlali Şimdiye Kadar Yaklaşık 624.000 Kişiyi Etkiledi).
Hastane zinciri, Information Security Media Group’un en son finansal sonuçları hakkında yorum yapma talebine hemen yanıt vermedi.
Pasich hukuk firmasından sigorta avukatı Peter Halprin, sigortacıların CommonSpirit’in sigorta taleplerini yerine getirdiğini ve tüm tarafların kayıp miktarları üzerinde hemfikir olduğunu varsayarsak, “CommonSpirit’in yalnızca tek bir muafiyet veya kendi kendine sigortalanan alıkoymayı karşılamaktan sorumlu olması mümkündür” dedi. , CommonSpirit davasına dahil olmayan.
Halprin, şirketin mali raporundaki daha temkinli yorumlarının “CommonSpirit’in sigortacılarının kaybın iş kesintisi miktarı gibi bazı yönlerine itiraz ettiğini de gösterebilir” dedi.
“Bu, büyük iş kesintisi kayıplarını içeren siber iddialarda alışılmadık bir durum değil çünkü taşıyıcılar tarafından tutulan muhasebeciler, sigortalının kayıplarını hesaplamasına itiraz edebilir ve kayıpların azaltılmasını önerebilir.”
Potansiyel siber olaylar için sigorta kapsamı ararken, sağlık kuruluşlarının siber riskleri ve olası finansal riskleri değerlendirmek için sigorta komisyoncuları gibi dış profesyonellerle hukuk, finans, operasyonlar, BT ve risk dahil olmak üzere işlerinin farklı yönlerini sıralaması çok önemlidir. iş üzerindeki etkisi, dedi Halprin.
“Buradan itibaren, bu grup birlikte çalışarak, potansiyel sigorta seçenekleri tekliflerinin bu korumayı sağlayıp sağlamadığını değerlendirmelidir. Ancak ihtiyaçlar kuruluştan kuruluşa büyük ölçüde değişir, bu nedenle, teklif edilenleri dikkatlice inceleyebilecek bir sigorta komisyoncusunun olması önemlidir. amaca uygundur.”
İhlal Ayrıntıları
CommonSpirit, 2 Ekim 2022’de BT ağında bir fidye yazılımı saldırısı tespit ettiğini ve bazı sistemleri çevrimdışı duruma getirmek de dahil olmak üzere ağın güvenliğini sağlamak için hemen adımlar attığını söyledi.
Şirket, olayla ilgili adli tıp soruşturmasının, yetkisiz bir üçüncü kişinin 16 Eylül 2022 ile 3 Ekim 2022 arasında ağa erişim sağladığını belirlediğini söyledi.
Bilgisayar korsanları doğrudan CommonSpirit’in elektronik tıbbi kayıt sistemlerinden veri almazken, yetkisiz kişiler, bazı kişilerin birkaç yıl öncesine ait bilgilerini içeren iki dosya paylaşım sunucusundaki dosyalar da dahil olmak üzere şirketin sistemlerindeki bazı verilerin kopyalarını elde etti. .
CommonSpirit, çeşitli operasyonel işlevleri gerçekleştirmek için dosya paylaşım sunucularındaki verileri kullanır. Ad, adres, doğum tarihi, telefon numarası ve e-posta adresi gibi hasta demografik bilgilerinin yanı sıra hizmet tarihleri, sağlık hizmeti sağlayıcısının adı, teşhis ve tedavi bilgileri, fatura ve hasar bilgileri ve sağlık sigortası bilgileri gibi tıbbi bilgileri, şirket dedi.
CommonSpirit, “az sayıda” birey için Sosyal Güvenlik numaralarının da etkilendiğini söyledi.