3. Taraf Risk Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
BT’nin çoğu onarıldı ancak UHG hâlâ yetişiyor ve müşteri kazanmayı hedefliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ekim 2024
UnitedHealth Group, Change Healthcare BT hizmetleri birimine yapılan siber saldırının bu mali yılındaki toplam maliyetine ilişkin tahminlerini yaklaşık 2,9 milyar dolara yükseltti. Şu ana kadar olay 2,5 milyar dolara mal oldu; bu, şirketin temmuz ayında yılın toplam maliyeti olacağını tahmin ettiği rakam.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
UHG, Salı günü 2024 mali yılının üçüncü çeyreğine ve 30 Eylül’de sona eren dokuz aylık döneme ilişkin mali sonuçlarıyla ilgili açıklama yaptı.
UHG yöneticileri ayrıca Salı günü yapılan kazanç görüşmesinde Wall Street analistlerine Change Healthcare’in BT sistemlerinin büyük ölçüde onarıldığını ve şirketin saldırı nedeniyle kesintiye uğrayan ve alternatif satıcılardan hizmet arayan müşterileri geri kazanmak için çalıştığını söyledi.
UHG’nin Optum Insight bölümü CEO’su Roger Connor şunları söyledi: “Yalnızca mevcut müşterilerimize hacim kazandırmaya çalışmıyoruz. Aynı zamanda yeni müşteriler kazandırmak için de çalışıyoruz ve bu heyecan verici çünkü bu etkinlik gerçekten pazarı dönüştürdü.” çağrı. “Onlar arıyorlar… yeniliğe erişim, sistemdeki güvenliğe erişim ve biz de bunu geri getirdik. Çok güvenli bir sistemi geri getirdik ve bu yankı uyandırıyor. Bu ivmeyi görüyoruz.”
Fidye yazılımı saldırısının Change Healthcare üzerindeki etkisine rağmen, UHG’nin üçüncü çeyrekteki geliri geçen yılın aynı dönemine göre 8,5 milyar dolar artarak yaklaşık 101 milyar dolara yükseldi. UHG, büyümenin “Optum ve UnitedHealthcare’de hizmet verilen kişi sayısındaki güçlü artıştan kaynaklandığını” söyledi.
Minneapolis, Minnesota merkezli şirket, üçüncü çeyrekte operasyonlardan elde edilen kazancın, yaklaşık 300 milyon dolarlık “olumsuz siber saldırı etkilerinin” etkisi de dahil olmak üzere 8,7 milyar dolar olduğunu söyledi. Ancak bu, 2023’ün aynı çeyreğinde bildirilen 8,5 milyar dolarlık kazançtan hala yüksek.
Bununla birlikte şirket, 2024 mali yılı için net kazanç görünümünü hisse başına 27,50 ila 27,75 ABD Doları olarak ayarladığını açıkladı; bu, yaklaşık bir yıl önce öngörülen 27,50 ila 28,00 ABD Doları aralığının en üst sınırından biraz daha düşük.
Şirket, bu ayarlamanın, etkilenen Change Healthcare hizmetleri için hisse başına tahmini 75 sentlik iş kesintisi etkilerini yansıttığını ve bu durumun geçen çeyrekte tahmin edilene kıyasla hisse başına yaklaşık 10 sent arttığını belirtti.
Siber saldırıyla ilgili iş kesintileri UHG’ye üçüncü çeyrekte yaklaşık 134 milyon dolara, 30 Eylül’de sona eren dokuz aylık dönemde ise yaklaşık 747 milyon dolara mal oldu.
Siber saldırıya ilişkin toplam doğrudan müdahale maliyeti üçüncü çeyrekte 341 milyon dolar, dokuz aylık dönemde ise 1,7 milyar dolardı.
UHG, 31 Aralık’ta sona eren 2024 mali yılı için siber saldırının toplam mali etkisinin 2,87 milyar dolar veya Temmuz ayında tahmin edilenden yaklaşık 370 milyon dolar daha yüksek olacağını tahmin ediyor.
UHG başkanı ve CFO’su John Rex, Wall Street analistleriyle yaptığı görüşme sırasında, “İş kesintisi, büyük ölçüde, bu yetenekleri tamamen hizmete hazır tutmanın maliyetiyle birlikte gelir kaybını kapsıyor” dedi.
“Bu etkiler düzeltilmiş kazançların dışında tutulmuyor. İşlem hacimlerini etkinlik öncesi seviyelere getirmek ve artık daha modern, güvenli ve yetenekli tekliflerimizle yeni işler kazanmak için müşterilerle çalışmaya devam ediyoruz” dedi.
Change Healthcare, olaydan etkilenen tüm BT hizmetlerini geri yüklemek için çalışmaya devam ediyor ve şirket, kesinti sırasında bağlantıyı kesen ve alternatif satıcılar bulan tüm müşterileri geri getirmeyi hedefliyor.
Connor, “Yeniden bağlantı açısından bakıldığında müşteriler geri geliyor” dedi.
Connor, finansal analistlere “Aslında bu konuda iyi bir ilerleme kaydediyoruz. Geri gelen hacmin saldırı öncesi seviyelere geri dönmediğini görüyoruz” dedi. “Müşteriler gerçekten tedarikçi yedekliği arıyor; aradıkları şey yazılım sistemlerinin başka bir veya iki kaynağında” dedi.
“Artık bunu anlıyoruz. Bunun sağlık sistemi için iyi bir şey olduğunu düşünüyoruz, ancak bu yıl bizi etkiliyor” dedi. Connor, “Fakat bu aynı zamanda bizim için bir fırsat da yaratıyor. Dışarı çıkıp yeni müşteriler veya satışlar elde etme ve onlar için ek bir tedarikçi olma fırsatımız var” dedi.
Rex, UHG’nin “işletmeyi ’25 yılı boyunca saldırı öncesi seviyelere geri döndürmeyi ve gelecek yılın tüm yıl etkisinin kabaca ’24 seviyesinin yarısı kadar olacağını tahmin etmeyi” beklediğini söyledi.
Siber saldırının müdahale aşamalarının en yoğun olduğu dönemde UHG, talep işleme ve ödemelerdeki kesintilerden etkilenen kuruluşlara 8,9 milyar dolardan fazla geçici mali yardım sağladı. Şu ana kadar bu sağlayıcılar kredilerin yaklaşık 3,2 milyar dolarını geri ödediler.
UHG, uzun süren saldırı kurtarma sürecinde bağlantısı kesilen müşterileri geri getirmenin yanı sıra yeni müşteriler kazanmaya devam ederken, şirket aynı zamanda önceki ortamının yerini alan yeni BT’nin bir kısmını optimize etmeyi ve yapay zeka da dahil olmak üzere yenilik yapmayı planlıyor.
“Burası onlara yardım edebileceğimiz ve çözüm sunabileceğimiz yer. Aslında en çok heyecanlandığım yer burası; inovasyonda ne yapacağız ve şu anda inovasyonu hızlandırmak için ne yapıyoruz, çünkü o yeni modernize edilmiş sistemi inşa ediyoruz. Bu yıl oluşturduğumuz teknoloji ortamı,” dedi Connor.
“Ve yapay zekayı yalnızca ödeme bütünlüğü gelir döngüsü gibi mevcut ürünlerimizin işlevlerini dönüştürmek için değil, aynı zamanda bu farklılaştırılmış ürünleri yaratmak ve bu heyecan verici yapay zeka odaklı yenilikler portföyünü oluşturmak için kullanıyoruz.”
Change Healthcare’in Şubat ayındaki fidye yazılımı saldırısı, ABD çapında binlerce sağlık kuruluşunun ticari ve klinikle ilgili operasyonlarını kesintiye uğrattı. Olay, saldırganların şirketin çok faktörlü kimlik doğrulamayı kullanarak koruyamadığı bir Citrix uzaktan erişim hizmetine erişmesiyle 17 Şubat’ta başlamış gibi görünüyor (bkz: Çok Faktörlü Kimlik Doğrulama İsteğe Bağlı Olmamalıdır).
UHG, şirketin 6 terabaytlık verisini çaldığını iddia eden Rusça konuşan fidye yazılımı grubu Alphv’ye (diğer adıyla BlackCat) 22 milyon dolar fidye ödediğini itiraf etti (bkz: UnitedHealth CEO’su: Fidyeyi Ödemek Şimdiye Kadarki En Zor Karardı).
BlackCat’in operatörleri daha sonra gruplarını kapattılar ve fidyeyi Change’i hackleyen bağlı kuruluşla paylaşmak yerine tüm parayı ellerinde tuttular. Buna yanıt olarak bağlı kuruluşun verileri başka bir hizmet olarak fidye yazılımı grubu olan RansomHub’a götürdüğü ve Change’den yeni bir fidye talep ettiği görülüyor. UHG’nin ikinci fidye talebini de kabul edip etmediği belli değil.
Change Healthcare, bilgisayar korsanlığı olayını Temmuz ayında federal düzenleyicilere 500 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi; bu bir yer tutucu tahminidir (bkz.: Neden Sağlık Lowball’unu Federallere İlk İhlal Raporunu Değiştirdi?).
UHG CEO’su Andrew Witty, mayıs ayında Kongre’deki iki komite önünde olayın aslında potansiyel olarak ABD nüfusunun yaklaşık üçte birini etkilediğini ifade etmişti. Bu, 100 milyona kadar kişinin etkilendiği anlamına gelebilir (bkz: Milletvekilleri Grill UnitedHealth CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
Ancak Çarşamba günü itibarıyla, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı web sitesi, Sağlık Hizmetlerini Değiştir ihlalinin yalnızca 500 kişiyi etkilediğini listeliyor.
UHG, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada olayı halen araştırdığını söyledi.
UHG, “İlgili verilerin hacmi ve karmaşıklığı ve soruşturmanın hala son aşamada olması göz önüne alındığında, potansiyel olarak etkilenen bireyleri mümkün olduğunca hızlı ve sürekli olarak bilgilendirmeye devam ediyoruz.” dedi.
UHG, “Etkilenen dosyaların %90’ından fazlası incelendi. Etkilenme potansiyeli olan bireyleri mümkün olan en kısa sürede bilgilendirmeye ve verilerinin potansiyel olarak etkilenmesinden endişe duyan kişilere anında destek ve koruma sağlamaya kararlıyız” dedi.
Change Healthcare ayrıca olayın durumunu güncellemeye devam ediyor ve ihlal bildirim süreciyle ilgili olarak HHS Sivil Haklar Ofisi ve diğer düzenleyicilerle düzenli iletişim halinde. Olaylara müdahale kapsamında UHG, etkilenen müşteriler için ihlal bildirimi görevlerini yerine getirmeyi teklif etti.
UHG, ISMG’nin gerçekte kaç kişinin etkilendiği veya UHG’nin ihlal raporlaması teklifini kabul eden müşteri sayısı hakkındaki güncellenmiş tahmin talebine hemen yanıt vermedi.