Change Healthcare 攻击损失预计超过 10 亿美元

面带微笑的医疗专业人士

作者

Jonathan Reed

Freelance Technology Writer

最近发生的 Change Healthcare 网络攻击造成的影响史无前例，造成的损失也是前所未有。美国医院协会 (American Hospital Association) 主席兼 CEO Rick Pollack 表示：“Change Healthcare 网络攻击是历史上针对美国医疗系统的同类事件中影响最大、后果最严重的事件。”

在最近的一次财报电话会议中，Change Healthcare 的母公司 UnitedHealth Group 对此次数据泄露的总体成本进行了预估。最终总损失可能达到 10 亿美元甚至更多。

Change Healthcare 遭到黑客攻击

2 月下旬，ALPHV/BlackCat 勒索软件团伙声称对黑客攻击 Change Healthcare 负责。入侵者扰乱了运营，泄露的数据高达 4TB，其中包括个人信息、支付详情、保险记录和其他敏感信息。这导致了一笔未经核实、金额高达 2200 万美元的勒索软件赎金支付

Change Healthcare 在每年 150 亿笔交易、1.5 万亿美元的医疗保健理赔中发挥着核心作用。攻击发生后，该公司不得不停止关键业务，要将系统完全恢复上线面临很多困难。

数据泄露损失巨大

Change Healthcare 网络攻击导致患者护理和保险报销延误，许多医疗诊所陷入危机。该事件对整个美国医疗保健行业产生了巨大影响。

“网络攻击对本季度造成的损失总额约为 8.7 亿美元。”UnitedHealth Group 总裁兼首席财务官 John Rex 在最近的财报电话会议上说道。

“在这 8.7 亿美元中，约 5.95 亿美元为由于清算所平台恢复和其他响应工作产生的直接成本，包括与暂时中止某些医疗管理活动直接相关的医疗费用。我们预计全年的直接成本为 10 亿美元至 11.5 亿美元。”Rex 继续说道。

涟漪效应

Change Healthcare 事件的部分成本包括一笔超过 20 亿美元的支出，用于帮助受网络攻击影响的医疗保健提供方。然而，这可能不足以帮助某些受到严重冲击的诊所。

美国医学会 (AMA) 进行的一项调查揭示此事件的损失程度。受影响的受访诊所百分比：

  • 36% 已暂停理赔
  • 32% 无法提交理赔申请
  • 77% 的受访者表示他们遭遇过服务中断
  • 80% 的医疗保健提供方表示他们因未支付的理赔而损失了收入
  • 78% 因无法提交理赔而损失了收入
  • 55% 使用个人资金来支付因攻击而产生的费用

在调研中，有些从业者用言语表达了他们的痛苦，例如“这次网络攻击让我快破产了，我的钱快花光了”等言论。其他受访者表示：“这拖垮了我们这家全新开业的诊所。我只能用个人资金维持运营。”另一位从业者表示，这起事件可能会让他们这家在农村社区“经营了 50 年”的诊所破产。

沉重的法律负担

虽然在 UnitedHealth Group 的财报电话会议中没有具体提及，但与黑客攻击相关的律师费用将会非常高昂。根据最近的一份法庭文件，为了减轻冲击，Change Healthcare 希望将 24 起集体诉讼合并

UnitedHealth Group 的子公司已请求司法小组将这些诉讼合并，集中移交田纳西州中区联邦地区法院，即 Change Healthcare 的总部所在地。公司辩称，这些案件存在相同的事实与法律主张，合并审理可以节省法院资源。

痛苦何时才能结束？

如果说第一次黑客攻击还不够糟糕，最新报道显示 Change Healthcare 又遭到另一个团伙 RansomHu 的勒索。这种多阶段勒索软件攻击屡见不鲜，因为入侵者试图加倍满足自己的要求。

在这种情况下，第二次勒索似乎是 ALPHV 的一个附属团伙所为，其很可能参与了勒索软件即服务模式的攻击方案，即多个行为者共同参与攻击。泄露的屏幕截图似乎显示了 Change Healthcare 的数据和文件，包括患者数据。该团伙表示，如果 Change Healthcare 拒绝协商付款，他们将把窃取的数据拍卖给最高出价者。

目前尚不清楚第二次勒索企图是否已纳入成本分析中。无论纳入与否，Change Healthcare 攻击都将是史上损失最惨重的数据泄露事件之一，将会载入史册。正如国会议员所写道，“攻击 Change 无异于将整个医疗保健系统作为攻击目标。”