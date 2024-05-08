Dampak dari serangan siber Change Healthcare baru-baru ini belum pernah terjadi sebelumnya—dan begitu juga biayanya. Rick Pollack, President dan CEO American Hospital Association, menyatakan, “Serangan siber Change Healthcare adalah insiden paling signifikan dan penting dari jenisnya terhadap sistem perawatan kesehatan AS sepanjang sejarah”.
Dalam rapat pemaparan keuangan baru-baru ini, UnitedHealth Group, perusahaan induk Change Healthcare, berspekulasi tentang biaya pelanggaran data secara keseluruhan. Setelah semua dikatakan dan dilakukan, total penghitungan bisa mencapai 1 miliar USD atau lebih.
Pada akhir Februari, geng ransomware ALPHV/BlackCat mengklaim bertanggung jawab atas peretasan Change Healthcare. Para penyusup mengganggu operasi dan mengeksfiltrasi hingga 4TB data, termasuk informasi pribadi, rincian pembayaran, catatan asuransi, dan informasi sensitif lainnya. Hal ini menyebabkan pembayaran ransomware yang tidak diverifikasi sebesar 22 juta USD.
Change Healthcare memainkan peran sentral dalam 15 miliar transaksi dan klaim perawatan kesehatan senilai 1,5 triliun USD setiap tahunnya. Setelah serangan itu, perusahaan harus menutup operasi utama, dan mengembalikan sistem sepenuhnya online menjadi sulit.
Serangan siber terhadap Change Healthcare menimbulkan risiko bagi kelangsungan hidup banyak praktik perawatan kesehatan karena keterlambatan dalam perawatan dan penggantian biaya untuk pasien. Insiden itu telah menyebabkan dampak besar di seluruh industri perawatan kesehatan AS.
"Dampak dunia maya pada kuartal ini mencapai sekitar 870 juta USD," kata John Rex, Presiden dan Chief Financial Officer UnitedHealth Group dalam rapat pemaparan baru-baru ini.
“Dari 870 juta USD, sekitar 595 juta USD merupakan biaya langsung karena restorasi platform clearinghouse dan upaya respons lainnya, termasuk biaya pengobatan yang secara langsung berkaitan dengan penangguhan sementara terhadap beberapa kegiatan manajemen perawatan. Untuk setahun penuh, kami memperkirakan biaya langsung ini sebesar 1 miliar USD hingga 1,15 miliar USD”, lanjut Rex.
Bagian dari biaya insiden Change Healthcare termasuk pembayaran lebih dari 2 miliar USD untuk membantu penyedia layanan kesehatan yang terkena dampak serangan siber. Namun, ini mungkin tidak cukup untuk membantu beberapa praktik yang terganggu akibat dampaknya.
Sebuah survei yang dilakukan oleh American Medical Association (AMA) menunjukkan tingkat kerusakannya. Dalam persentase, praktik yang terdampak menurut survei:
Dalam survei tersebut, beberapa praktisi mengungkapkan kesulitan yang mereka hadapi, dalam komentar seperti "Serangan siber ini membuat saya bangkrut, dan saya hampir kehabisan uang". Responden lain mengatakan, “Serangan ini melumpuhkan praktik baru kami. Saya terus menjalankan layanan menggunakan dana pribadi”. Praktisi lain mengatakan bahwa insiden itu dapat membuat “praktik 50 tahun” mereka bangkrut di komunitas pedesaan.
Meskipun tidak secara khusus disebutkan dalam rapat pemaparan keuangan UnitedHealth Group, biaya hukum yang terkait dengan peretasan akan sangat tinggi. Untuk meringankan pukulan tersebut, Change Healthcare ingin mengonsolidasikan 24 gugatan class action, menurut pengajuan pengadilan baru-baru ini.
Anak perusahaan UnitedHealth Group meminta panel yudisial untuk menggabungkan gugatan dan memusatkannya di Pengadilan Distrik federal AS untuk Distrik Tengah Tennessee—lokasi kantor pusat Change Healthcare. Perusahaan berpendapat bahwa kasus-kasus tersebut memiliki klaim faktual dan hukum yang sama dan bahwa konsolidasi akan menghemat sumber daya pengadilan.
Jika peretasan pertama belum cukup buruk, muncul laporan baru yang menyatakan bahwa Change Healthcare diperas lagi oleh kelompok lain yang disebut RansomHub. Serangan ransomware pemerasan multi-fase seperti ini terlalu umum karena penyusup berusaha menggandakan tuntutan mereka.
Dalam kasus ini, pemerasan kedua tampaknya merupakan afiliasi ALPHV yang kemungkinan berpartisipasi dalam skema jenis Ransomware-as-a-Service di mana beberapa pelaku berpartisipasi dalam serangan. Tangkapan layar yang bocor tampaknya menunjukkan data dan file Change Healthcare, termasuk data pasien. Kelompok tersebut menyatakan akan menjual data yang dicuri kepada penawar tertinggi jika Change Healthcare menolak untuk menegosiasikan pembayaran.
Tidak jelas apakah upaya pemerasan kedua ini termasuk dalam analisis biaya. Bagaimanapun, serangan Change Healthcare akan tercatat dalam sejarah sebagai salah satu pelanggaran data paling mahal yang pernah ada. Seperti yang ditulis oleh anggota Kongres, "Pelanggaran terhadap Change sama saja dengan menargetkan sistem perawatan kesehatan secara keseluruhan."