Dalam sebuah dengar pendapat pada hari Rabu di depan Komite Senat AS tentang Keuangan, CEO UnitedHealth Group Andrew Witty mengonfirmasi untuk pertama kalinya bahwa perusahaan membayar tebusan sebesar $22 juta kepada peretas yang meretas sistem anak perusahaannya, Change Healthcare.
Change Healthcare menyediakan solusi pembayaran, manajemen pendapatan, dan solusi lainnya seperti perangkat lunak e-resep.
Serangan cyber ini telah menimbulkan dampak luas di sektor kesehatan. Perusahaan memutuskan sambungan sistem yang terkena dampak ketika ancaman terdeteksi, membuat banyak dokter sementara tidak dapat mengisi resep atau mendapatkan pembayaran atas layanan mereka.
UnitedHealth mengatakan kepada CNBC pada bulan April bahwa mereka membayar tebusan untuk mencoba melindungi data pasien. Laporan sebelumnya menemukan transfer sebesar $22 juta di rantai blok Bitcoin, namun perusahaan belum mengonfirmasi angka tersebut hingga sekarang.
“Sebagai chief executive officer, keputusan untuk membayar tebusan adalah milik saya,” kata Witty. “Ini adalah salah satu keputusan terberat yang pernah saya buat, dan saya tidak menginginkannya pada siapapun.”
UnitedHealth adalah salah satu perusahaan terbesar di dunia, dengan nilai pasar sekitar $450 miliar. Unit bisnisnya, Optum — yang melayani 103 juta pelanggan — dan Change Healthcare — yang menyentuh satu dari tiga catatan pasien — bergabung pada tahun 2022.
Ketua Komite Sen. Ron Wyden, D-Ore., mengatakan dalam sambutannya bahwa pelanggaran Change Healthcare merupakan “peringatan serius tentang konsekuensi korporasi mega yang terlalu besar untuk gagal.”
“Perusahaan yang begitu besar memiliki kewajiban untuk melindungi pelanggannya dan memimpin dalam masalah ini,” kata Wyden.
Witty mengatakan kepada komite bahwa para penjahat cyber mengakses Change Healthcare melalui server yang tidak dilindungi oleh otentikasi multi-faktor, yang memerlukan pengguna untuk memverifikasi identitas mereka dengan setidaknya dua cara yang berbeda. Dia mengatakan bahwa UnitedHealth sekarang telah menerapkan otentikasi multi-faktor di semua sistem yang menghadap ke luar.
“Akibat dari serangan cyber jahat ini, pasien dan penyedia telah mengalami gangguan dan orang-orang cemas tentang data kesehatan pribadi mereka,” kata Witty. “Kepada semua yang terdampak, biarkan saya sangat jelas: Saya sangat, sangat menyesal.”
Sen. Thom Tillis, R-N.C., mengangkat salinan kuning cerah dari “Hacking for Dummies” selama dengar pendapat, dan mengatakan bahwa pelanggaran ini adalah tanggung jawab UnitedHealth untuk diperbaiki.
“Ini adalah hal dasar yang terlewatkan, jadi malu pada audit internal, audit eksternal, dan staf sistem Anda yang bertugas dengan redundansi, mereka tidak melakukan pekerjaan mereka,” kata Tillis.
UnitedHealth menemukan bahwa pelaku ancaman cyber mengakses sebagian jaringan teknologi informasi Change Healthcare pada akhir Februari, menurut laporan kepada Komisi Sekuritas dan Bursa AS.
Witty mengatakan bahwa sistem inti Change Healthcare sudah online kembali, meskipun beberapa fungsi pendukung sekunder masih dalam proses pemulihan.
UnitedHealth mengatakan pada bulan Februari bahwa kelompok ransomware Blackcat berada di balik serangan tersebut. Blackcat, yang juga dikenal dengan nama Noberus dan ALPHV, mencuri data sensitif dari lembaga dan mengancam untuk mempublikasikannya kecuali tebusan dibayar, menurut sebuah rilis Desember dari Departemen Kehakiman AS.
UnitedHealth mengonfirmasi pada bulan April bahwa file-file yang berisi informasi kesehatan yang dilindungi dan informasi yang dapat diidentifikasi secara pribadi dikompromikan dalam pelanggaran tersebut. Perusahaan mengatakan tinjauan data masih berlangsung, sehingga mungkin butuh beberapa bulan sebelum perusahaan dapat memberitahu individu yang terdampak.
Witty mengatakan pada hari Rabu bahwa UnitedHealth sedang bekerja dengan regulator untuk mengevaluasi pelanggaran tersebut dan memberitahu orang-orang jika informasi mereka telah dikompromikan “secepat mungkin.”
Pada awal Maret, UnitedHealth meluncurkan program bantuan pendanaan sementara untuk membantu mendukung penyedia yang mengalami gangguan arus kas akibat serangan cyber. Tidak ada biaya, bunga, atau biaya lain di atas pembayaran, dan penyedia memiliki 45 hari untuk mengembalikan dana setelah operasi pembayaran standar mereka kembali normal.
Selama dengar pendapat, Witty mengatakan bahwa perusahaan belum meminta pengembalian pinjaman kepada siapapun, dan akan tergantung pada penyedia untuk menentukan kapan operasi mereka secara resmi telah kembali normal.
Witty tidak secara langsung mengungkap apakah UnitedHealth akan memberikan dukungan tambahan kepada penyedia yang mungkin menghadapi pinjaman dan pembayaran bunga lainnya karena pelanggaran tersebut.
Sen. Michael Bennet, D-Colo., mendesak Witty untuk membagikan bagaimana UnitedHealth bekerja untuk memastikan sesuatu seperti pelanggaran Change Healthcare tidak akan terjadi lagi. Witty mengatakan bahwa perusahaan berencana untuk membagikan apa yang ditemukan tentang pelanggaran kepada orang lain, dan bahwa ada kebutuhan untuk fokus pada cara mengurangi tingkat serangan cyber di sektor kesehatan.
“Kami dengan jelas berusaha bertanggung jawab dalam serangan ini. Kami juga mencoba belajar dari itu,” katanya.