/cdn.vox-cdn.com/uploads/chorus_asset/file/23318433/akrales_220309_4977_0182.jpg)
Penyedia asuransi kesehatan UnitedHealth membayar tebusan berjumlah jutaan dolar kepada peretas yang meretas salah satu anak perusahaannya, yang mengganggu penyedia layanan kesehatan di seluruh negara selama berbulan-bulan, CEO Andrew Witty mengkonfirmasi pada hari Rabu.
Dalam sidang di depan Komite Senat tentang Keuangan, Witty mengatakan keputusan untuk membayar tebusan sebesar $22 juta itu sepenuhnya miliknya. “Ini adalah salah satu keputusan terberat yang pernah saya buat,” ujarnya. UnitedHealth mengakui bulan lalu bahwa mereka telah membayar tebusan kepada peretas yang meretas sistem Change Healthcare – yang dimiliki oleh UnitedHealth – tetapi tidak mengungkapkan jumlahnya. Pada bulan Maret, perusahaan tersebut mengaitkan peretasan tersebut kepada BlackCat, entitas yang bertanggung jawab atas peretasan kasino MGM di Las Vegas. Pada bulan yang sama, Wired melaporkan bahwa BlackCat, yang juga dikenal sebagai ALPHV, menerima transaksi senilai $22 juta dalam bentuk Bitcoin pada tanggal 1 Maret.
BlackCat sebelumnya mengklaim bahwa mereka berhasil mendapatkan lebih dari enam terabyte data sebagai bagian dari peretasan tersebut, yang dilakukan pada bulan Februari tahun ini. Kelompok peretas ransomware tersebut mengatakan bahwa data tersebut termasuk catatan medis “yang sensitif,” menurut CBS News.
“Para penjahat menggunakan kredensial yang dikompromikan untuk mengakses portal Citrix Change Healthcare secara remote, sebuah aplikasi yang digunakan untuk memungkinkan akses jarak jauh ke desktop,” ujar Witty selama kesaksiannya, menambahkan bahwa portal tersebut “tidak memiliki otentikasi multi-faktor.”
“Peretasan ini bisa dihentikan dengan keamanan siber 101,” kata Sen. Ron Wyden (D-OR), ketua komite. Setelah Witty memastikan bahwa United akan menuntut otentikasi multi-faktor di seluruh perusahaan ke depannya, Wyden mengatakan bahwa “seharusnya tidak diperlukan serangan siber terburuk dalam sektor kesehatan untuk mencapai kesepakatan melakukan hal minimum ini.”
Dampak dari peretasan tersebut sangat luas. Setelah peretasan tersebut terungkap, United menutup sistem Change Healthcare selama seminggu, yang mencegah rumah sakit, klinik, dan apotek di seluruh negara untuk mendapatkan pembayaran. Selama sidang, Witty mengatakan bahwa sistem tersebut sekarang “secara umum kembali normal.” Namun beberapa senator mengatakan kepada Witty bahwa rumah sakit dan penyedia layanan kesehatan lainnya masih menunggu pembayaran. Wyden (D-OR) mengatakan kepada Witty bahwa beberapa penyedia yang mengajukan klaim pada bulan Februari diberitahu bahwa mereka harus menunggu hingga bulan Juni untuk dibayar.
UnitedHealth mengelola lebih dari sepertiga dari semua catatan pasien di AS dan mengawasi 1 dari 10 dokter di seluruh negara, menurut surat yang dikirimkan oleh American Hospital Association kepada Departemen Kesehatan dan Layanan Kemanusiaan pada bulan Maret. Dalam sambutannya, Wyden menyebut United sebagai “leviatan kesehatan” dan menggambarkan peretasan tersebut sebagai “peringatan serius tentang konsekuensi dari mega-korporasi yang terlalu besar untuk gagal.”