CommonSpirit Health遭受勒索病毒攻击造成重大经济损失

关键要点

• CommonSpirit Health遭勒索病毒攻击后，网络中断损失至少达到1.5亿美元
• 该事件导致的业务中断及相关成本是主要损失来源
• 2022年下半年运营损失达9.25亿美元，受多种因素影响
• CommonSpirit正在与外部网络安全公司合作进行恢复与调查

CommonSpiritHealth在2023年10月遭遇的勒索病毒攻击及后续为期一个月的网络中断，迄今为止已经造成至少1.5亿美元的损失。这一数额来自该健康系统未审计的季度财务报告，主要是因为与业务中断、修复费用及其他相关商业开支相关的“不利财务影响”。

在2022年下半年，该健康系统的运营损失达到了9.25亿美元，而勒索病毒事件仅占其中一小部分。但相比于去年同期的1.28亿美元，这一损失显著增加。

根据与加州提供者费用计划的标准化，2022年下半年的总损失为7.01亿美元，而2021年同一时段仅为4700万美元。尽管网络安全事件是损失的主要因素之一，但官方表示其运营损失仍受到人力短缺、通货膨胀和疫情的影响。

CommonSpirit还记录了息税折旧摊销前利润（EBITDA）下降至2300万美元，部分原因也与该网络安全事件有关。其他因素包括“保险支付者组合的不利变化”和人力资源挑战。

在患者和保险收入的标准化净收入中，CommonSpirit同样出现了损失，同时在2022年下半年的第三和第六个月经历了4.7%和3.5%的调整入院人数下降，这些也部分归因于网络攻击。

如所述，该网络攻击于10月的第一个周末实施，导致全国各地医院的服务中断。尽管CommonSpirit是美国最大的健康系统之一，在21个州运营着超过700个医疗点和142家医院，但此次攻击导致的医院瘫痪比例相对较小。

然而，受到影响的医院显然感受到了服务中断的影响。医务人员采取了应急措施应对系统故障，但
另一家CommonSpirit的附属机构，弗吉尼亚梅森弗朗西斯健康系统，也受到严重冲击，

财务报告显示，CommonSpirit与外部网络安全公司合作，进行恢复工作并着手调查，同时还通知了执法部门和卫生与公众服务部。

“我们已通知并持续与我们的保险公司沟通，但目前无法预测保险索赔的时间或金额，”报告中提到。继续进行的对CommonSpirit的诉讼可能也将带来进一步的财务影响。

此次事件的成本可能成为医疗领域最昂贵的案例之一，而医疗领域本身在数据泄露和安全事件导致的后果上已然非常庞大。据IBM的数据泄露成本报告，医疗领域的安全事件平均损失为1010万美元。但因网络中断导致长时间停机的安全事件，其平均损失高达每天100万到200万美元。

例如，2021年Universal HealthServices的网络攻击和为期一个月的停机导致医疗系统损失6700万美元，该系统规模几乎与CommonSpirit相同。而在佛蒙特健康网(VermontHealth Network)经历的类似攻击和停机则造成了超过6300万美元的损失。相比之下，2021年5月对ScrippsHealth的攻击损失接近1.13亿美元。