בתי חולים בארה"ב מועדים להתקפות סייבר כמו כזו שפגעה בטיפול בחולים באסנסיין

בעקבות מתקפת סייבר מתישה נגד אחת ממערכות הבריאות הגדולות במדינה, אמר מרווין ראקל, אחות בבית חולים אסנסיון בוויצ'יטה, קנזס, שעברה חוויה מפחידה: הוא כמעט נתן לתינוק "מינון שגוי של סמים" בגלל ניירת מבלבלת.

ראקל, שעבד ביחידה לטיפול נמרץ יילודים ב-Ascension Via Christi St. Joseph במשך שני עשורים, אמר ש"קשה לפענח מי היה המינון הנכון" ברשומה של התרופות. הוא "מעולם לא ראה את זה קורה", אמר, "כשהיינו במערכת המחשוב" לפני מתקפת הסייבר.

מתקפת תוכנת כופר ב-8 במאי נגד Ascension, מערכת בריאות קתולית עם 140 בתי חולים בלפחות 10 מדינות, נעלמה לספקים מחוץ למערכות שעוקבות ומתאמות כמעט כל היבט של טיפול בחולים. הם כוללים את המערכות שלה לרישומי בריאות אלקטרוניים, כמה טלפונים וכאלה ש"מנוצלים להזמנת בדיקות, נהלים ותרופות מסוימות", אמרה החברה בהצהרה מ-9 במאי.

יותר מתריסר רופאים ואחיות שעובדים עבור מערכת הבריאות רחבת הידיים אמרו ל-Michigan Public ו-KFF Health News כי הטיפול בחולים בבתי החולים שלה ברחבי המדינה נפגע בעקבות מתקפת הסייבר במהלך השבועות האחרונים. רופאים שעובדים עבור בתי חולים בשלוש מדינות תיארו פגמים מדאיגים, כולל תוצאות מעבדה מאוחרות או אבדות, שגיאות תרופות והיעדר בדיקות בטיחות שגרתיות באמצעות טכנולוגיה למניעת טעויות שעלולות להיות קטלניות.

למרות העלייה המהירה במתקפות הסייבר נגד מגזר הבריאות בשנים האחרונות, שיבוש של שבועות בסדר גודל כזה הוא מעבר למה שרוב מערכות הבריאות מוכנות אליו, אמר ג'ון קלארק, קצין רוקחות ראשי מטעם מערכת הבריאות של אוניברסיטת מישיגן.

"אני לא מאמין שמישהו מוכן לגמרי", אמר. רוב תוכניות ניהול החירום "נועדו סביב זמני השבתה ארוכי טווח הנמשכים ליום אחד, יומיים או שלושה".

בהצהרה פומבית של Ascension מ-9 במאי נמסר כי צוותי הטיפול שלה "הוכשרו לסוגים אלה של שיבושים", אך לא הגיבה לשאלות בתחילת יוני אם היא התכוננה לתקופות ארוכות יותר של השבתה. Ascension הודיעה ב-14 ביוני שהיא החזירה את הגישה לרשומות בריאות אלקטרוניות ברחבי הרשת שלה, אך כי "רשומות רפואיות ומידע אחר שנאסף בין ה-8 במאי" וכאשר השירות שוחזר "עשויים להיות בלתי נגישים באופן זמני מכיוון שאנו פועלים לעדכן את הפורטל במידע נאסף במהלך השבתת המערכת."

ראקל אמר ש"לא היה לו הכשרה" למתקפת הסייבר.

חזרה לנייר

ליסה ווטסון, אחות ביחידה לטיפול נמרץ בבית החולים Ascension Via Christi St. Francis בויצ'יטה, תיארה את השיחה הקרובה שלה. היא אמרה שהיא כמעט נתנה את התרופה הלא נכונה לחולה במחלה קשה, כי היא לא יכלה לסרוק אותה כמו שהיא עושה בדרך כלל. "המטופל שלי כנראה היה נפטר לולא הייתי תופס אותו", אמרה.

ווטסון לא זרה לשימוש בנייר לתרשימים רפואיים של מטופלים, ואמרה שהיא עשתה זאת "במשך כנראה מחצית מהקריירה שלי", לפני שרשומות בריאות אלקטרוניות הפכו לכל מקום בבתי חולים. מה שקרה לאחר מתקפת הסייבר היה "בשום אופן לא אותו דבר".

"כאשר שרטנו ניירות, היו לנו מערכות כדי להעביר את ההזמנות הללו למחלקות אחרות בזמן", היא אמרה, "וכל אלה נעלמו".

מליסה לארו, אחות טיפול נמרץ בבית החולים אסנסיון סנט אגנס בבולטימור, תיארה שיחה קרובה עם "מתן מינון שגוי" של תרופות ללחץ הדם של המטופל. "למרבה המזל", אמרה, זה "נבדק ותוקן לפני שזה יכול לקרות. אבל אני חושבת שהפוטנציאל לנזק קיים כשיש לך כל כך הרבה מידע וניירת שאתה צריך לעבור".

רופאים אומרים שבתי החולים שלהם הסתמכו על דרכים לעקיפת הבעיה, תוך שימוש בפתקים בכתב יד, פקסים, פתקים דביקים וגיליונות מחשב בסיסיים – רבים שהוכנו תוך כדי תנועה על ידי רופאים ואחיות – לטיפול בחולים.

יותר מתריסר אחיות ורופאים אחרים, חלקם ללא הגנות איגודיות, בבתי החולים Ascension במישיגן סיפרו על מצבים שבהם הם אומרים שהטיפול בחולים נפגע. אותם רופאים דיברו בתנאי שלא יופיעו בשמם מחשש לנקמה מצד המעסיק שלהם.

רופא בחדר המיון של בית החולים אסנסיין בדטרויט אמר שאדם בצד המזרחי של העיר קיבל סם מסוכן המיועד לחולה אחר בגלל ערבוב בניירת. כתוצאה מכך, הואטה נשימתו של החולה עד כדי כך שהיה צריך להכניסו למכשיר הנשמה. "עשינו אינטובציה שלו ושלחנו אותו לטיפול נמרץ כי הוא קיבל את התרופה הלא נכונה".

אחות בבית חולים מדינת מישיגן אמרה כי אישה עם סוכר נמוך בדם ו"מצב נפשי שונה" נכנסה לדום לב ומתה לאחר שהצוות אמר שהם מחכים ארבע שעות לתוצאות המעבדה שהם צריכים כדי לקבוע כיצד לטפל בה, אך מעולם לא קיבלו. "אם התחלתי לסבול מכאבי חזה מוחצים באמצע העבודה וחושבת שיש לי כאב גדול, הייתי תופס מישהו שיסיע אותי ברחוב לבית חולים אחר", אמרה אותה אחות מיון.

חששות דומים, על פי הדיווחים, הובילו אחות מסע בבית חולים אסנסיון באינדיאנה להפסיק. "אני רק רוצה להזהיר את אותם מטופלים שמגיעים לכל אחד ממתקני העלייה שיהיו עיכובים בטיפול. יש פוטנציאל לטעויות ולפגיעה", אמר ג'סטין נייסר ל-CBS4 באינדיאנפוליס במאי.

כמה אחיות ורופאים בבתי חולים אסנסיון אמרו שהם חוששים שהטעויות שהם עדים להם מאז החלה מתקפת הסייבר עלולות לאיים על הרישיונות המקצועיים שלהם. "כך קורה RaDonda Vaught," אמרה אחת האחות, בהתייחסה לאחות טנסי שהורשעה ברצח ברשלנות פלילית בשנת 2022 בגין טעות סמים קטלנית.

כתבים לא הצליחו לעיין ברשומות כדי לאמת את טענות הרופאים בגלל חוקי הפרטיות סביב המידע הרפואי של המטופלים החלים על אנשי מקצוע בתחום הבריאות.

Ascension סירבה לענות על שאלות בנוגע לטענות שהטיפול הושפע מהתקפת תוכנת הכופר. "כפי שהבהרנו לאורך מתקפת הסייבר הזו שהשפיעה על המערכת שלנו ועל הספקים הקליניים המסורים שלנו, הטיפול בחולים שלנו הוא בראש סדר העדיפויות שלנו", אמר שון פיצפטריק, סגן נשיא לתקשורת חיצונית של Ascension, בדוא"ל ב-3 ביוני. "אנחנו בטוחים שספקי הטיפול שלנו בבתי החולים ובמתקנינו ממשיכים לספק טיפול רפואי איכותי".

הממשל הפדרלי דורש מבתי החולים להגן על נתוני הבריאות הרגישים של החולים, על פי מומחי אבטחת סייבר. עם זאת, אין דרישות פדרליות לבתי חולים למנוע או להתכונן להתקפות סייבר שעלולות לסכן את המערכות האלקטרוניות שלהם.

בתי חולים: "היעד מספר 1 של תוכנות כופר"

"התחלנו לחשוב על אלה כבעיות בריאות הציבור ואסונות בקנה מידה של רעידות אדמה או הוריקנים", אמר ג'ף טולי, מנהל שותף של המרכז לאבטחת סייבר בבריאות באוניברסיטת קליפורניה-סן דייגו. "יש להתייחס לסוגים אלה של אירועי אבטחת סייבר כעניין של מתי, ולא אם".

ג'וש קורמן, מומחה ועורך דין לאבטחת סייבר, אמר כי צוותי הכופר מתייחסים לבתי החולים כאל הטרף המושלם: "יש להם אבטחה נוראית והם ישלמו. אז כמעט מיד, בתי חולים הלכו ליעד מספר 1 של תוכנות כופר".

בשנת 2023, מגזר הבריאות חווה את הנתח הגדול ביותר של מתקפות כופר של 16 מגזרי תשתית הנחשבים חיוניים לביטחון לאומי או לבטיחות, על פי דו"ח של ה-FBI על פשעי אינטרנט. במרץ, מחלקת הבריאות הפדרלית ושירותי האנוש אמר כי דיווח על הפרות גדולות הקשורות לתוכנת כופר זינקו ב-264% בחמש השנים האחרונות.

מתקפת סייבר השנה על Change Healthcare, יחידה של חטיבת Optum של UnitedHealth Group המעבדת מיליארדי עסקאות בריאות מדי שנה, פגעה בעסקים של ספקים, בתי מרקחת ובתי חולים.

במאי, מנכ"ל UnitedHealth Group, אנדרו וויטי, אמר למחוקקים שהחברה שילמה כופר של 22 מיליון דולר כתוצאה מהתקפת Change Healthcare – שהתרחשה לאחר שהאקרים ניגשו לפורטל חברה שאין לו אימות רב-גורמי, כלי אבטחת סייבר בסיסי.

ממשל ביידן דחף בחודשים האחרונים לחזק את תקני אבטחת הסייבר של שירותי הבריאות, אך לא ברור אילו צעדים חדשים יידרשו.

בינואר, HHS דחף את החברות לשפר את אבטחת הדוא"ל, להוסיף אימות רב-גורמי, ולהתקין הדרכה ובדיקות אבטחת סייבר, בין אמצעים התנדבותיים אחרים. המרכזים לשירותי Medicare & Medicaid צפויים לפרסם דרישות חדשות לבתי חולים, אך ההיקף והתזמון אינם ברורים. הדבר נכון גם לגבי עדכון שצפוי HHS לבצע בתקנות פרטיות המטופלים.

HHS אמר כי הצעדים התנדבותיים "יודיעו על יצירת תקני אבטחת סייבר הניתנים לאכיפה", אמר דובר המחלקה ג'ף נסביט בהצהרה.

"התקפת הסייבר האחרונה ב-Ascension רק מדגישה את הצורך של כל אחד מהאקולוגי של שירותי הבריאות לעשות את חלקם כדי לאבטח את המערכות שלהם ולהגן על המטופלים", אמר נסביט.

בינתיים, לוביסטים של תעשיית בתי החולים טוענים שהמנדטים או העונשים על אבטחת סייבר אינם במקומם ויצמצמו את משאבי בתי החולים כדי להדוף התקפות.

"בתי חולים ומערכות בריאות אינם המקור העיקרי לחשיפה לסיכוני סייבר העומדים בפני מגזר הבריאות", אמר איגוד בתי החולים האמריקאי, קבוצת הלובינג הגדולה ביותר לבתי חולים בארה"ב, בהצהרה באפריל שהוכנה עבור מחוקקי בית ארה"ב. רוב פרצות המידע הגדולות שפגעו בבתי חולים בשנת 2023 מקורן ב"שותפים עסקיים" של צד שלישי או גופים בריאותיים אחרים, כולל CMS עצמה, נאמר בהצהרת AHA.

על פי מחקר אחד, בתי חולים המתאחדים למערכות בריאות רב-מדינתיות גדולות עומדים בפני סיכון מוגבר לפרצות נתונים והתקפות כופר. Ascension בשנת 2022 הייתה רשת בתי החולים השלישית בגודלה בארה"ב במספר מיטות, על פי הנתונים העדכניים ביותר של הסוכנות הפדרלית למחקר ואיכות בריאות.

ולמרות שתקנות אבטחת סייבר עלולות להתיישנות במהירות, הן יכולות לפחות להבהיר שאם מערכות הבריאות לא יצליחו ליישם הגנות בסיסיות, "צריכות להיות לכך השלכות", ג'ים באגאן, מנהל לשעבר של המרכז הלאומי לבטיחות חולים אצל הוותיקים. מינהל הבריאות, אמר ל-Michigan Public's Stateside.

מטופלים יכולים לשלם את המחיר כאשר מתרחשות פגמים. המטופלים בבית החולים עומדים בפני סבירות גבוהה יותר למוות במהלך מתקפת סייבר, על פי חוקרים מבית הספר לבריאות הציבור של אוניברסיטת מינסוטה.

עובדים המודאגים מבטיחות המטופלים בבתי החולים Ascension במישיגן קראו לחברה לבצע שינויים.

"אנו מפצירים באסנסנס להכיר בבעיות הפנימיות שממשיכות להטריד את בתי החולים שלה, הן בפומבי והן בשקיפות", אמרה דינה קרלייל, אחות ונשיאת איגוד OPEIU Local 40, המייצג אחיות ב-Ascension Providence Rochester. לפחות 125 אנשי צוות בבית החולים ההוא חתמו על עצומה המבקשת מהמנהלים לצמצם באופן זמני ניתוחים אלקטיביים ואשפוז חולים ללא חירום, כמו לפי הפרוטוקולים שבתי חולים רבים אימצו בתחילת מגיפת קוביד-19.

ווטסון, אחות טיפול נמרץ בקנזס, אמרה בסוף מאי כי אחיות דחקו בהנהלה להביא עוד אחיות כדי לסייע בניהול זרימת העבודה. "כל מה שאנחנו אומרים נפל על אוזניים ערלות", אמרה.

"קשה מאוד להיות אחות באסנסישן כרגע", אמר ווטסון בסוף מאי. "קשה מאוד להיות מטופל בהתעלות עכשיו."

אם אתה מטופל או עובד בבית חולים אסנסיישן ותרצה לספר ל-KFF Health News על החוויות שלך, לחץ כאן לשתף אותנו בסיפור שלך.