قال ممرضون في مستشفيين متضررين من الهجوم السيبراني لشبكة CNN، إن هجوم برامج الفدية على شبكة مستشفيات أمريكية كبرى بدأ قبل ثلاثة أسابيع يعرض صحة المرضى للخطر، حيث يضطر الممرضون إلى إدخال معلومات الوصفات الطبية يدويًا والعمل بدون سجلات صحية إلكترونية.
وقالت ممرضة تعمل في مستشفى أسنسيون بروفيدنس روتشستر، وهي منشأة تضم 290 سريراً على بعد حوالي 25 ميلاً شمال وسط مدينة ديترويت: “إنها تعرض حياة المرضى للخطر”. “الناس لديهم الكثير من المرضى لما هو آمن. تستقبل الممرضات خمسة أو ستة مرضى يتعاملون مع كل هذه الرسوم البيانية الورقية.
وقالت ممرضة أخرى، تعمل في مستشفى أسنسيون الذي يضم 409 سريراً في برمنغهام، بولاية ألاباما، لشبكة CNN: “إنه لأمر مخيف عدد حواجز السلامة (التي كانت) خارج الخدمة دون أي أجهزة كمبيوتر”.
وتحدثت الممرضات بشرط عدم الكشف عن هوياتهن لحماية وظائفهن.
ضرب الهجوم الإلكتروني منظمة Ascension، وهي منظمة غير ربحية مقرها سانت لويس وتشرف على 140 مستشفى في 19 ولاية، في 8 مايو، لكن شبكة الرعاية الصحية لا تزال تعمل على إعادة أنظمتها إلى الإنترنت.
تعد هجمات برامج الفدية التي تقطع الوصول إلى السجلات الصحية الإلكترونية حدثًا منتظمًا في الحياة الأمريكية. أبلغ قطاع الرعاية الصحية عن 249 هجومًا من برامج الفدية إلى مكتب التحقيقات الفيدرالي العام الماضي، أكثر من أي قطاع آخر، مع تأثير بعض الحالات على سجلات المرضى.
لكن حادثة Ascension تثير مخاوف بشأن التهديد الذي يشكله مجرمو الإنترنت على صحة المرضى بطريقة لم تفعلها العديد من هجمات برامج الفدية الأخرى على مقدمي الخدمات الصحية في الولايات المتحدة، وفقًا لمقابلات مع ممرضات وخبراء في الأمن السيبراني.
قالت ممرضتا Ascension في مقابلتين منفصلتين إنهما شعرتا بالإرهاق بسبب التحول المفاجئ إلى السجلات الورقية في أعقاب الهجوم الإلكتروني، وشعرتا بالإحباط من خطط مستشفياتهما للتعامل مع الموقف، وشعرتا بالقلق من أنهما أو زملاؤهما سوف يرتكبون أخطاء في إدخال المعلومات الطبية الحيوية للمريض. .
قالت الممرضة المقيمة في روتشستر بولاية ميشيغان: “ليس لدي أي أوامر في الكمبيوتر”. “لا أستطيع رؤية المختبرات المطلوبة ونتائجها.”
قامت OPEIU Local 40، وهي نقابة تمثل الممرضات في مستشفى Ascension Providence Rochester، بتوزيع عريضة عبر الإنترنت يوم الجمعة قائلة إن أعضاء النقابة “قلقون للغاية بشأن التحديات الحالية التي يواجهها متخصصو الرعاية الصحية لدينا” بسبب الهجوم الإلكتروني، وحثوا المستشفى على اتخاذ إجراء سلسلة من الخطوات العلاجية، بما في ذلك الحد من نسبة الممرضات إلى المرضى.
ولم يجب ماك ووكر، مدير العلاقات الإعلامية في Ascension، على أسئلة CNN حول الالتماس أو تعليقات الممرضات بشأن سلامة المرضى. وبدلاً من ذلك، أرسل ووكر هذا البيان عبر البريد الإلكتروني صباح الأربعاء.
قال ووكر: “كانت استعادة الوصول إلى السجلات الصحية الإلكترونية (EHR) من بين الأولويات القصوى لعملية التعافي لدينا”. “نظرًا للعمل الشاق الذي قامت به فرقنا على مدار الأيام القليلة الماضية، نجحنا في استعادة الوصول إلى السجلات الصحية الإلكترونية في سوقنا الأول ونتقدم بنشاط وفقًا لخطة لاستعادة الوصول عبر شبكتنا على أساس دوري.”
ولم يرد ووكر عندما سئل عما يعنيه “السوق الأول” لشركة Ascension.
قالت Ascension، رابع أكبر شبكة مستشفيات في البلاد حسب بعض المقاييس، في بيان عام يوم الجمعة إنها تعمل “على مدار الساعة مع خبراء الأمن السيبراني الرائدين في الصناعة لاستعادة العمليات بأمان عبر شبكتنا”.
في أعقاب اختراق Ascension وهجوم آخر ببرامج الفدية في فبراير، والذي أدى إلى تعطيل فواتير التأمين في الصيدليات في جميع أنحاء الولايات المتحدة، يقول مسؤولو إدارة بايدن إنهم يستعدون لإصدار مجموعة من الحد الأدنى من متطلبات الأمن السيبراني للمستشفيات الأمريكية. لكن يقول الخبراء إن تحديات الأمن السيبراني في قطاع الصحة كثيرة وتتجاوز نطاق أي وصفة سياسية واحدة.
يخطط كبار المسؤولين من البيت الأبيض ووزارة الصحة والخدمات الإنسانية للقاء مديري الأمن السيبراني من شركات الرعاية الصحية يوم الأربعاء لمناقشة كيفية حماية المستشفيات بشكل أفضل من المتسللين، حسبما قالت ثلاثة مصادر مطلعة على الاجتماع لشبكة CNN.
وفي تصريحات للصحافة، قالت Ascension إن موظفيها “مدربون بشكل مناسب للحفاظ على رعاية عالية الجودة أثناء فترة التوقف عن العمل”.
لكن الممرضات اللاتي قابلتهن شبكة سي إن إن قلن إن التحول إلى السجلات الورقية والعمليات اليدوية يؤثر سلبًا على عمليات المستشفى. ومع تعطل أجهزة الكمبيوتر، كان الأطباء يكتبون الوصفات الطبية الورقية للمرضى، والتي تأخذها الممرضات إلى الآلة لإدخالها يدويًا دون فحصها من الصيدلية المحلية، وفقًا للممرضتين.
قالت دينا كارلايل، رئيسة OPEIU Local 40: “عليهم أن يتدخلوا هناك لإخراج الدواء. لا يوجد فحص أمان ثانٍ من الصيدلية”.
وقالت الممرضة في برمنغهام، ألاباما، لشبكة CNN، إن الأمر استغرق وقتًا طويلاً للغاية للحصول على نتائج معملية بسبب الاختراق. وقالت الممرضة إن “المختبر الإحصائي” أو العمل المعملي اللازم لاتخاذ قرارات سريعة بشأن رعاية المرضى، والذي يستغرق عادةً من 30 دقيقة إلى ساعة لمعالجته، قد يستغرق ساعات.
تجبر هجمات برامج الفدية في الولايات المتحدة بشكل روتيني المستشفيات على تحويل سيارات الإسعاف وإلغاء المواعيد. وهذا يسبب ضغطا على المستشفيات المجاورة التي تعوض الركود. لكن الافتقار إلى الفهم العام الواضح لكيفية تأثير الهجمات السيبرانية على المستشفيات بشكل مباشر على رعاية المرضى يقوض الحاجة الملحة للتعامل مع المشكلة، وفقا للمدافعين عن الصحة وخبراء الأمن السيبراني.
يقوم الباحثون بشكل متزايد بقياس مدى خطورة برامج الفدية القاتلة.
ما يقرب من 3 من كل 100 مريض من مرضى الرعاية الطبية في المستشفى سيموتون في المستشفى في ظل الظروف العادية، ولكن أثناء هجوم برامج الفدية، يرتفع هذا العدد إلى 4 من كل 100 بسبب الضغط على موارد المستشفى، وفقًا للباحثين في كلية الصحة العامة بجامعة مينيسوتا. ، الذي درس 374 هجومًا ببرامج الفدية على مقدمي الخدمات الصحية.
يقول الخبراء إن جزءًا من المشكلة هو أن بعض المستشفيات فشلت في الاختبارات الأساسية لـ “النظافة” للأمن السيبراني، أو التدابير الدفاعية السليمة، في حين تفتقر العديد من العيادات الصغيرة إلى الموارد اللازمة لتأمين نفسها. وربما أكثر من أي قطاع آخر، تحتفظ شركات الرعاية الصحية بكمية هائلة من البيانات الحساسة الجاهزة لمخططات الاستهداف والابتزاز.
ارتفع عدد سجلات البيانات الحساسة التي يحتفظ بها قطاع الرعاية الصحية بأكثر من 63% العام الماضي “متجاوزًا بكثير أي صناعة أخرى وأكثر من خمسة أضعاف المتوسط العالمي”، وفقًا لدراسة أجرتها شركة روبيريك الأمنية.
في شهر فبراير، اخترق مجرمو الإنترنت خادم كمبيوتر غير آمن تستخدمه شركة Change Healthcare، وهي شركة عملاقة لفواتير التأمين تقوم بمعالجة حوالي 15 مليار معاملة رعاية صحية سنويًا. أدى الاختراق إلى حرمان مقدمي الرعاية الصحية من عائدات بمليارات الدولارات وتعطل الخدمة في الصيدليات في جميع أنحاء الولايات المتحدة.
واعتذر أندرو ويتي، الرئيس التنفيذي لمجموعة UnitedHealth Group، التي تمتلك شركة Change Healthcare، في جلسة استماع أخيرة بالكونجرس عن الثغرة الأمنية، وقال إنه سمح بدفع فدية قدرها 22 مليون دولار للقراصنة لمحاولة حماية بيانات المرضى. ومع ذلك، قال إنه من الممكن أن تكون بيانات ثلث الأمريكيين قد سُرقت خلال الاختراق.
“نحن نرفض بشكل روتيني كيانات الرعاية الصحية غير الراغبة في معالجة أشياء مثل نقاط الضعف الحرجة غير المصححة أو التكوينات الخاطئة أو التطبيق غير المتكافئ لـ MFA (المصادقة متعددة العوامل) – وهي الأشياء التي يستفيد منها المتسللون لاختراق الأنظمة. وقالت سيزانيه سيمور، رئيسة المخاطر التنظيمية والسياسات في شركة التأمين السيبراني Coalition، لشبكة CNN، لـCNN: “ثم نرى بانتظام اختراقها لاحقًا”. (قالت إن شركتها ليس لديها رؤى محددة حول هجمات برنامج الفدية Change Healthcare أو Ascension).
يشكل مقدمو الرعاية الصحية أيضًا أهدافًا جذابة للمبتزين عبر الإنترنت لأن المستشفيات لا تستطيع تحمل البقاء غير متصل بالإنترنت لفترة طويلة بسبب الاضطرابات التي يسببها للعمليات.
وقال بريان فورندران، كبير مسؤولي مكتب التحقيقات الفيدرالي الأكثر تركيزًا على الإنترنت، في مقابلة: “عندما ننظر إلى استهداف برامج الفدية، فإننا نحدد من هو الأكثر سهولة في الاستهداف، ومن يمكنه تحمل القليل من التوقف عن العمل، ومن لديه أعلى استعداد للدفع”.
وقال فورندران لشبكة CNN: “وحيثما تكون هناك بيئات بها وقت توقف منخفض، فمن الواضح أن لديك استعدادًا لدفع المزيد من المال مقارنة بالبيئات التي يمكنهم فيها تحمل تكاليف التوقف عن العمل”. “أعتقد أن كل هذا لا يتعلق بقطاع الرعاية الصحية فحسب، بل ببعض القطاعات الأخرى أيضًا.”
ورفض التعليق عندما سئل عن اختراق Ascension.