Em mais de uma dúzia de estados, médicos e enfermeiros recorreram a ordens de tratamento manuscritas e em papel para registar e acompanhar as doenças dos pacientes, sem conseguirem aceder aos registos médicos detalhados que há muito só estavam disponíveis através de registos informatizados.
Os pacientes esperaram longos períodos nas salas de emergência e os seus tratamentos foram adiados enquanto os resultados laboratoriais e as leituras de máquinas como as ressonâncias magnéticas eram transmitidos através de esforços improvisados que não têm a velocidade dos carregamentos eletrónicos.
Durante mais de duas semanas, milhares de profissionais médicos recorreram a métodos manuais após um ataque cibernético ao Ascension, um dos maiores sistemas de saúde do país, com cerca de 140 hospitais em 19 estados e no Distrito de Columbia.
O ataque em grande escala de 8 de Maio lembrou assustadoramente o ataque à Change Healthcare, uma unidade do UnitedHealth Group que gere o maior sistema de pagamentos de cuidados de saúde do país. O ataque desligou as rotas digitais de cobrança e pagamento da Change, deixando hospitais, médicos e farmacêuticos sem meios de comunicação com as seguradoras de saúde durante semanas. Os pacientes não podiam preencher prescrições e os prestadores não podiam receber pagamento pelos cuidados.
Embora alguns ataques cibernéticos anteriores tenham afectado um único hospital ou redes médicas mais pequenas, a falha na Change, que gere um terço de todos os registos de pacientes dos EUA, sublinhou os perigos da consolidação quando uma entidade se torna tão essencial para o sistema de saúde do país.
Os sistemas da Ascension permanecem inativos indefinidamente, mas médicos e enfermeiros estão a trabalhar para encontrar formas de aceder a algumas informações sobre os históricos médicos dos pacientes, consultando registos médicos mantidos por outros prestadores. A Ascension também informa aos médicos e enfermeiros que em breve poderão visualizar os registros digitais existentes.
“É uma grande perturbação para todos os envolvidos”, disse Kristine Kittelson, enfermeira do Ascension Seton Medical Center em Austin, Texas, e membro do sindicato National Nurses United.
O ataque da Ascensão teve um impacto generalizado semelhante ao da Mudança, com alguns hospitais em Indiana, Michigan e em outros lugares desviando ambulâncias. Os hospitais da Ascensão atendem aproximadamente três milhões de atendimentos de emergência anualmente e realizam quase 600.000 cirurgias.
Assim como o Change, o Ascension foi alvo de um ataque de ransomware e o grupo hospitalar afirma estar trabalhando com agências federais de aplicação da lei. O ataque parece ser obra de um grupo conhecido como Black Basta, que pode estar ligado a cibercriminosos de língua russa, segundo reportagens.
Há preocupações de que os hackers possam revelar informações médicas privadas, e os pacientes já começaram a apresentar ações judiciais federais contra a Ascension, alegando que esta não fez o suficiente para proteger os seus dados.
As grandes organizações de saúde tornaram-se cada vez mais um alvo principal para os cibercriminosos, determinados a causar o máximo de destruição possível numa parte vital da infra-estrutura americana. “Isso é algo que vai acontecer continuamente”, disse Steve Cagle, executivo-chefe da Clearwater, uma empresa de conformidade com os cuidados de saúde.
Com uma rede em expansão de hospitais e clínicas, as grandes organizações ainda não identificaram onde são vulneráveis e como minimizar a interrupção de um ataque grave. A indústria “nunca planejou isso”, disse Cagle.
À medida que a Ascension continua a tratar pacientes, os perigos de perder partes da história de um paciente são palpáveis. Nas entrevistas, médicos e enfermeiros descreveram ameaças aos cuidados aos pacientes: as pessoas podem não se lembrar dos medicamentos que estão a tomar; Podem ser omitidas visitas anteriores, bem como os resultados de procedimentos ou exames anteriores.
Em Austin, Kittelson disse que teve que pesquisar dezenas de folhas de papel para descobrir que medicamento um médico poderia ter prescrito ou para encontrar algo sobre a condição do paciente. “Estou preocupado com os registros”, disse ele, observando que vinha registrando meticulosamente à mão a condição e o tratamento de um paciente.
E muitas das salvaguardas de rotina não estavam disponíveis. Os enfermeiros não podiam digitalizar um medicamento e a pulseira de um paciente para garantir que o paciente correto estava recebendo o medicamento correto, aumentando as chances de erro de medicação. E ficaram muito menos confiantes de que os médicos receberam atualizações importantes sobre a condição de um paciente.
“Nosso grande problema é que o ataque cibernético paralisou as enfermeiras”, disse Lisa Watson, enfermeira sindicalizada de um hospital Ascension em Wichita, Kansas. Ele observou que a carga de trabalho aumentou significativamente.
“Isso é muito mais do que os antigos gráficos de papel”, disse Watson. Os enfermeiros tiveram que redigir receitas e outros tratamentos em formulários separados que são enviados para diferentes departamentos. Em vez de receber alertas imediatos em um computador, uma enfermeira pode demorar horas para ver um novo resultado de laboratório.
Na terça-feira, a Ascension disse que estava “a fazer progressos tanto no restabelecimento das operações como na reconexão dos nossos parceiros à rede”, e alguns enfermeiros dizem que em breve terão acesso limitado a registos anteriores. Mas a Ascension não ofereceu um cronograma para restaurar o acesso digital completo, dizendo apenas em um comunicado enviado por e-mail na noite de terça-feira que “levará algum tempo para retornar às operações normais”.
Poucos fornecedores estavam dispostos a discutir publicamente a extensão dos danos causados pelos ataques de ransomware em muitos estados e departamentos médicos. Os danos ainda não foram totalmente avaliados e a Ascension pretende manter o maior número possível de operações abertas.
Enfermeiras sindicais dizem que o ataque cibernético agravou a escassez de pessoal. A questão afetou as relações trabalhistas com a Ascension, embora a empresa tenha negado. Enfermeiras em Wichita recentemente eles colidiram com a gestão hospitalar sobre se havia poucos enfermeiros na unidade de terapia intensiva.
“Apesar dos desafios colocados pelo recente ataque de ransomware, a segurança dos pacientes continua a ser a nossa principal prioridade”, disse a Ascension num comunicado enviado por e-mail. “Nossos dedicados médicos, enfermeiros e equipes de atendimento estão demonstrando incrível consideração e resiliência na utilização de sistemas manuais e baseados em papel durante a interrupção contínua dos sistemas normais.”
“Nossas equipes de atendimento são bem versadas em situações dinâmicas e são adequadamente treinadas para manter atendimento de alta qualidade durante o tempo de inatividade”, acrescentou. “Nossos líderes, médicos, equipes de atendimento e associados estão trabalhando para garantir que o atendimento ao paciente continue com o mínimo ou nenhuma interrupção”.
A Ascension disse que informaria os pacientes se uma consulta ou procedimento precisasse ser remarcado. A organização ainda não determinou se os dados sensíveis dos pacientes foram comprometidos e está encaminhando o público para o seu site web para atualizações.
Os riscos que os ataques cibernéticos representam para o atendimento aos pacientes estão bem documentados. Estudos mostraram que aumenta a mortalidade hospitalar após um ataque, e os efeitos podem ser sentidos até mesmo em hospitais vizinhos, reduzindo a qualidade do atendimento em os hospitais forçado a aceitar pacientes adicionais.
Uma preocupação adicional é se as informações confidenciais dos pacientes foram comprometidas e quem deve ser responsabilizado. Na sequência do ataque à Change, os médicos estão a pressionar as autoridades de saúde do governo dos EUA para deixarem claro que a Change tem a responsabilidade de alertar os pacientes. De acordo com uma carta Em nome da Associação Médica Americana e de outros grupos médicos no início desta semana, os médicos instaram as autoridades a “declarar publicamente que a sua investigação de incumprimento e os esforços imediatos para remediar o problema se concentrarão na Change Healthcare, e não nos prestadores afetados devido à mudança de cuidados de saúde”. incumprimento”.
Estes tipos de ataques de ransomware tornaram-se cada vez mais comuns, à medida que os cibercriminosos, muitas vezes apoiados por criminosos com ligações a países estrangeiros, como a Rússia ou a China, determinaram o quão lucrativo e perturbador pode ser o ataque a grandes organizações de saúde. O CEO da UnitedHealth, Andrew Witty, disse recentemente ao Congresso que a empresa pagou US$ 22 milhões em resgate a cibercriminosos.
O ataque Change trouxe muito mais atenção do governo para o problema. A Casa Branca e as agências federais realizaram várias reuniões com autoridades da indústria e o Congresso pediu a Witty que comparecesse no início deste mês para discutir o hack em detalhes. Muitos legisladores apontaram o tamanho crescente das organizações de cuidados de saúde como uma das razões pelas quais a prestação de cuidados de saúde a milhões de americanos se tornou cada vez mais vulnerável.
Especialistas em segurança cibernética dizem que os hospitais não têm escolha a não ser desligar seus sistemas se um hacker conseguir invadir. Como os criminosos se infiltram em todo o sistema informático, “os hospitais não têm outra escolha senão recorrer ao papel”, disse Errol Weiss, diretor de segurança do Centro de Análise e Partilha de Informações de Saúde, que descreveu como vigilância virtual do bairro para a indústria.
Ele diz que seria irrealista esperar que um hospital tivesse sistemas redundantes no caso de um ataque de ransomware ou malware. “Simplesmente não é possível ou viável neste ambiente económico”, disse Weiss.