Беше октомври 2021 г. и персоналът на Johnson Memorial Health се надяваше, че най-накрая ще успее да си поеме дъх. Току-що бяха излезли от продължилата няколко седмици вълна от хоспитализации и смъртни случаи от COVID, подхранвана от варианта „Делта“.
Но в петък, 1 октомври, в 3 ч. сутринта телефонът на главния изпълнителен директор на болницата иззвъня със спешно обаждане.
„Спомням си го, сякаш беше вчера“, казва д-р Дейвид Дънкъл, главен изпълнителен директор на здравната система, базирана във Франклин, Индиана. „Началникът на медицинските сестри ми каза: „Изглежда, че са ни хакнали“.
Екипът по информационни технологии в „Джонсън Мемориал“ открива, че в мрежите на здравната система е проникнала група, която иска откуп. Хакерите оставили бележка с искане за откуп на всеки сървър, като поискали болницата да плати 3 млн. долара в биткойни през следващите няколко дни.
Бележката била подписана от „Кошера“ – известна група за откупи, която според Министерството на правосъдието на САЩ е атакувала повече от 1500 болници, училищни райони и финансови фирми в над 80 държави.
Johnson Memorial е само една от жертвите в нарастващата вълна от кибератаки срещу болници в цялата страна. Едно проучване установи, че кибератаките срещу американски здравни заведения са се увеличили повече от два пъти между 2016 и 2022 г.
В последствие вниманието често се фокусира върху риска от разкриване на поверителна информация за пациентите, но тези атаки могат също така да доведат до загуба на милиони долари в следващите месеци, както и да причинят прекъсване на грижите за пациентите, което може да застраши живота им.
Само в щата Индиана 27 болници са били засегнати от кибератаки между 2010 и 2023 г., според данни, предоставени от Асоциацията на болниците в Индиана.
След собствената си атака персоналът на „Джонсън Мемориал“ изведнъж е трябвало да се върне към нискотехнологични начини за обслужване на пациентите. Те разчитат на химикалка и хартия за медицинските записи и бележки и изпращат бегачи между отделенията, за да приемат поръчки и да доставят резултати от изследвания. Последиците се усещат в продължение на седмици.
„Питате много изпълнителни директори в страната: „Какво ви пречи да спите през нощта? Разбира се, [те] говорят за работната сила, финансовия натиск и казват: „Възможността за кибератака“, казва Джон Риги, национален съветник по киберсигурност и риск в Американската асоциация на болниците.
Откупът: да платим или да не платим
Няколко часа след това обаждане в 3 ч. сутринта Дънкъл разговаря по телефона с експерти по киберсигурност и ФБР.
Най-горещият въпрос, който го вълнува, е: Дали неговата болница трябва да плати откупа от 3 млн. долара, за да сведе до минимум прекъсванията в работата и грижите за пациентите?
„[Агентите на ФБР] искат да знаете, че ако платите откуп на нещо, което се смята за терористична организация, можете да бъдете глобени“, казва той.
Дънкъл има предвид потенциалните глоби, налагани от Службата за контрол на чуждестранните активи към Министерството на финансите на САЩ, ако дадена организация улеснява или извършва плащане на киберпрестъпници.
Дънкъл се притеснява и от евентуални съдебни дела, защото хакерите твърдят, че са откраднали чувствителна информация за пациенти, която ще пуснат в „тъмната мрежа“, ако Johnson Memorial не плати. Други случаи на нарушаване на сигурността на здравните данни са довели до колективни искове от страна на пациенти.
Службата за граждански права също може да наложи финансови санкции на болниците, ако бъдат разкрити данни на пациенти, защитени от HIPAA.
„Това беше информационно претоварване“, спомня си Данкъл. През цялото време болницата е пълна с пациенти, които се нуждаят от грижи, а служителите се чудят какво да правят.
Болницата преминава в дигитална тъмнина
В крайна сметка болницата не плаща откупа. Ръководителите решават да прекъснат връзката след атаката, да направят оценка и след това да я възстановят, което означава да изключат няколко критични системи. Това нарушило нормалната работа в различните отдели.
В спешното отделение се наложило да пренасочат линейки с болни пациенти към други болници, тъй като персоналът нямал достъп до медицинските досиета на пациентите.
В отделението по акушерство новородените обикновено носят защитни гривни около малките си крачета, за да не могат неоторизирани възрастни да преместят бебето или да напуснат отделението с него. Когато тази система за проследяване не работела, се наложило членовете на персонала физически да охраняват вратите на отделението.
По време на едно от ражданията медицинските сестри се затрудняват да общуват с афганистански бежанец, дошъл от близкия военен пост, за да роди. Услугата за дистанционен превод, която обикновено използвали, била недостъпна заради кибератаката.
„Стресираните медицински сестри използваха Google Translate, за да общуват с тази родилка“, разказва Стейси Хъмъл, ръководител на родилното отделение. „Беше лудост.“
Хюмел казва, че това е било най-трудното предизвикателство, с което се е сблъсквала през 24-годишния си опит – дори по-лошо от COVID. Докато кибератаката се развивала, екипът ѝ от медицински сестри се молел: „Моля, не позволявайте да се сринат феталните монитори“. И тогава това се случи.
Клиничният персонал изведнъж вече не можел да получава дигитални известия извън родилните зали – известия, които им помагат да следят жизнените показатели на раждащите жени и на техните фетуси. Това означавало, че критични точки от данни, като опасно нисък сърдечен ритъм или високо кръвно налягане, можели да останат незабелязани.
„Щом това се случи, трябваше да поставим медицинска сестра във всяка една стая“, казва Хюмел. „Така че осигуряването на персонал беше кошмар, защото трябваше да стоиш там и да гледаш монитора.“
Увеличаването на персонала по онова време не е било никак малко, тъй като медицинските сестри са били в недостиг в цялата страна, а разходите за труд са били високи.
Отделът за фактуриране на болницата също е в затруднено положение. В продължение на месеци те не можеха да издават фактури на застрахователните планове, за да им бъде платено навреме.
В доклад на IBM се посочва, че кибератаките срещу болници струват средно 10 млн. долара на инцидент, без да се включва плащането на откуп – най-високата стойност сред всички отрасли.
Ръководителите на болници твърдят, че поради тази причина кибератаките представляват екзистенциална заплаха за жизнеспособността на болниците в цялата страна, особено за болниците, изпитващи финансови затруднения, или за по-малките болници в селските райони.
Къде киберзастраховката е недостатъчна
Според Риги от Американската асоциация на болниците киберзастраховката е станала важна част от болничните бюджети. Но някои институции установяват, че застрахователното покритие не е изчерпателно, така че дори след атака те остават задължени да платят милиони долари за щети.
В същото време застрахователните премии могат да нараснат рязко след кибератака.
„Правителството със сигурност би могло да помогне в областта на киберзастраховането, като може би създаде национален фонд за киберзастраховане, точно както след 11 септември, когато хората не можеха да получат застраховка срещу терористични атаки, за да помогне с тази спешна финансова помощ“, казва Риги.
Федералното правителство е предприело стъпки за справяне със заплахата от кибератаки срещу критичната инфраструктура, включително кампании за обучение и повишаване на осведомеността, провеждани от Федералната агенция за киберсигурност и инфраструктурна сигурност. ФБР е ликвидирало няколко групи за получаване на откуп, включително „Hive“ – групата, която стои зад атаката срещу „Johnson Memorial“.
Днес мемориалът „Джонсън“ отново функционира. Но според главния оперативен директор на болницата Рик Кестър са били необходими почти шест месеца, за да се възобнови почти нормалната работа.
„Работихме… всеки ден през октомври, всеки ден. А в някои дни – по 12, 14 часа“, казва Кестър.
Болницата все още се справя с някои текущи разходи. Цикълът на приходите все още не се е възстановил напълно, а застрахователният иск за кибератака, подаден преди почти две години, все още не е изплатен, казва Дънкъл. Годишната застрахователна премия на болницата е нараснала с 60 % след инцидента.
„Това е невероятно увеличение на разходите през последните три или четири години и… когато исковете ви не се изплащат, това може да бъде още по-неприятно“, казва той. „В момента инвестираме толкова много в киберсигурността, че не знам как малките болници ще могат да си позволят [да работят] още дълго време.“
Източници: NPR, KFF Health News, https://www.sideeffectspublicmedia.org/