Badanie wykazało, że co najmniej 750 amerykańskich szpitali doświadczyło zakłóceń podczas zeszłorocznej awarii CrowdStrike

Kiedy rok temu, dokładnie o tej samej porze, wadliwa aktualizacja oprogramowania sprzedawanego przez firmę zajmującą się cyberbezpieczeństwem CrowdStrike spowodowała awarię milionów komputerów na całym świecie i wpędziła je w spiralę śmierci, polegającą na wielokrotnych restartach, globalny koszt wszystkich tych uszkodzonych maszyn był porównywalny z kosztami jednego z najgorszych cyberataków w historii. Niektóre szacunki całkowitych strat na całym świecie sięgają miliardów dolarów.

Nowe badanie przeprowadzone przez zespół badaczy cyberbezpieczeństwa w sektorze medycznym stanowi pierwszy krok w kierunku oszacowania kosztów katastrofy CrowdStrike nie w dolarach, ale w postaci potencjalnych szkód dla szpitali i ich pacjentów w całych Stanach Zjednoczonych. Ujawnia ono dowody na to, że setki szpitali zostało zakłóconych w świadczeniu usług podczas awarii, co budzi obawy o potencjalnie poważne skutki dla zdrowia i samopoczucia pacjentów.

Naukowcy z University of California w San Diego uczcili dziś pierwszą rocznicę katastrofy CrowdStrike, publikując artykuł w JAMA Network Open, czasopiśmie Journal of the American Medical Association Network. Artykuł ten jest pierwszą próbą przybliżonego oszacowania liczby szpitali, których sieci zostały dotknięte awarią informatyczną z 19 lipca 2024 r., a także tego, które usługi w tych sieciach najwyraźniej zostały zakłócone.

Skanując narażone na dostęp do internetu części sieci szpitalnych przed, w trakcie i po kryzysie, naukowcy wykryli, że co najmniej 759 szpitali w USA doświadczyło tego dnia jakiegoś rodzaju zakłóceń w działaniu sieci. Stwierdzili, że ponad 200 z tych szpitali zostało dotkniętych awariami, które bezpośrednio wpłynęły na pacjentów – od niedostępności dokumentacji medycznej i badań diagnostycznych po systemy monitorowania płodu, które przestały działać. Spośród 2232 przeskanowanych sieci szpitalnych, badacze wykryli, że aż 34% z nich prawdopodobnie doświadczyło jakiegoś rodzaju zakłóceń.

Wszystko to wskazuje, że awaria CrowdStrike mogła stanowić „poważny problem zdrowia publicznego” – argumentuje Christian Dameff, lekarz medycyny ratunkowej i badacz cyberbezpieczeństwa z UCSD, a zarazem jeden z autorów artykułu. „Gdybyśmy dysponowali danymi z tego artykułu rok temu, kiedy to się wydarzyło” – dodaje – „myślę, że bylibyśmy o wiele bardziej zaniepokojeni, jak duży wpływ to naprawdę miało na opiekę zdrowotną w USA”.

W oświadczeniu dla WIRED firma CrowdStrike ostro skrytykowała badanie UCSD i decyzję JAMA o jego opublikowaniu, nazywając artykuł „śmieciową nauką”. Zauważa, że badacze nie zweryfikowali, czy w sieciach, w których wystąpiły zakłócenia, działał system Windows lub oprogramowanie CrowdStrike, i wskazuje, że tego samego dnia doszło do poważnej awarii usługi chmurowej Microsoft Azure, która mogła być przyczyną niektórych zakłóceń w sieci szpitalnej. „Wyciąganie wniosków na temat przestojów i wpływu na pacjentów bez weryfikacji wyników w którymkolwiek z wymienionych szpitali jest całkowicie nieodpowiedzialne i naukowo nie do obrony” – czytamy w oświadczeniu.

„Chociaż odrzucamy metodologię i wnioski zawarte w tym raporcie, zdajemy sobie sprawę z wpływu, jaki incydent miał rok temu” – dodano w oświadczeniu. „Jak już mówiliśmy na początku, szczerze przepraszamy naszych klientów i osoby poszkodowane i nadal koncentrujemy się na wzmacnianiu odporności naszej platformy i branży”.

W odpowiedzi na krytykę CrowdStrike, badacze z UCSD twierdzą, że podtrzymują swoje ustalenia. Awaria platformy Azure, którą odnotował CrowdStrike, rozpoczęła się poprzedniej nocy i dotknęła głównie centralną część Stanów Zjednoczonych, podczas gdy zmierzone przez nich awarie rozpoczęły się około północy czasu wschodniego wybrzeża USA 19 lipca – mniej więcej w czasie, gdy wadliwa aktualizacja CrowdStrike zaczęła powodować awarie komputerów – i dotknęły cały kraj. (Microsoft nie odpowiedział natychmiast na prośbę o komentarz). „Nie znamy żadnej innej hipotezy, która wyjaśniałaby tak jednoczesne, rozproszone geograficznie przerwy w działaniu usług w sieciach szpitalnych, jak te, które tutaj widzimy” poza awarią CrowdStrike, pisze w e-mailu do WIRED profesor informatyki z UCSD Stefan Savage, jeden ze współautorów artykułu. (JAMA odmówiła komentarza w odpowiedzi na krytykę CrowdStrike).

W rzeczywistości badacze opisują liczbę wykrytych zakłóceń w szpitalach jako jedynie minimalny szacunek, a nie miarę rzeczywistego zasięgu rażenia awarii CrowdStrike. Wynika to po części z faktu, że badacze byli w stanie przeskanować tylko około jednej trzeciej z ponad 6000 amerykańskich szpitali, co sugerowałoby, że rzeczywista liczba dotkniętych awarii placówek medycznych mogła być kilkakrotnie wyższa.

Odkrycia badaczy z UCSD wynikały z większego projektu skanowania internetu, nazwanego Ransomwhere?, finansowanego przez Agencję Zaawansowanych Projektów Badawczych dla Zdrowia (Advance Research Projects Agency for Health), który został uruchomiony na początku 2024 roku w celu wykrywania awarii szpitali spowodowanych przez ransomware. W wyniku tego projektu, w lipcu 2024 roku, badacze już sondowali amerykańskie szpitale za pomocą narzędzi skanujących ZMap i Censys, gdy doszło do katastrofy CrowdStrike.

W przypadku 759 szpitali, w których badacze wykryli, że usługa została wyłączona 19 lipca, skanowanie pozwoliło im również przeanalizować, które konkretne usługi wydawały się niedostępne, wykorzystując publicznie dostępne narzędzia, takie jak Censys i Lantern Project, do identyfikacji różnych usług medycznych, a także ręcznie sprawdzając niektóre usługi internetowe, które mogli odwiedzić. Stwierdzili, że 202 szpitale doświadczyły przerw w usługach bezpośrednio związanych z pacjentami. Usługi te obejmowały portale dla personelu służące do przeglądania dokumentacji medycznej pacjentów, systemy monitorowania płodu, narzędzia do zdalnego monitorowania opieki nad pacjentem, bezpieczne systemy przesyłania dokumentów, które umożliwiają przenoszenie pacjentów do innego szpitala, „przedszpitalne” systemy informacyjne, takie jak narzędzia, które mogą udostępniać wstępne wyniki badań z karetki pogotowia na izbę przyjęć dla pacjentów wymagających pilnych zabiegów, oraz systemy przechowywania i pobierania obrazów, które są wykorzystywane do udostępniania wyników skanowania lekarzom i pacjentom.

„Gdyby pacjent miał udar i radiolog musiałby szybko przejrzeć obraz ze skanu, znacznie trudniej byłoby przesłać go z tomografu komputerowego do radiologa w celu odczytania” – podaje Dameff jako jeden z hipotetycznych przykładów.

Naukowcy odkryli również, że w 212 szpitalach wystąpiły przerwy w działaniu systemów „istotnych operacyjnie”, takich jak platformy do planowania pracy personelu, systemy płatności rachunków i narzędzia do zarządzania czasem oczekiwania pacjentów. W innej kategorii usług „istotnych dla badań” badanie wykazało przerwy w działaniu w 62 szpitalach. Największy odsetek przerw w działaniu, według ustaleń naukowców, stanowiła kategoria „inne”, obejmująca usługi offline, których naukowcy nie byli w stanie w pełni zidentyfikować w swoich skanach w 287 szpitalach, co sugeruje, że niektóre z nich mogły również nie być uwzględnione w ewidencji usług istotnych dla pacjentów.

„W tym artykule nie ma mowy o tym, że na przykład u kogoś postawiono błędną diagnozę udaru mózgu lub że doszło do opóźnienia w leczeniu kogoś, kto otrzymał ratujące życie antybiotyki. Ale mogło tak być” – mówi Dameff. „Myślę, że istnieje wiele dowodów na tego typu zakłócenia. Trudno byłoby zaprzeczyć, że ludzie nie odnieśli potencjalnie dość poważnych skutków”.

Wyniki badania rzucają nowe, rozległe światło na anegdotyczne doniesienia o tym, jak awaria CrowdStrike wpłynęła na placówki medyczne, które pojawiły się już w zeszłym roku. WIRED donosił wówczas , że sieć szpitali Baylor, duży, niedochodowy system opieki zdrowotnej, oraz Quest Diagnostics nie były w stanie przeprowadzić rutynowych badań krwi. Szpital Mass General Brigham w okolicach Bostonu podobno musiał przywrócić do działania 45 000 swoich komputerów, z których każdy wymagał ręcznej naprawy trwającej od 15 do 20 minut.

W swoim badaniu naukowcy starali się także w przybliżeniu zmierzyć długość przestoju usług szpitalnych dotkniętych awarią CrowdStrike i odkryli, że większość z nich stosunkowo szybko odzyskała sprawność: około 58 procent usług szpitalnych powróciło do sieci w ciągu sześciu godzin, a jedynie około 8 procent potrzebowało na to ponad 48 godzin.

To znacznie krótsze zakłócenia niż przerwy w działaniu systemu spowodowane rzeczywistymi cyberatakami, które dotknęły szpitale, zauważają badacze: masowe ataki złośliwego oprogramowania, takie jak NotPetya i WannaCry w 2017 roku, a także atak ransomware Change Healthcare , który dotknął spółkę zależną United Healthcare, dostawcę usług płatniczych, na początku 2024 roku, doprowadziły do zamknięcia dziesiątek szpitali w Stanach Zjednoczonych – a w przypadku WannaCry, w Wielkiej Brytanii – na dni, a w niektórych przypadkach na tygodnie. Jednak skutki katastrofy CrowdStrike mimo wszystko należy porównać z celowo wywołanymi katastrofami cyfrowymi w szpitalach, argumentują badacze.

„Czas trwania przestojów jest różny, ale zasięg, liczba szpitali dotkniętych nimi w całym kraju, skala i potencjalne natężenie zakłóceń są podobne” – mówi Jeffrey Tully, pediatra, anestezjolog i badacz cyberbezpieczeństwa, który był współautorem badania.

Opóźnienie trwające kilka godzin, a nawet minut, może zwiększyć śmiertelność pacjentów z zawałem serca i udarem mózgu, twierdzi Josh Corman, badacz cyberbezpieczeństwa, specjalizujący się w cyberbezpieczeństwie medycznym w Instytucie Bezpieczeństwa i Technologii oraz były pracownik CISA, który recenzował badanie UCSD. Oznacza to, że nawet krótsza przerwa w dostępie do usług medycznych w setkach szpitali może mieć konkretne i poważnie szkodliwe – choć trudne do zmierzenia – konsekwencje.

Poza wstępnym oszacowaniem potencjalnego wpływu tego pojedynczego incydentu na zdrowie pacjentów, zespół UCSD podkreśla, że prawdziwym celem ich badania jest wykazanie, że przy użyciu odpowiednich narzędzi możliwe jest monitorowanie i wyciąganie wniosków z tych masowych przerw w działaniu sieci medycznych. Rezultatem może być lepsze zrozumienie, jak zapobiegać – lub w przypadku bardziej celowych przestojów spowodowanych cyberatakami i atakami ransomware – chronić szpitale przed ich wystąpieniem w przyszłości.