Em mais de uma dúzia de estados, médicos e enfermeiros recorreram a ordens de tratamento em papel e manuscritas para registar as doenças dos pacientes e rastreá-las, sem conseguirem aceder aos históricos médicos detalhados que há muito só estavam disponíveis através de registos informatizados.
Os pacientes esperaram por longos períodos nas salas de emergência e seus tratamentos foram adiados enquanto os resultados laboratoriais e as leituras de máquinas como ressonâncias magnéticas eram transportados por meio de esforços improvisados, sem a velocidade dos uploads eletrônicos.
Durante mais de duas semanas, milhares de profissionais médicos recorreram a métodos manuais após um ataque cibernético ao Ascension, um dos maiores sistemas de saúde do país, com cerca de 140 hospitais em 19 estados e no Distrito de Columbia.
O ataque em grande escala de 8 de maio lembrou assustadoramente o hack da Change Healthcare, uma unidade do UnitedHealth Group que gere o maior sistema de pagamentos de cuidados de saúde do país. O ataque desligou as rotas digitais de cobrança e pagamento da Change, deixando hospitais, médicos e farmacêuticos sem meios de comunicação com as seguradoras de saúde durante semanas. Os pacientes não conseguiam preencher as prescrições e os prestadores não podiam ser pagos pelos cuidados.
Embora alguns ataques cibernéticos anteriores tenham afectado um único hospital ou redes médicas mais pequenas, a falha na Change, que gere um terço de todos os registos de pacientes dos EUA, sublinhou os perigos da consolidação quando uma entidade se torna tão essencial para o sistema de saúde do país.
Os sistemas de ascensão permanecem inativos indefinidamente, mas médicos e enfermeiros estão a trabalhar para encontrar formas de obter acesso a algumas informações sobre os históricos médicos dos pacientes, consultando os registos de saúde mantidos por outros prestadores. A Ascension também está dizendo aos médicos e enfermeiros que em breve poderão ver os registros digitais existentes.
“É uma grande perturbação para todos os envolvidos”, disse Kristine Kittelson, enfermeira do Ascension Seton Medical Center em Austin, Texas, que é membro do sindicato National Nurses United.
O ataque da Ascensão teve um impacto generalizado semelhante ao da Mudança, com alguns hospitais em Indiana, Michigan e em outros lugares desviando ambulâncias. Os hospitais da Ascensão atendem cerca de três milhões de atendimentos de emergência por ano e realizam quase 600 mil cirurgias.
Assim como o Change, o Ascension foi alvo de um ataque de ransomware, e o grupo hospitalar diz que está trabalhando com agências federais de aplicação da lei. O ataque parece ser obra de um grupo conhecido como Black Basta, que pode estar ligado a cibercriminosos de língua russa, segundo reportagens.
Há preocupações de que os hackers possam divulgar informações médicas privadas, e os pacientes já começaram a apresentar ações judiciais federais contra a Ascension, dizendo que não fez o suficiente para proteger os seus dados.
As grandes organizações de cuidados de saúde tornaram-se cada vez mais um alvo principal dos cibercriminosos, com a intenção de criar o máximo de destruição possível numa parte vital da infra-estrutura dos EUA. “Isso é algo que vai acontecer continuamente”, disse Steve Cagle, presidente-executivo da Clearwater, uma empresa de conformidade com os cuidados de saúde.
Com uma extensa rede de hospitais e clínicas, as grandes organizações ainda não identificaram onde são vulneráveis e como minimizar a interrupção de um ataque grave. A indústria “nunca planejou isso”, disse Cagle.
Enquanto a Ascension continua a tratar pacientes, os perigos de perder peças da história de um paciente são palpáveis. Nas entrevistas, médicos e enfermeiros descreveram as ameaças ao cuidado dos pacientes: as pessoas podem não se lembrar dos medicamentos que estão a tomar; visitas anteriores podem ser omitidas, bem como o resultado de procedimentos ou testes anteriores.
Em Austin, Kittelson disse que teve que pesquisar dezenas de pedaços de papel para descobrir que medicamento um médico pode ter prescrito ou para encontrar algo sobre o estado do paciente. “Estou preocupada com os gráficos”, disse ela, observando que vinha registrando meticulosamente a condição e o tratamento de um paciente manualmente.
E muitas das salvaguardas de rotina não estavam disponíveis. Os enfermeiros não conseguiam escanear um medicamento e a pulseira de um paciente para ter certeza de que o paciente certo estava recebendo o medicamento certo, aumentando as chances de erro de medicação. E ficaram muito menos seguros de que os médicos receberam atualizações importantes sobre o estado de um paciente.
“O nosso grande problema é que o ataque cibernético paralisou os enfermeiros”, disse Lisa Watson, enfermeira sindicalizada num hospital Ascension em Wichita, Kansas.
“Isso é muito mais do que os antigos gráficos em papel”, disse Watson. Os enfermeiros tiveram que redigir prescrições e outros tratamentos em formulários separados que vão para departamentos diferentes. Em vez de receber alertas imediatos em um computador, uma enfermeira pode demorar horas para ver um novo resultado de laboratório.
Na terça-feira, a Ascension disse que estava a “fazer progressos tanto no restabelecimento das operações como na reconexão dos nossos parceiros à rede”, e alguns enfermeiros dizem que poderão em breve ter acesso limitado a registos anteriores. Mas a Ascension não ofereceu um cronograma para a restauração do acesso digital completo, dizendo apenas em um comunicado enviado por e-mail na noite de terça-feira que “levará algum tempo para retornar às operações normais”.
Poucos fornecedores estavam dispostos a discutir publicamente a extensão dos danos causados pelos ataques de ransomware, em muitos estados e departamentos médicos. A destruição ainda não foi totalmente avaliada e a Ascension pretende manter o máximo possível das suas operações abertas.
Enfermeiras sindicais dizem que o ataque cibernético agravou a escassez de pessoal. A questão tem perseguido as relações trabalhistas com a Ascension, embora a empresa tenha negado. Enfermeiras em Wichita recentemente entrou em conflito com a administração do hospital sobre se havia poucos enfermeiros na unidade de terapia intensiva.
“Apesar dos desafios colocados pelo recente ataque de ransomware, a segurança do paciente continua a ser a nossa maior prioridade”, disse a Ascension num comunicado enviado por e-mail. “Nossos dedicados médicos, enfermeiros e equipes de atendimento estão demonstrando incrível consideração e resiliência à medida que utilizamos sistemas manuais e baseados em papel durante a interrupção contínua dos sistemas normais.”
“Nossas equipes de atendimento são bem versadas em situações dinâmicas e são adequadamente treinadas para manter atendimento de alta qualidade durante o tempo de inatividade”, acrescentou. “Nossa liderança, médicos, equipes de atendimento e associados estão trabalhando para garantir que o atendimento ao paciente continue com o mínimo ou nenhuma interrupção.”
A Ascension disse que informaria aos pacientes se uma consulta ou procedimento precisasse ser remarcado. A organização ainda não determinou se os dados confidenciais dos pacientes foram comprometidos e está encaminhando o público para o seu local na rede Internet para atualizações.
Os riscos para o atendimento ao paciente decorrentes de ataques cibernéticos foram bem documentados. Estudos mostraram que mortalidade hospitalar aumenta após um ataque, e os efeitos podem ser sentidos até mesmo pelos hospitais vizinhos, diminuindo a qualidade do atendimento os hospitais forçado a aceitar pacientes adicionais.
Uma preocupação adicional é se as informações confidenciais dos pacientes foram comprometidas e quem deve ser responsabilizado. Nas consequências do ataque do Change, os médicos estão a pressionar as autoridades de saúde do governo dos EUA para que deixem claro que o Change é responsável por alertar os pacientes. De acordo com uma letra da Associação Médica Americana e de outros grupos médicos no início desta semana, os médicos instaram as autoridades a “declarar publicamente que a investigação da violação e os esforços imediatos de remediação se concentrarão na Change Healthcare, e não nos prestadores afetados pela violação da Change Healthcare”.
Estes tipos de ataques de ransomware tornaram-se cada vez mais comuns, à medida que os cibercriminosos, muitas vezes apoiados por criminosos com ligações a países estrangeiros como a Rússia ou a China, determinaram o quão lucrativo e perturbador pode ser atingir grandes organizações de saúde. O presidente-executivo da UnitedHealth, Andrew Witty, disse recentemente ao Congresso que a empresa pagou US$ 22 milhões em resgate a cibercriminosos.
O ataque Change atraiu muito mais atenção do governo para o problema. A Casa Branca e as agências federais realizaram várias reuniões com autoridades da indústria, e o Congresso pediu ao Sr. Witty que comparecesse no início deste mês para discutir o hack em detalhes. Muitos legisladores apontaram o tamanho crescente das organizações de saúde como a razão pela qual a prestação de cuidados médicos pelo país a milhões de americanos se tornou cada vez mais vulnerável.
Especialistas em segurança cibernética dizem que os hospitais não têm outra escolha senão desligar seus sistemas se um hacker conseguir entrar. Como os criminosos se infiltram em todo o sistema informático, “os hospitais não têm outra escolha senão passar para o papel”, disse Errol Weiss, diretor de segurança do Centro de Análise e Partilha de Informações de Saúde, que descreveu como uma vigilância virtual da vizinhança para a indústria.
Ele diz que não seria realista esperar que um hospital tivesse sistemas redundantes no caso de um ataque de ransomware ou malware. “Isso simplesmente não é possível e viável neste ambiente econômico”, disse Weiss.
