Nesten en fjerdedel av helseorganisasjonene som ble rammet av et ransomware -angrep de siste to årene, sa at de hadde en økning i pasientdødeligheten i etterkant, ifølge en ny rapport sponset av nettsikkerhetsselskapet Censinet. Funnet legger til en økende haug med data som viser at cyberangrep ikke bare forårsaker økonomiske eller logistiske problemer – de kan også være en stor helserisiko.
“Det er nok innvirkning fra ransomware på pasientbehandlingen at det er ubestridelig,” sier Ed Gaudet, administrerende direktør og grunnlegger av Censinet. “Vi skal ikke være redde for å se på disse dataene og fortsette å presse på dette spørsmålet.”
Analysen, utført av et forskningsinstitutt kalt Ponemon Institute, samlet svar på undersøkelser fra nesten 600 helseorganisasjoner i USA alt fra regionale helsesystemer til produsenter av medisinsk utstyr. Drøyt 40 prosent sa at de hadde et ransomware -angrep de siste to årene – cyberangrep som fryser datasystemer og krever betaling for å låse dem opp. Disse angrepene forstyrret fasilitetene til å ta vare på pasienter. Rundt 70 prosent av gruppene som står overfor ransomware -angrep sa at forstyrrelsene førte til lengre sykehusopphold for pasienter og forsinkede tester eller prosedyrer. I tillegg sa 36 prosent at de så flere komplikasjoner fra medisinske prosedyrer, og 22 prosent sa at de hadde økt dødeligheten.
Disse tallene har noen store forbehold: de er fra en relativt liten undergruppe av helseorganisasjoner, og det er ingen dobbeltsjekk på hva organisasjonene rapporterte. Undersøkelsen spurte ikke organisasjoner hvorfor eller hvordan de kom til disse konklusjonene – de sa for eksempel ikke hvordan de målte endringer i dødeligheten. Uten flere detaljer om disse metodene, er det viktig å tolke funnene forsiktig, sier Gaudet. Det er sannsynligvis for tidlig å si trygt at ransomware direkte forårsaket dårlige resultater ved disse frekvensene. “Vi må være forsiktige som bransje for ikke å overreagere,” sier han. Men det er fortsatt noe bransjen bør ta hensyn til og bry seg om. “Selv om det bare er en prosent eller en halv prosent, bør vi bry oss om disse dataene.”
Totalt sett sa over halvparten av helsegruppene som svarte på undersøkelsen at de ikke var sikre på at organisasjonene deres kunne håndtere risikoen for ransomware -angrep.
Folk som jobber i helsevesenet har historisk sett vært motvillige til å si at ransomware skader pasienter. Det har vært svært få forsøk på å kvantifisere forholdet mellom cyberangrep og pasienthelse, og sykehus pleier å være motvillige til å dele mye informasjon om sine erfaringer på grunn av potensielle konsekvenser for sykehusets omdømme. “Jeg tror som en bransje, dette er et spørsmål vi nesten ikke vil vite svaret på,” sier Gaudet. “Fordi hvis det er sant, så har vi virkelig arbeidet vårt kuttet for oss.”
Cyberangrep på helsetjenester har økt i løpet av det siste året, noe som bringer ny hast til spørsmålet . Og det har nylig blitt presset til å se nærmere på saken: En ny analyse fra USAs Cybersecurity and Infrastructure Security Agency (CISA) viste for eksempel at sykehus i Vermont ble rammet av ransomware-angrep under COVID-19-pandemien begynte å ha flere dødsfall raskere enn sykehus som ikke håndterer cyberangrep.
“Jeg tror dette når et kritisk nivå som får oppmerksomhet fra administrerende direktører og styrerom,” sier Gaudet. “Data som dette kommer til å begynne å ta hensyn til hvordan folk tenker på fokusområder og investeringer. Hvis ransomware virkelig blir et pasientsikkerhetsproblem, må de ta tak i det. ”