الملخص
- الحدث المؤكد:اكتشفت أسنشن نشاطًا غير عادي في 8 مايو 2024، ووصفت الحدث لاحقًا بأنه هجوم فدية، وأفادت بأن العمليات السريرية تعطلت بينما بقيت المستشفيات والمرافق مفتوحة بموجب إجراءات التوقف عن العمل. وأشارت صفحة الحادثة العامة لاحقًا إلى استعادة جميع الأنظمة المتأثرة والوظائف السريرية والوصول إلى السجلات الصحية الإلكترونية. (صفحة حادثة أسنشن الإلكترونية)
- تأثير استمرارية الرعاية:قال تحديث أسنشن في 9 مايو إن السجلات الصحية الإلكترونية وMyChart وبعض أنظمة الهاتف والأنظمة المستخدمة لطلب الاختبارات والإجراءات والأدوية كانت غير متاحة. تم تعليق بعض الإجراءات الاختيارية غير الطارئة والاختبارات والمواعيد مؤقتًا، وكانت عدة مستشفيات في حالة تحويل لخدمات الطوارئ الطبية. (تحديث انقطاع الشبكة من أسنشن)
- سجل البيانات:في 19 ديسمبر 2024، قالت أسنشن إن مراجعة البيانات المكتملة كشفت عن تضمين معلومات شخصية لبعض المرضى الحاليين والسابقين والمقيمين في مرافق كبار السن والموظفين. وقالت إن أنواع البيانات تنوعت ويمكن أن تشمل معلومات طبية ودفع وتأمين وهويات حكومية ومعلومات شخصية أخرى، بينما قالت أيضًا إنه لا يوجد دليل على أن البيانات أُخذت من السجلات الصحية الإلكترونية أو الأنظمة السريرية الأخرى. بوابة خرق HIPAA التابعة لـ HHS OCR هي القائمة الفيدرالية العامة لتقارير خرق HIPAA الكبيرة. (بوابة خرق HHS OCR)
- خريطة المساءلة:تسبب جهات إجرامية في الحدث الخبيث. سيطرت أسنشن على الوصول إلى الشبكة، وعزل الأنظمة السريرية، والتدريب على التوقف عن العمل، وترتيب الاستعادة، وإعادة اتصال الشركاء، والتواصل مع المرضى، ومراجعة البيانات، والدعم. سيطرت الوكالات العامة على إنفاذ القانون، والاستخبارات الإلكترونية، ومراقبة خرق HIPAA، والتوجيه القطاعي. لم يسيطر المرضى والأطباء إلا على خطوات احتياطية ضيقة ومرهقة بعد أن وصل تعطل النظام إلى جانب السرير.
الفدية وصلت إلى جانب السرير عبر سير العمل
من السهل التقليل من حادثة أسنشن إذا تم وصفها فقط كهجوم فدية على مستشفى. الوصف الأفضل هو اختبار استمرارية شامل في شبكة رعاية. لم تكن الفدية بحاجة إلى لمس جهاز تنفس أو تغيير أمر دواء للتأثير على الرعاية. كان عليها فقط إزالة الوصول العادي إلى السجلات المشتركة وقنوات الطلب وبوابات المرضى والهواتف ومسارات الصيدلة والأنظمة الإدارية التي يستخدمها الأطباء لتحويل قصة المريض إلى علاج.
أول بيان عام لأسنشن في 9 مايو 2024، قال إنه تم اكتشاف نشاط غير عادي على أنظمة شبكة تقنية محددة يوم الأربعاء 8 مايو، ويعتقد أنه ناتج عن حدث أمن إلكتروني. وقالت إن الوصول إلى بعض الأنظمة تعطل، والعمليات السريرية تعطلت، وفرق الرعاية بدأت الإجراءات المدربة للحفاظ على سلامة توصيل الرعاية للمرضى بأقل تأثير. كما قالت أسنشن إنها استعانت بـ Mandiant، وأبلغت السلطات المختصة، وتحقق في المعلومات التي قد تكون تأثرت. (إشعار أسنشن 9 مايو)
صفحة الحادثة اللاحقة أكثر مباشرة. تقول إنه في 8 مايو تعرضت أسنشن لهجوم فدية ومنذ ذلك الحين استعادت جميع الأنظمة المتأثرة والوظائف السريرية والوصول إلى السجلات الصحية الإلكترونية. هذه الصياغة اللاحقة مهمة لأنها تنقل الحدث من حادث أمن إلكتروني مشتبه به إلى هجوم فدية مؤكد، مع تحديد نقطة نهاية الاستعادة التي تدعيها الشركة. (صفحة حادثة أسنشن الإلكترونية)
بدأت مشكلة الاستمرارية في الفجوة بين هاتين الحالتين: بعد تعطل الأنظمة وقبل أن يمكن الوثوق بالاستعادة الكاملة. خلال تلك الفجوة، بقيت مستشفيات ومرافق أسنشن مفتوحة، لكن "مفتوحة" لم تعني طبيعية. يمكن للمستشفى أن يبقى مفتوحًا بينما يكون الملف الطبي غير قابل للوصول، ويجب توجيه الطلب يدويًا، وتتطلب الوصفات تحققًا إضافيًا، وتتراكم رسائل البوابة، ويحمل الموظفون أوراقًا، وتُحول خدمات الطوارئ في بعض المواقع للحفاظ على سلامة الفرز. هذا ليس إزعاجًا في الاتصالات. إنه نمط تشغيلي مختلف.
يجب أن يتجنب السجل العام أيضًا الميلودراما. لم تقل أسنشن إن كل الرعاية توقفت. قالت العكس: استمرت الرعاية بموجب بروتوكولات التوقف. لذا فإن قضية المساءلة ليست الانهيار. إنها الرعاية في وضع متدهور. هل كان لدى النظام الصحي إجراءات توقف واقعية؟ هل كان للموظفين تدريب كافٍ وإمدادات؟ هل حصلت المستشفيات الإقليمية على معلومات واضحة عن الحالة؟ هل عرفت سيارات الإسعاف إلى أين تذهب؟ هل تمكنت الصيدليات من صرف الأدوية المزمنة؟ هل يمكن تتبع طلبات المختبر والتصوير دون النظام المعتاد؟ هل يمكن للشركة استعادة الأنظمة دون إعادة توصيل بنية تحتية غير آمنة؟ هذه الأسئلة تشغيلية وليست بلاغية.
"مفتوحة" لم تكن مماثلة للرعاية العادية
تحديث أسنشن في 9 مايو الساعة 5:30 مساءً ذكر عدة أنظمة غير متاحة: السجلات الصحية الإلكترونية، MyChart، بعض أنظمة الهاتف، وأنظمة متنوعة تستخدم لطلب اختبارات وإجراءات وأدوية معينة. طلبت من المرضى إحضار ملاحظات المواعيد وقوائم الأدوية وأرقام الوصفات أو زجاجات الأدوية حتى تتمكن فرق الرعاية من الاتصال بالصيدليات لصرف احتياجات الأدوية. قالت إن الإجراءات الاختيارية غير الطارئة والاختبارات والمواعيد قد تم تعليقها مؤقتًا في بعض الحالات، وقالت إن عدة مستشفيات كانت في حالة تحويل لخدمات الطوارئ الطبية بسبب إجراءات التوقف. (صفحة حادثة أسنشن الإلكترونية)
تلك القائمة هي جوهر القضية. توقف السجلات الصحية الإلكترونية يغير كيفية استرجاع الأطباء للتاريخ والحساسية والأدوية والفحوصات السابقة والتصوير وقوائم المشاكل وملاحظات الخروج ومدخلات الأخصائيين. توقف البوابة يغير كيفية تواصل المرضى مع مقدمي الخدمة وعرض النتائج. تعطل أنظمة الهاتف يغير الجدولة والفرز الوارد وطلبات إعادة التعبئة والمتابعة. تعطل نظام الطلب يغير كيفية انتقال الفحوصات والتصوير والأدوية والإجراءات من نية الطبيب إلى إجراء مكتمل. تحويل سيارات الإسعاف يغير التوزيع الإقليمي لسعة الطوارئ.
ذكرت وكالة أسوشيتد برس أن الهجوم أدى إلى تحويل سيارات الإسعاف وتأجيل الفحوصات وسجلات مرضى غير متصلة بالإنترنت عبر نظام يدير حوالي 140 مستشفى في 19 ولاية. كما ذكرت AP أن السجلات الإلكترونية وMyChart تأثرت وأن الموظفين عادوا إلى السجلات الورقية اليدوية. (تقرير AP عن تعطل الرعاية في أسنشن) يتوافق هذا التقرير مع تصريحات أسنشن الخاصة، لكن المصدر الرسمي يبقى صفحة الشركة لما أكدته أسنشن بنفسها.
الفرق بين المفتوحة والعادية له عواقب على المرضى. المريض الذي يعاني من الألم لا يختبر إجراء التوقف كحدث تقني. إنه يعاني من انتظار أطول، وأسئلة متكررة، وعدم يقين بشأن ما إذا كانت السجلات القديمة مرئية، وعدم يقين بشأن ما إذا كان طلب الفحص قد تم، وقلق من أن فريق الرعاية يعمل بدون السياق المعتاد. قد يحافظ الطبيب على سلامة الرعاية من خلال التدريب والحكم، لكن الهامش يصبح أضيق لأن نظام السجل لم يعد يقوم بعمل التنسيق العادي.
لهذا السبب يجب أن تتضمن كلمة "الاستمرارية" جودة الاستمرارية. يمكن للمستشفى أن يبقي الأبواب مفتوحة ومع ذلك يتساءل عما إذا كانت مراجعة الأدوية قد تباطأت، أو إذا تغير وقت تحويل الفحوصات المخبرية، أو إذا تعطلت جدولة الجراحة، أو إذا أصبحت القبول والتحويل أكثر صعوبة، أو إذا تمكن المرضى المغادرون من الحصول على وصفات طبية، أو إذا كان المرضى ذوو القدرة المحدودة على النقل أو الإتقان المحدود للغة الإنجليزية قد واجهوا صعوبة أكبر في التعامل مع الرعاية المعاد جدولتها. السجل العام لا يجيب على كل هذه الأسئلة، لكنه يثبت أنها كانت الأسئلة الصحيحة.
إجراءات التوقف عن العمل كانت عنصر التحكم الخفي في السلامة
قالت أسنشن إن قوتها العاملة مدربة على بروتوكولات وإجراءات التوقف المقررة. هذا البيان مهم لأن إجراءات التوقف ليست مجرد مجلد احتياطي في خزانة. إنها عنصر تحكم في السلامة يجب أن يعمل بينما الأطباء متعبون والمرضى قلقون والهواتف مشغولة والمديرون ينتظرون حقائق تقنية غير كاملة.
في حالة توقف السجلات الصحية الإلكترونية، يجب أن تحدد إجراءات التوقف كيف يوثق الأطباء، وكيف تُكتب الأوامر، وكيف تُتحقق الأدوية، وكيف تُفحص الحساسية، وكيف تُوسم عينات المختبر، وكيف تُتابع طلبات التصوير، وكيف تُسوى الملاحظات المكتوبة بخط اليد لاحقًا، وكيف تتجنب فرق الرعاية ازدواجية المعلومات أو فقدانها. يجب أن يصبح السجل الذي تم إنشاؤه أثناء التوقف في النهاية جزءًا من السجل الطبي الدائم. الملاحظة الورقية التي لا تعود أبدًا إلى الملف ليست مجرد مشكلة أرشيفية. يمكن أن تؤثر على الرعاية المستقبلية.
تحديثات أسنشن في 7 يونيو و11 يونيو تُظهر سبب أهمية التسوية. عندما تمت استعادة الوصول إلى السجلات الصحية الإلكترونية على مراحل، حذرت أسنشن من أن السجلات الطبية والمعلومات الأخرى بين 8 مايو وتاريخ استعادة السجلات محليًا قد لا تكون متاحة بينما يتم تحميل المعلومات التي تم جمعها أثناء التوقف. وجهت المرضى للاتصال بمكتب الطبيب لمعرفة مدى توفر السجلات خلال تلك الفترة وحذرت من أن رسائل البوابة قد تواجه تأخيرًا طفيفًا. (صفحة حادثة أسنشن الإلكترونية)
هذه جملة كاشفة بشكل غير عادي. تُظهر أن الاستعادة لم تكن فقط حول إعادة الأطباء إلى السجلات الصحية الإلكترونية. كانت أيضًا حول اللحاق بالسجلات مع الرعاية المقدمة بينما كانت السجلات غير متاحة. كان يجب جمع سجل التوقف والتحقق منه وإدخاله أو تحميله وجعله قابلاً للبحث. حتى يحدث ذلك، كان تاريخ المريض لفترة التوقف جزئيًا خارج النطاق الرقمي العادي.
لذا فإن الاستعداد الجيد للتوقف له نصفان. النصف الأول هو الرعاية اليدوية الآمنة أثناء التوقف. النصف الثاني هو إعادة الاندماج النظيفة بعد ذلك. النصف الثاني غالبًا ما يكون أقل وضوحًا لأن الجمهور يرى عودة تسجيلات الدخول ويفترض أن الاستعادة كاملة. في الرعاية الصحية، هذا الافتراض خطير. الاستعادة تكون كاملة فقط عندما يعكس نظام السجل بدقة ما حدث أثناء الوضع المتدهور، وعندما يمكن للأطباء الوثوق في أن السجل المستعاد كافٍ للقرارات المستقبلية.
استعادة السجلات الصحية الإلكترونية كانت أولوية سريرية، وليس مجرد مرحلة تقنية
كررت أسنشن باستمرار أن استعادة السجلات الصحية الإلكترونية هي أولوية قصوى في التعافي. في 29 مايو قالت إن الوصول إلى السجلات الصحية الإلكترونية تمت استعادته في السوق الأولى وكانت خطة متدرجة نشطة. في 4 يونيو قالت إن أسواق فلوريدا وألاباما وأوستن استعادت الوصول. في 5 يونيو أضافت تينيسي وماريلاند ووسط تكساس. في 7 يونيو أضافت أوكلاهوما وقالت إن الهدف هو استعادة السجلات على مستوى الوزارة بحلول 14 يونيو. في 11 يونيو سردت فلوريدا وألاباما وتينيسي وماريلاند ووسط تكساس وأوكلاهوما وويسكونسن وإلينوي وكانساس وجزء من ميشيغان وجزء من إنديانا، بينما لا تزال تعمل نحو الاكتمال بحلول 14 يونيو. (صفحة حادثة أسنشن الإلكترونية)
يجب قراءة تسلسل الاستعادة هذا كحوكمة سريرية. الوصول إلى السجلات الصحية الإلكترونية ليس مجرد وسيلة رقمية. إنها الذاكرة المشتركة لنظام الرعاية. استعادتها أولاً هو بيان حول ما اعتبرته المنظمة الأكثر ضرورة للرعاية الآمنة. لكن الاستعادة المتدرجة تخلق أيضًا أسئلة مساءلة. أي الأسواق تمت استعادتها أولاً ولماذا؟ هل كان التسلسل مبنيًا على الجاهزية التقنية، أو الحدة السريرية، أو حجم المرضى، أو السعة البديلة الإقليمية، أو تبعيات النظام، أو الثقة الجنائية؟ كيف تم إبلاغ المرضى وخدمات الإسعاف بالمواقع المحلية التي كانت في أي حالة؟
السجل العام يعطي جزءًا فقط من الإجابة. يُظهر تسلسلاً متدرجًا وهدفًا. لا ينشر قواعد القرار وراء التسلسل. هذا مفهوم خلال حادثة حية. وهو أيضًا فجوة في الأدلة بعد الحادثة. يجب أن يكون النظام الصحي الوطني قادرًا على إظهار الجهات التنظيمية وهيئات الحوكمة الداخلية لماذا تطابق ترتيب الاستعادة مع المخاطر السريرية.
لغة الاستعادة تُظهر أيضًا التوتر بين السرعة والسلامة. كررت أسنشن أن الأنظمة ستُستعاد بأمان وبشكل آمن، بعد التحقق والفحص. هذا هو المعيار الصحيح. إعادة توصيل نظام غير موثوق به لأن المستشفى يحتاجه يمكن أن يجعل الهجوم أسوأ. الانتظار طويلاً يمكن أن يطيل الاضطراب السريري. القرار المسؤول يقع بين هذين الضغوطين.
للأحداث المستقبلية، ستكون الممارسة العامة الأقوى هي مصفوفة الاستعادة السريرية. لن تحتاج إلى كشف مخططات الشبكة. يمكنها تحديد حالات الخدمة: السجلات الصحية الإلكترونية غير متاحة، السجلات للقراءة فقط، السجلات المستعادة للتوثيق الجديد، سجلات التوقف في انتظار التحميل، البوابة متاحة، نقل الصيدلية مستعاد، طلب الفحوصات مستعاد، أنظمة الهاتف مستعادة، اتصالات الشركاء موثقة. يحتاج المرضى والأطباء إلى حالة الخدمة، وليس قاعدة جدار الحماية.
استمرارية الصيدلية كانت اختبارًا عمليًا للرعاية
كان الوصول إلى الأدوية أحد أوضح الأمثلة على كيف تترك الفدية مركز البيانات وتدخل الحياة اليومية. طلبت أسنشن من المرضى إحضار زجاجات الوصفات وأرقام الوصفات وقوائم الأدوية حتى تتمكن فرق الرعاية من الاتصال بالصيدليات لصرف احتياجات الأدوية. لاحقًا، قالت أسنشن إن مواقع صيدليات Ascension Rx للبيع بالتجزئة والتوصيل المنزلي والتخصصية مفتوحة وقادرة على تلبية احتياجات الوصفات، وأن مقدمي الرعاية الصحية يمكنهم إرسال الوصفات إلكترونيًا إلى صيدليات Ascension Rx. (صفحة حادثة أسنشن الإلكترونية)
هذا التسلسل مهم لأن استمرارية الصيدلية ليست اختيارية. للأدوية المزمنة، يمكن أن يؤدي التأخير إلى عواقب صحية. للمضادات الحيوية ومضادات التخثر والأنسولين وأدوية الصرع وأدوية الزرع والأدوية النفسية أو تخفيف الألم بعد الإجراء، يمكن أن يصبح احتكاك سير العمل خطرًا سريريًا. يمكن لفريق الرعاية الاتصال بالصيدلية يدويًا، لكن المسار اليدوي يتطلب معرفة دوائية حالية، وهوية صحيحة للمريض، وجرعات واضحة، ومعالجة التأمين أو الدفع، والتحقق من الصيدلي، وطريقة لتوثيق ما تم.
ذكرت قناة Spectrum News من ويسكونسن عن الصيدليات المحلية التي تتعامل مع الهجوم الإلكتروني على أسنشن والحاجة إلى إبقاء المرضى على أدويتهم المزمنة. (تقرير Spectrum News عن الصيدليات) هذه النظرة المحلية مفيدة لأن اضطراب الصيدلة غالبًا ما يكون متناثرًا. لا يظهر دائمًا كفشل دراماتيكي في المستشفى. يظهر كمريض وصيدلي وطبيب يحاولون إعادة بناء معلومات كافية لمواصلة العلاج.
لذلك يجب معاملة تخطيط توقف الأدوية كعنصر تحكم في سلامة المريض. يجب أن تحدد الخطة قوائم الأدوية التي يمكن الوصول إليها دون اتصال، وكيفية فحص الحساسية، وكيفية التعامل مع سير عمل المواد الخاضعة للرقابة، وكيفية تفويض إعادة التعبئة، وكيفية تحديد أولويات احتياجات الأدوية العاجلة، وكيفية تسوية الوصفات اليدوية مع السجلات الصحية الإلكترونية بعد الاستعادة. يجب أن تحدد أيضًا ما يقال للمرضى. طلب إحضار زجاجات الأدوية أمر منطقي، لكنه ينقل العمل إلى أشخاص قد يكونون مرضى أو كبار سن أو خائفين أو ذوي دخل منخفض أو بدون وسيلة نقل أو بدون وصفات منظمة بدقة.
السجل العام يُظهر أن أسنشن أدركت مشكلة الصيدلية. السؤال المتبقي في المساءلة هو مدى اتساق أداء هذه الحلول البديلة عبر الولايات ومواقع الرعاية.
إعادة اتصال الشركاء كانت سطح مخاطر خاصًا بها
تحديثات أسنشن في 21 مايو و24 مايو حددت مشكلة تعافي أخرى غير مقدرة: كان على الشركاء والموردين إعادة الاتصال بالشبكة. قالت أسنشن إنها بدأت نقاط اتصال منتظمة مع الشركاء والموردين الحيويين لتقديم معلومات للمساعدة في استعادة اتصالهم بشبكة أسنشن. في 24 مايو، قالت إن العديد من الموردين والشركاء بدأوا في إعادة الاتصال واستئناف الخدمات، مما يجب أن يسرع التعافي. (صفحة حادثة أسنشن الإلكترونية)
إعادة اتصال الشريك ليست تفصيلاً جدوليًا. إنها قرار أمني واستمرارية. تعتمد المستشفيات على المختبرات وموردي التصوير والصيدليات وشركاء دورة الإيرادات وموردي الأجهزة والأنظمة السحابية ومقدمي الخدمات المتخصصة وشركاء الإسعاف وأنظمة التوظيف والموردين ومنظمات الدعم. قد يتطلب الاستجابة للفدية فصل أو تقييد تلك الروابط. ثم يتطلب التعافي تحديد أي الروابط آمنة لاستعادتها، وبأي ترتيب، وتحت أي مراقبة، وبأي دليل من كل جانب.
هذا هو المكان الذي تلتقي فيه الاستمرارية القطاعية العامة مع محلية البيانات. بيانات الرعاية الصحية لا توجد في مكان واحد منظم. إنها تتدفق عبر الأنظمة السريرية وخوادم الملفات وبوابات المرضى وسير عمل الفوترة وواجهات المختبر ومسارات الصيدلة وقنوات التأمين وبيئات الموردين. قالت أسنشن لاحقًا إن المهاجمين أخذوا ملفات من سبعة من حوالي 25000 خادم، تستخدم بشكل أساسي من قبل الموظفين للمهام اليومية والروتينية، وأن بعض الملفات قد تحتوي على معلومات صحية محمية ومعلومات تعريف شخصية. وقالت أيضًا إنه لا يوجد دليل على أخذ البيانات من السجلات الصحية الإلكترونية والأنظمة السريرية الأخرى. (صفحة حادثة أسنشن الإلكترونية)
هذه التصريحات ترسم حدودًا مفيدة، لكنها تسلط الضوء أيضًا على السبب وراء أهمية محلية الوصول أكثر من المحلية المادية. يمكن أن يكون السجل محتفظًا به قانونيًا من قبل نظام صحي غير ربحي أمريكي ومع ذلك يصبح مكشوفًا إذا كان يمكن الوصول إليه من خلال سير عمل مخترق أو خادم ملفات روتيني أو مسار شريك. سيادة البيانات في الرعاية الصحية ليست فقط مكان وجود البيانات؛ إنها من يمكنه لمسها أو نسخها أو نقلها أو تصديرها أو عرضها أو إعادة الاتصال بها بعد الاختراق.
لذا فإن الأدلة بعد الحادثة المهمة ليست فقط "الأنظمة مستعادة". إنها "الاتصالات مستعادة مع التحقق". يجب أن يكون النظام الصحي قادرًا على إظهار أن إعادة اتصال الشريك لم تعيد تقديم بيانات اعتماد مخترقة أو علاقات ثقة قديمة أو وصول عن بعد غير مراجع أو مسارات بيانات غير مراقبة.
خرق البيانات لم يكن مماثلاً للتعطل السريري
تحديث أسنشن في 19 ديسمبر أكمل جزءًا مختلفًا من السجل. بعد العمل مع خبراء خارجيين لمراجعة البيانات التي يحتمل تورطها، قالت أسنشن إنها ستبدأ في إخطار الأفراد الذين تورطت معلوماتهم الشخصية وتقديم خدمات مراقبة الائتمان وحماية الهوية مجانًا. قالت إن المعلومات يمكن أن تشمل معلومات طبية مثل رقم السجل الطبي وتاريخ الخدمة وأنواع اختبارات المختبر أو رموز الإجراءات؛ ومعلومات الدفع؛ ومعلومات التأمين؛ والهوية الحكومية؛ ومعلومات شخصية أخرى مثل تاريخ الميلاد أو العنوان. (صفحة حادثة أسنشن الإلكترونية)
لا ينبغي دمج سجل البيانات هذا مع سجل استمرارية الرعاية. حدث التعطل في مايو ويونيو. تطور إخطار البيانات على مدى أشهر، بعد مراجعة الملفات. كلاهما نتيجة لنفس الهجوم، لكنهما يخلقان واجبات مختلفة. يتطلب التعطل السريري رعاية احتياطية فورية، وقرارات التحويل، وفحوصات السلامة، والتواصل مع المرضى، والاستعادة. يتطلب خرق البيانات تحليل السكان، ورسم الحقول، والإخطار القانوني، ودعم الهوية، وإعداد التقارير للجهات التنظيمية، واليقظة طويلة الأجل ضد الاحتيال.
صفحة قاعدة إخطار الخرق التابعة لـ HHS تشرح الإطار الفيدرالي للمعلومات الصحية المحمية غير الآمنة، بما في ذلك التزامات التوقيت لخرق يؤثر على 500 فرد أو أكثر. (قاعدة إخطار خرق HHS) تنشر HHS أيضًا إرشادات حول تقديم الإخطار إلى الوزير. (صفحة إبلاغ خرق HHS) بوابة خرق OCR العامة تسرد تقارير الخرق الكبيرة قيد التحقيق. (بوابة خرق HHS OCR)
الحدود في بيان أسنشن مهمة: تورطت بيانات المرضى، لكن أسنشن قالت إنه لا يزال لا يوجد دليل على أن البيانات أُخذت من السجلات الصحية الإلكترونية والأنظمة السريرية الأخرى حيث تُخزن سجلات المرضى الكاملة. هذا ضمان ذو معنى، وليس محوًا كاملاً للضرر. تاريخ الخدمة أو نوع اختبار المختبر أو رمز الإجراء أو رقم التأمين أو الهوية الحكومية يمكن أن تكون حساسة. حقيقة أن سجلات السجلات الصحية الإلكترونية الكاملة لم تظهر أنها أُخذت، وفقًا للسجل العام لأسنشن، لا تجعل بيانات خادم الملفات الروتينية غير ضارة.
كما لا يثبت أن كل شخص متأثر واجه نفس المخاطر. قالت أسنشن إن البيانات تختلف حسب الفرد ولا يمكن تأكيدها لكل فرد في البيان العام العام. يجب أن يعطي سجل الإخطار الجيد لكل فرد أكثر فئات الحقول المحددة المتاحة وخطوات الدعم. لا ينبغي لأنظمة الصحة الكبيرة الاعتماد على قائمة واحدة واسعة عندما تختلف المخاطر الفردية حسب نوع البيانات.
تُظهر تقارير الولايات والقطاع كيف تحول سجل الخصوصية إلى سجل حماية المستهلك. شجعت المدعية العامة لميشيغان دانا نيسيل مرضى أسنشن والموظفين على التفكير في مراقبة الائتمان المجانية بعد أن حذرت أسنشن من أن بعض المعلومات الشخصية قد تكون تورطت. (إشعار المدعي العام لميشيغان) ذكرت Healthcare Dive لاحقًا أن حجم الخرق الفيدرالي بلغ 5.6 مليون شخص في سياق الإخطار العام بالخرق. (تقرير Healthcare Dive عن الخرق) لا تحل هذه المصادر محل إشعار أسنشن أو بوابة HHS، لكنها تُظهر أن عواقب الخصوصية للحادثة ظلت نشطة بعد الاستعادة السريرية.
شرح الملف الخبيث ليس نهاية المساءلة
في 12 يونيو، قالت أسنشن إنها حددت كيف حصل المهاجم على الوصول: فرد يعمل في إحدى مرافقها قام بالصدفة بتنزيل ملف خبيث يعتقد أنه شرعي. قالت أسنشن إنه لا يوجد سبب للاعتقاد بأن هذا كان أي شيء آخر غير خطأ صادق. (صفحة حادثة أسنشن الإلكترونية)
هذه حقيقة مفيدة، لكن لا ينبغي أن تصبح نهاية مريحة. يفترض الأمن الحديث أن بعض الموظفين سينقرون. عناصر التحكم المسؤولة هي ما يحدث قبل وبعد النقرة: أمان البريد الإلكتروني، وعزل المتصفح، وتفجير المرفقات، وكشف نقطة النهاية، وأقل صلاحية، والتحكم في التطبيقات، والتجزئة، وكشف الحركة الجانبية، وضوابط الوصول إلى خادم الملفات، وعزل النسخ الاحتياطي، والاستجابة للحوادث، والجاهزية السريرية للتوقف.
صفحة قاعدة الأمان التابعة لـ HHS تنص على المعيار بعبارات عامة: ضمانات إدارية ومادية وتقنية مطلوبة لحماية سرية وسلامة وتوافر المعلومات الصحية الإلكترونية المحمية. (قاعدة أمان HHS) تحتفظ HHS أيضًا بمواد إرشادية للأمن الإلكتروني للكيانات المشمولة بـ HIPAA وشركائها التجاريين. (مواد إرشاد أمن إلكتروني من HHS) دليل CISA لوقف الفدية يركز على الاستعداد والوقاية والتخطيط للاستجابة والنسخ الاحتياطي والاتصالات. (دليل CISA لوقف الفدية)
لا شيء من هذه المصادر العامة هو نتيجة بأن أسنشن انتهكت قاعدة. إنها تحدد فئات التحكم المهمة. مبدأ المساءلة الأساسي هو أنه لا ينبغي السماح لتنزيل واحد عرضي بأن يصبح اضطرابًا سريريًا على مستوى النظام إذا كانت الطبقات المعقولة يمكن أن تحد من نصف قطر الانفجار. إذا أصبح على مستوى النظام، يجب على المنظمة أن تكون قادرة على شرح لماذا، وما فشل، وما عمل، وما تغير.
لغة "الخطأ الصادق" إنسانية. إنها تتجنب توجيه اللوم إلى عامل فردي. لكن اللغة الإنسانية يجب أن تقترن بالتعلم التنظيمي. إلقاء اللوم على العامل هو مساءلة ضعيفة. معاملة فعل العامل كإشارة واحدة في نظام تحكم أكبر هو أقوى.
التعافي المالي لم يقيس عبء المريض
الإفصاحات المالية لأسنشن تُظهر أن الحدث كان له عواقب تشغيلية تتجاوز صفحة الحادثة. في سبتمبر 2024، قالت أسنشن إن عمليات مايو ويونيو تأثرت بالحادثة الأمنية الإلكترونية، مما أدى إلى انخفاض الإيرادات من انقطاع الأعمال وتكاليف معالجة المشكلات ونفقات تجارية أخرى. كما قالت إن الميزانية العمومية ومستويات السيولة ظلت قوية، مع سيولة كافية لمواصلة تقديم الرعاية. (نتائج أسنشن المالية للربع الرابع من العام المالي 2024)
في فبراير 2025، قالت أسنشن إن عمليات الربع الرابع من العام المالي 2024 تأثرت بهجوم مايو الإلكتروني، لكن استعادة حجم العام المالي 2025 استمرت وتحسن حجم المرضى في نفس المنشأة بنحو 5 إلى 6 بالمائة منذ الحدث الإلكتروني، مع عودة مؤشرات الأداء الرئيسية التشغيلية إلى حالتها الطبيعية. (نتائج أسنشن المالية للربع الثاني من العام المالي 2025)
هذه التصريحات مفيدة للمرونة التنظيمية، لكنها ليست حسابًا كاملاً للضرر الذي لحق بالمرضى. يمكن أن يتعايش استعادة الإيرادات وحجم المرضى مع تأخير المواعيد وإحباط المرضى وضغط الصيدلية والعمل الإضافي للأطباء والتحويل المحلي وأخذ التاريخ المتكرر والتوثيق اليدوي وفقدان الثقة. يمكن للنظام أن يتعافى ماليًا بينما لا يزال بعض المرضى يتذكرون اليوم الذي كانت فيه سجلاتهم غير متاحة.
سيكون سجل المساءلة أقوى إذا فصلت تقارير ما بعد الحادثة أربعة مقاييس استعادة على الأقل. أولاً، الاستعادة التقنية: أي الأنظمة أصبحت نظيفة ومتاحة. ثانيًا، الاستعادة السريرية: أي وظائف الرعاية عادت إلى سير العمل العادي. ثالثًا، استعادة السجل: كيف تمت تسوية توثيق التوقف. رابعًا، دعم المريض: ما التأخيرات والتحويلات وإعادة الجدولة وإخطارات البيانات التي تطلبت متابعة.
صفحات أسنشن المالية تُظهر منظمة كبيرة تمتص الحدث. لا تُظهر التوزيع الكامل للإزعاج والمخاطر عبر المرضى والأطباء والصيدليات وخدمات الإسعاف والمجتمعات المحلية. هذا ليس عيبًا فريدًا لأسنشن. إنها مشكلة أوسع في الإبلاغ عن الحوادث الإلكترونية: الميزانيات العمومية أسهل في التلخيص من احتكاك الرعاية.
القطاع تعامل مع فدية المستشفيات كوظيفة عامة
قالت أسنشن إنها أبلغت جهات إنفاذ القانون وشركاء الحكومة بما في ذلك FBI وCISA وHHS والجمعية الأمريكية للمستشفيات، وشاركت معلومات استخباراتية ذات صلة مع H-ISAC ليتمكن شركاء الصناعة وأقرانهم من حماية أنفسهم. (صفحة حادثة أسنشن الإلكترونية) هذا الإطار متعدد الوكالات مهم لأن حادثة فدية المستشفى ليست مجرد مسألة خاصة بين ضحية ومهاجم.
المستشفيات جزء من سعة الطوارئ الإقليمية. عندما تدخل عدة مستشفيات في إجراءات التوقف أو التحويل، تشعر المستشفيات المحيطة ووكالات EMS وسلطات الصحة العامة والمرضى بالتغيير. هذا هو الاستمرارية القطاعية العامة في الممارسة. الحكومة لا تدير السجلات الصحية الإلكترونية لأسنشن، لكن الحكومة لديها مصلحة في ما إذا كانت الرعاية الطارئة والتحذيرات العامة وإنفاذ القانون والمعلومات الاستخباراتية ومراقبة HIPAA تظل وظيفية عندما يتعطل نظام صحي كبير.
عمل الجمعية الأمريكية للمستشفيات في الأمن الإلكتروني أطر مرارًا الفدية ضد المستشفيات كقضية سلامة المريض. صفحة الأمن الإلكتروني الخاصة بها تسلط الضوء على الجاهزية للمرونة الإلكترونية للمستشفيات وأنظمة الصحة. (مركز موارد الأمن الإلكتروني للجمعية الأمريكية للمستشفيات) لخصت AHA أيضًا مناقشة مجلس الأمن التابع للأمم المتحدة حيث شارك رئيس أسنشن أن هجوم مايو عطل العمليات عبر مستشفيات أسنشن، وشفر آلاف أنظمة الكمبيوتر وجعل السجلات الصحية الإلكترونية غير قابلة للوصول. (ملخص AHA لمجلس الأمن التابع للأمم المتحدة حول الفدية)
يجب استخدام هذه المصادر القطاعية بحذر. لا تحل محل التسلسل الزمني للحادثة الخاص بأسنشن. تُظهر أن المرونة الإلكترونية للمستشفيات أصبحت الآن جزءًا من محادثة الأمن القومي والصحة العامة وإدارة الطوارئ. كلما زادت رقمنة الرعاية الصحية، قل مصداقية معاملة الفدية كأمر تقني خلفي.
المرضى كان لديهم سيطرة ضيقة وتعرض عالٍ
تعليمات أسنشن للمرضى كانت عملية: أحضروا الأعراض وقوائم الأدوية وأرقام الوصفات أو الزجاجات؛ تابعوا التحديثات؛ استخدموا مراقبة الائتمان إذا كان هناك قلق؛ اتصلوا بمكاتب الأطباء لمعرفة توفر السجلات أثناء التوقف؛ اتصلوا برقم 911 في حالات الطوارئ. هذه الخطوات ساعدت الناس على التنقل في موقف صعب. كما تُظهر عدم التوازن.
يمكن للمرضى إحضار الزجاجات. لم يتمكنوا من استعادة السجلات الصحية الإلكترونية. يمكنهم تكرار تاريخهم الطبي. لم يتمكنوا من معرفة ما إذا كانت ملاحظة سابقة مرئية. يمكنهم قبول إعادة الجدولة. لم يتمكنوا من اختيار ترتيب الاستعادة. يمكنهم التسجيل في مراقبة الائتمان. لم يتمكنوا من إلغاء تعريض رمز الإجراء أو رقم التأمين أو تاريخ الخدمة. يمكنهم أن يكونوا يقظين ضد الاحتيال. لم يتمكنوا من معرفة جميع الأماكن التي قد تُنسخ فيها بياناتهم.
هذا عدم التوازن هو السبب في أن لغة اليقظة لا ينبغي أبدًا أن تحل محل المساءلة التنظيمية. من المناسب إخبار المرضى بما يجب فعله. لكنه غير كافٍ للتلميح إلى أن إجراءات المريض يمكن أن تعوض عن الضوابط المفقودة. في الرعاية الصحية، الشخص الأكثر تعرضًا للضرر النهائي هو غالبًا الشخص الأقل قوة تشغيلية.
بعد الحادثة، يجب أن تتضمن خطة المساءلة قياس العبء الموضوع على المرضى. كم عدد المواعيد التي تم إيقافها أو إعادة جدولتها؟ كم عدد المرضى الذين احتاجوا إلى دعم بديل للأدوية؟ ما اللغات المستخدمة في الإشعارات؟ كيف تم الوصول إلى المرضى دون اتصال موثوق بالإنترنت أو الهاتف؟ كيف تم تنسيق التحويلات الطارئة مع خدمات EMS المحلية؟ كيف تمت تسوية توثيق التوقف للمرضى الذين يحتاجون إلى رعاية مستمرة؟ هذه الأسئلة تحدد المساءلة بجانب السرير بشكل أفضل من تاريخ استعادة واحد.
سيادة البيانات كانت حول إمكانية الوصول
الموضوع "سيادة البيانات والمحلية" ليس سؤالاً ضيقًا حول مكان وجود الخوادم فعليًا. قضية أسنشن تُظهر السؤال الأكثر صلة بالرعاية الصحية: أي البيانات كانت قابلة للوصول من خلال مسارات الوصول أثناء العمل العادي؟
قالت أسنشن إن المهاجمين أخذوا ملفات من سبعة من حوالي 25000 خادم تستخدم بشكل أساسي من قبل الموظفين للمهام اليومية والروتينية. كما قالوا إن تلك الملفات قد تشمل معلومات صحية محمية ومعلومات تعريف شخصية. هذا المزيج كاشف. يمكن أن تعيش البيانات الحساسة في مساحات العمل الروتينية والتصديرات والمرفقات والمجلدات المشتركة وقوائم العمل وملفات التقارير والمستندات الممسوحة ضوئيًا والمخازن التشغيلية المؤقتة. قد تكون السجلات الصحية الإلكترونية هي سجل المريض الكامل، لكنها ليست المكان الوحيد الذي تظهر فيه معلومات المريض.
تصف صفحة Ascension One الحالية تجربة رقمية للمريض لدفع الفواتير وعرض نتائج الفحوصات والمختبر والبقاء على اتصال مع الأطباء وجدولة وإدارة مواعيد الأسرة. (Ascension One) لغة المنتج العام هذه ليست مصدر حادثة. تساعد القراء على فهم التوقع العادي: المرضى والأطباء الآن يختبرون الرعاية من خلال حسابات وبوابات وسجلات وسير عمل متصلة. عندما يعطل استجابة الفدية أجزاء من هذا النظام البيئي، تصبح المحلية وظيفية. البيانات والرعاية محلية للنظام الذي يمكنه الوصول إليها في اللحظة التي تحتاج إليها.
تتبع أسئلة تقليل البيانات وحوكمة الوصول. لماذا تحمل خوادم الملفات الروتينية الحقول التي حملتها؟ هل كانت التصديرات الحساسة محدودة زمنيًا؟ هل كانت الملفات مصنفة ومراقبة؟ هل تم تجزئة خوادم الموظفين الروتينية عن الأنظمة السريرية؟ هل كانت الملفات التي تم تنزيلها مقيدة بضوابط نقطة النهاية؟ هل تم أرشفة أو حذف ملفات الروتين القديمة؟ هل كانت مسارات وصول الشركاء ضيقة بما يكفي؟ السجل العام لا يجيب على تلك الأسئلة؛ إنه يجعلها ضرورية.
الدرس الصحيح ليس أن أنظمة السجلات الصحية الإلكترونية يجب ألا تتصل أبدًا بأنظمة أخرى. لا يمكن للرعاية الصحية أن تعمل بهذه الطريقة. الدرس هو أن كل نسخة ثانوية من بيانات المريض تصبح جزءًا من نصف قطر الانفجار السريري والخصوصية.
كيف ستبدو الأدلة الأفضل
يجب أن يجيب سجل عام ناضج بعد الحادثة لنظام صحي على عدة أسئلة دون نشر تفاصيل أمنية حساسة.
أولاً، يجب أن يوفر جدولًا زمنيًا لحالة الخدمة. يجب أن يحدد متى تغير الوصول إلى السجلات الصحية الإلكترونية، وبوابة الوصول، وأنظمة الهاتف، وطلب الأدوية، وطلب المختبر، وجدولة الإجراءات، ونقل الصيدلية، وأنظمة الفوترة، واتصالات الشركاء، وحالة التحويل الإقليمي. قدمت صفحة حادثة أسنشن العديد من التحديثات، لكن جدولًا زمنيًا موحدًا سيجعل السجل أسهل للتدقيق.
ثانيًا، يجب أن يقدم حسابًا سريريًا للتوقف. يجب أن يشرح هذا الحساب إجراءات التوقف التي تم تفعيلها، وكيف تم دعم الموظفين، وكيف تمت تسوية التوثيق اليدوي، وكيف تم الحفاظ على فحوصات سلامة الأدوية والمختبر، وما إذا تم إجراء أي مراجعات سلامة خاصة بالحادثة. لا ينبغي أن يكشف عن أحداث خاصة للمرضى، لكن يجب أن يُظهر نظام التحكم.
ثالثًا، يجب أن يقدم خريطة بيانات حسب الفئة. أدرج إشعار أسنشن في ديسمبر الفئات المحتملة، لكن المعيار الأقوى هو الإخطار على مستوى الحقل حيثما أمكن: رقم السجل الطبي، تاريخ الخدمة، رمز الإجراء، نوع اختبار المختبر، معرف التأمين، حقل الدفع، معرف الحكومة، العنوان، تاريخ الميلاد، وبيانات الموظف لا ينبغي خلطها إذا كان يمكن إخبار كل شخص بشكل أكثر تحديدًا.
رابعًا، يجب أن يشرح مسار الوصول والاحتواء على مستوى عالٍ. شرح الملف الخبيث مفيد. سيضيف سجل كامل الضوابط التنظيمية التي تم تغييرها بعد ذلك، مثل تصفية البريد الإلكتروني، وسياسة نقطة النهاية، ومراجعة الوصول إلى خادم الملفات، والتجزئة، وتسجيل الدخول، وعزل النسخ الاحتياطي، وضوابط الوصول المميز، دون إعطاء المهاجمين دليلًا.
خامسًا، يجب أن ينشر مقاييس تأثير المريض الإجمالية: إيقاف المواعيد، وإعادة الجدولة، ومدة التحويل حسب المنطقة، وحجم العمل البديل للصيدلية، والتراكم في البوابة، ونشاط خط الدعم. يمكن أن يكون الإفصاح العام محافظًا على الخصوصية ومع ذلك ذا معنى.
أخيرًا، يجب أن يوضح القضايا غير المحلولة. إذا كان التقاضي أو مراجعة الجهة التنظيمية أو المخاطر الأمنية تحد من التفاصيل، فليقل ذلك. يمكن للمرضى التعامل مع عدم اليقين بشكل أفضل عندما يتم تسمية الحدود.
الدرس هو المرونة بجانب السرير
أسنشن كانت ضحية جريمة. هذه الحقيقة يجب أن تذكر بوضوح. تسبب جهات إجرامية في هجوم الفدية. إنفاذ القانون والوكالات الإلكترونية لها الدور العام في التحقيق والاستخبارات والردع. لا ينبغي توقع من أي مستشفى هزيمة كل محاولة خبيثة دون حادثة.
لكن المساءلة في الرعاية الصحية لا تتوقف عند الضحية. النظام الصحي يتحكم في البنية التحتية والتدريب وإجراءات التوقف وتبعيات الشركاء ومخازن البيانات وتسلسل الاستعادة واتصالات المرضى التي تحدد ما إذا كانت الفدية تصبح تعطلاً يمكن إدارته أو اضطرابًا بجانب السرير. يُظهر السجل العام لأسنشن كلاً من المرونة والضغط: بقيت المستشفيات مفتوحة، واستمر الأطباء في الرعاية، وتمت أولوية استعادة السجلات الصحية الإلكترونية، وعادت الصيدليات إلى العمل، وتمت استعادة الأنظمة في النهاية، وتم إرسال الإشعارات. كما يُظهر التحويل الطارئ، وتعليق الرعاية، وفقدان الوصول العادي إلى السجلات، وتأخير اكتمال البوابة، وأشهر من تحليل البيانات، وتأثير مالي كبير.
الدرس الدائم هو أن استعادة الفدية في الرعاية الصحية هي تخصص سريري. إنها تنتمي إلى إشراف مجلس الإدارة، وعمليات التمريض، وقيادة الصيدلة، وإدارة الطوارئ، وتخطيط دورة الإيرادات، والامتثال للخصوصية، وحوكمة الموردين، واتصالات المرضى، وليس فقط في عمليات الأمن. الملف الطبي جزء من الرعاية. نظام الطلب جزء من الرعاية. البوابة جزء من الرعاية. حزمة التوقف جزء من الرعاية. عندما تفشل هذه الأنظمة، تُقاس المساءلة بمدى أمان المنظمة في الاستمرار في علاج الأشخاص مع إثبات أن الأساس الرقمي يمكن الوثوق به مرة أخرى.

