الملخص
- الحدث المؤكد:اكتشفت Ascension نشاطًا غير معتاد في 8 مايو 2024، ثم وصفت الحدث لاحقًا بأنه هجوم فدية، وقالت إن العمليات السريرية تعطلت بينما ظلت المستشفيات والمرافق مفتوحة بموجب إجراءات التوقف عن العمل. وقالت صفحة الحادثة العامة الخاصة بها لاحقًا إنه تمت استعادة جميع الأنظمة المتأثرة والوظائف السريرية والوصول إلى السجلات الصحية الإلكترونية. (صفحة حدث الأمن السيبراني لـ Ascension)
- تأثير استمرارية الرعاية:قال تحديث Ascension بتاريخ 9 مايو إن السجلات الصحية الإلكترونية وMyChart وبعض أنظمة الهاتف والأنظمة المستخدمة لطلب الفحوصات والإجراءات والأدوية كانت غير متاحة. تم تعليق بعض الإجراءات الاختيارية غير الطارئة والفحوصات والمواعيد مؤقتًا، وتم تحويل العديد من المستشفيات عن خدمات الطوارئ الطبية. (تحديث انقطاع شبكة Ascension)
- سجل البيانات:في 19 ديسمبر 2024، قالت Ascension إن مراجعة البيانات المكتملة وجدت أن المعلومات الشخصية لبعض المرضى الحاليين والسابقين والمقيمين في دور الرعاية والموظفين قد تأثرت. وقالت إن أنواع البيانات تباينت وقد تشمل المعلومات الطبية ومعلومات الدفع والتأمين وتحديد الهوية الحكومية وغيرها من المعلومات الشخصية، بينما قالت أيضًا إنها لا تملك دليلاً على أن البيانات أُخذت من السجلات الصحية الإلكترونية أو الأنظمة السريرية الأخرى. بوابة خرق HHS OCR هي القائمة الفيدرالية العامة لتقارير خرق HIPAA الكبيرة. (بوابة خرق HHS OCR)
- خريطة المساءلة:تسبب ممثلون إجراميون في الحدث الضار. سيطرت Ascension على الوصول إلى الشبكة وعزل الأنظمة السريرية والتدريب على إجراءات التوقف عن العمل وترتيب الاستعادة وإعادة ربط الشركاء والتواصل مع المرضى ومراجعة البيانات والدعم. سيطرت الوكالات العامة على إنفاذ القانون والاستخبارات الإلكترونية والرقابة على خرق HIPAA وتوجيهات القطاع. سيطر المرضى والأطباء فقط على خطوات احتياطية ضيقة ومرهقة بعد أن وصل انقطاع النظام إلى سرير المريض.
وصلت الفدية إلى سرير المريض من خلال سير العمل
من السهل التقليل من شأن حادثة Ascension إذا وُصفت بأنها مجرد هجوم فدية على مستشفى. الوصف الأفضل هو اختبار لاستمرارية نظام كامل في شبكة رعاية. لم تكن الفدية بحاجة إلى لمس جهاز تنفس أو تغيير طلب دواء لتؤثر على الرعاية. كان عليها فقط إزالة الوصول العادي إلى السجلات المشتركة وقنوات الطلب وبوابات المرضى والهواتف ومسارات الصيدلة والأنظمة الإدارية التي يستخدمها الأطباء لتحويل قصة المريض إلى علاج.
قالت أول تصريح علني لشركة Ascension في 9 مايو 2024 إنها اكتشفت نشاطًا غير معتاد على أنظمة شبكة تكنولوجية مختارة يوم الأربعاء 8 مايو، واعتقدت أنه كان بسبب حدث أمن سيبراني. وقالت إن الوصول إلى بعض الأنظمة قد انقطع، وتعطلت العمليات السريرية، وبدأت فرق الرعاية إجراءات مدربة للحفاظ على تقديم الرعاية آمنًا وبأقل تأثير. وقالت Ascension أيضًا إنها استعانت بشركة Mandiant وأبلغت السلطات المختصة وتحقق في المعلومات التي ربما تأثرت، إن وجدت. (إشعار Ascension بتاريخ 9 مايو)
صفحة الحدث اللاحقة كانت أكثر مباشرة. تقول إن Ascension تعرضت في 8 مايو لهجوم فدية وإنها منذ ذلك الحين استعادت جميع الأنظمة المتأثرة والوظائف السريرية والوصول إلى السجلات الصحية الإلكترونية. هذه الصياغة اللاحقة مهمة لأنها تنقل الحدث من حادث أمن سيبراني مشتبه به إلى هجوم فدية مؤكد، مع تحديد نقطة نهاية التعافي التي تدعيها الشركة. (صفحة حدث الأمن السيبراني لـ Ascension)
بدأت مشكلة الاستمرارية في الفجوة بين هاتين الحالتين: بعد انقطاع الأنظمة وقبل أن تكون الاستعادة الكاملة موثوقة. خلال هذه الفجوة، بقيت مستشفيات ومرافق Ascension مفتوحة، لكن "مفتوحة" لم تكن تعني عادية. يمكن للمستشفى أن يظل مفتوحًا بينما السجل الطبي لا يمكن الوصول إليه، بينما يجب توجيه الطلبات يدويًا، بينما تتطلب الوصفات تحققًا إضافيًا، بينما تتراكم رسائل البوابة، بينما يحمل الموظفون الأوراق، وبينما يتم تحويل خدمات الطوارئ في بعض المواقع للحفاظ على سلامة الفرز. هذا ليس إزعاجًا في التواصل. إنه نمط تشغيل مختلف.
يجب على السجل العام أيضًا تجنب التهويل. لم تقل Ascension إن كل الرعاية توقفت. قالت العكس: استمرت الرعاية بموجب بروتوكولات التوقف عن العمل. مسألة المساءلة إذن ليست الانهيار. إنها الرعاية في الوضع المتدهور. هل كان لدى النظام الصحي إجراءات توقف واقعية؟ هل كان لدى الموظفين تدريب وإمدادات كافية؟ هل أعطيت المستشفيات الإقليمية معلومات واضحة عن الحالة؟ هل عرفت سيارات الإسعاف إلى أين تذهب؟ هل تمكنت الصيدليات من صرف الأدوية المزمنة؟ هل تمكنت طلبات المختبر والتصوير من أن تُتابع بدون النظام المعتاد؟ هل تمكنت الشركة من استعادة الأنظمة دون إعادة توصيل بنية تحتية غير آمنة؟ هذه الأسئلة تشغيلية وليست بلاغية.
"مفتوحة" لم تكن تعني رعاية عادية
حدّد تحديث Ascension في 9 مايو الساعة 5:30 مساءً عدة أنظمة غير متاحة: السجلات الصحية الإلكترونية وMyChart وبعض أنظمة الهاتف وأنظمة مختلفة تستخدم لطلب فحوصات وإجراءات وأدوية معينة. طلبت من المرضى إحضار ملاحظات المواعيد وقوائم الأدوية وأرقام الوصفات أو زجاجات الوصفات حتى تتمكن فرق الرعاية من الاتصال بالصيدليات لتلبية احتياجات الأدوية. وقالت إن الإجراءات الاختيارية غير الطارئة والفحوصات والمواعيد قد عُلقت مؤقتًا في بعض الحالات، وإن العديد من المستشفيات كانت في حالة تحويل عن خدمات الطوارئ الطبية بسبب إجراءات التوقف عن العمل. (صفحة حدث الأمن السيبراني لـ Ascension)
هذه القائمة هي قلب القضية. تعطيل السجلات الصحية الإلكترونية يغير كيفية استرجاع الأطباء للتاريخ والحساسيات والأدوية والمختبرات السابقة والتصوير وقوائم المشكلات وملاحظات الخروج ومدخلات الأخصائيين. تعطيل البوابة يغير كيفية تواصل المرضى مع مقدمي الرعاية وعرض النتائج. تعطيل نظام الهاتف يغير الجدولة والفرز الوارد وطلبات إعادة التعبئة والمتابعة. تعطيل نظام الطلبات يغير كيفية انتقال المختبرات والتصوير والأدوية والإجراءات من نية الطبيب إلى الإجراء المكتمل. تحويل سيارات الإسعاف يغير التوزيع الإقليمي لطاقة الطوارئ.
ذكرت وكالة أسوشيتد برس أن الهجوم أدى إلى تحويل سيارات الإسعاف وتأجيل الفحوصات وجعل سجلات المرضى غير متصلة بالإنترنت عبر نظام يشغل حوالي 140 مستشفى في 19 ولاية. كما ذكرت أن السجلات الإلكترونية وMyChart تأثرتا وأن الموظفين عادوا إلى السجلات الورقية اليدوية. (تقرير أسوشيتد برس عن تعطيل رعاية Ascension) يتوافق هذا التقرير مع تصريحات Ascension نفسها، لكن المصدر الرسمي يبقى صفحة الشركة لما أكدته Ascension.
الفرق بين مفتوح وعادي له عواقب على المرضى. المريض الذي يعاني من الألم لا يختبر إجراء التوقف كحدث تقني. إنه يختبر فترات انتظار أطول وأسئلة متكررة وعدم يقين بشأن ظهور السجلات القديمة وعدم يقين بشأن ما إذا كان طلب الفحص قد تحرك، وقلقًا من أن فريق الرعاية يعمل بدون السياق المعتاد. قد يحافظ الطبيب على سلامة الرعاية من خلال التدريب والحكم، لكن الهامش أضيق لأن نظام السجل لم يعد يقوم بعمله التنسيقي العادي.
لهذا السبب يجب أن تشمل كلمة "استمرارية" جودة الاستمرارية. يمكن للمستشفى أن يبقي أبوابه مفتوحة ومع ذلك يسأل ما إذا كانت مطابقة الأدوية قد تباطأت، وما إذا كان وقت إنجاز المختبر قد تغير، وما إذا كانت جدولة العمليات الجراحية قد تعطلت، وما إذا كانت عمليات الإدخال والتحويل قد أصبحت أصعب، وما إذا كان بإمكان المرضى بعد الخروج الحصول على الوصفات، وما إذا كان المرضى ذوو وسائل النقل المحدودة أو الكفاءة المحدودة في الإنجليزية واجهوا صعوبة أكبر في التنقل في الرعاية المعاد جدولتها. لا يجيب السجل العام على كل هذه الأسئلة، لكنه يثبت أنها كانت الأسئلة الصحيحة.
كانت إجراءات التوقف عن العمل هي عنصر التحكم الخفي في السلامة
قالت Ascension إن قوتها العاملة كانت مدربة على بروتوكولات وإجراءات التوقف المعمول بها. هذا البيان مهم لأن إجراءات التوقف ليست مجرد دليل احتياطي في خزانة. إنها عنصر تحكم في السلامة يجب أن يعمل بينما يكون الأطباء مرهقين والمرضى قلقين والهواتف مشغولة والمديرون ينتظرون حقائق تقنية غير مكتملة.
أثناء انقطاع السجلات الصحية الإلكترونية، يجب أن تحدد إجراءات التوقف كيف يوثق الأطباء، وكيف تُكتب الطلبات، وكيف يتم التحقق من الأدوية، وكيف تُفحص الحساسيات، وكيف تُوسم عينات المختبر، وكيف تُتابع طلبات التصوير، وكيف يتم التوفيق لاحقًا بين الملاحظات المكتوبة يدويًا، وكيف تتجنب فرق الرعاية تكرار المعلومات أو فقدانها. يجب أن يصبح السجل الذي تم إنشاؤه أثناء الانقطاع في النهاية جزءًا من السجل الطبي الدائم. الملاحظة الورقية التي لا تعود أبدًا إلى السجل ليست مجرد مشكلة أرشيف. يمكن أن تؤثر على الرعاية المستقبلية.
تُظهر تحديثات Ascension في 7 يونيو و11 يونيو سبب أهمية التوفيق. مع استعادة الوصول إلى السجلات الصحية الإلكترونية على دفعات، حذرت Ascension من أن السجلات الطبية والمعلومات الأخرى بين 8 مايو وتاريخ استعادة السجلات المحلية قد لا تكون متاحة أثناء تحميل المعلومات التي تم جمعها أثناء فترة التوقف. ووجهت المرضى إلى الاتصال بمكتب طبيبهم لمعرفة مدى توفر السجلات خلال تلك الفترة وحذرت من أن رسائل البوابة قد تواجه تأخيرًا طفيفًا. (صفحة حدث الأمن السيبراني لـ Ascension)
هذه جملة كاشفة بشكل غير معتاد. إنها تظهر أن التعافي لم يكن فقط حول إعادة الأطباء إلى السجلات الصحية الإلكترونية. كان أيضًا حول تحديث السجلات الصحية الإلكترونية بالرعاية التي تم تقديمها أثناء عدم توفرها. كان يجب جمع سجل فترة التوقف والتحقق منه وإدخاله أو تحميله وجعله قابلاً للبحث. حتى يحدث ذلك، كان تاريخ المريض لفترة الانقطاع جزئيًا خارج العرض الرقمي العادي.
لذلك فإن الاستعداد الجيد للتوقف له شقان. الشق الأول هو رعاية يدوية آمنة أثناء الانقطاع. الشق الثاني هو إعادة الدمج النظيفة بعد ذلك. الشق الثاني غالبًا ما يكون أقل وضوحًا لأن الجمهور يرى تسجيلات الدخول تعود ويفترض أن التعافي قد اكتمل. في الرعاية الصحية، هذا الافتراض خطير. يكتمل التعافي فقط عندما يعكس نظام السجل بدقة ما حدث أثناء الوضع المتدهور، وعندما يمكن للأطباء الوثوق بأن السجل المستعاد كامل بما فيه الكفاية للقرارات المستقبلية.
كانت استعادة السجلات الصحية الإلكترونية أولوية سريرية وليست مجرد إنجاز تقني
وصفت Ascension مرارًا استعادة السجلات الصحية الإلكترونية كأولوية قصوى للتعافي. في 29 مايو قالت إنه تمت استعادة الوصول إلى السجلات الصحية الإلكترونية في السوق الأول وكانت خطة متدرجة نشطة. في 4 يونيو قالت إن أسواق فلوريدا وألاباما وأوستن استعادت الوصول إلى السجلات الصحية الإلكترونية. في 5 يونيو أضافت تينيسي وماريلاند ووسط تكساس. في 7 يونيو أضافت أوكلاهوما وقالت إن الهدف كان استعادة السجلات الصحية الإلكترونية على مستوى الوزارة بحلول 14 يونيو. في 11 يونيو أدرجت فلوريدا وألاباما وتينيسي وماريلاند ووسط تكساس وأوكلاهوما وويسكونسن وإلينوي وكانساس وجزء من ميشيغان وجزء من إنديانا، بينما كانت لا تزال تعمل نحو الإكمال بحلول 14 يونيو. (صفحة حدث الأمن السيبراني لـ Ascension)
يجب قراءة تسلسل الاستعادة هذا كحوكمة سريرية. الوصول إلى السجلات الصحية الإلكترونية ليس مجرد راحة رقمية. إنه الذاكرة المشتركة لنظام الرعاية. استعادته أولاً هو بيان حول ما اعتبرته المنظمة الأكثر ضرورة للرعاية الآمنة. لكن الاستعادة المرحلية تخلق أيضًا أسئلة مساءلة. أي الأسواق استُعيدت أولاً ولماذا؟ هل استند التسلسل إلى الجاهزية التقنية، أم الحدة السريرية، أم حجم المرضى، أم القدرة البديلة الإقليمية، أم تبعيات النظام، أم الثقة الجنائية؟ كيف تم إخبار المرضى وخدمات الإسعاف عن حالة المواقع المحلية؟
يقدم السجل العام جزءًا فقط من الجواب. يظهر تسلسلاً متدرجًا وهدفًا. لا ينشر قواعد القرار وراء التسلسل. هذا مفهوم خلال حادثة حية. إنه أيضًا فجوة أدلة بعد الحادثة. يجب أن يكون النظام الصحي الوطني قادرًا على إظهار الجهات الرقابية وهيئات الحوكمة الداخلية لماذا تطابق ترتيب الاستعادة مع المخاطر السريرية.
تظهر لغة الاستعادة أيضًا التوتر بين السرعة والسلامة. قالت Ascension مرارًا إنه سيتم استعادة الأنظمة بأمان وحماية، بعد التحقق والفحص. هذا هو المعيار الصحيح. إعادة توصيل نظام لم يتم التحقق منه لأن المستشفى يحتاجه يمكن أن يجعل الهجوم أسوأ. الانتظار لفترة طويلة يمكن أن يطيل التعطيل السريري. القرار المسؤول يقع بين هذه الضغوط.
بالنسبة للأحداث المستقبلية، ستكون الممارسة العامة الأقوى هي مصفوفة استعادة سريرية. لن تحتاج إلى كشف مخططات الشبكة. يمكن أن تحدد حالات الخدمة: السجلات الصحية الإلكترونية غير متاحة، السجلات الصحية الإلكترونية للقراءة فقط، السجلات الصحية الإلكترونية مستعادة للتوثيق الجديد، سجلات فترة التوقف بانتظار التحميل، البوابة متاحة، نقل الصيدلة مستعاد، طلب الفحوصات مستعاد، أنظمة الهاتف مستعادة، اتصالات الشركاء موثقة. يحتاج المرضى والأطباء إلى حالة الخدمة، وليس قاعدة جدار الحماية.
كانت استمرارية الصيدلة اختبارًا عمليًا للرعاية
كان الوصول إلى الأدوية أحد أوضح الأمثلة على كيفية مغادرة الفدية لمركز البيانات ودخول الحياة اليومية. طلبت Ascension من المرضى إحضار زجاجات الوصفات وأرقام الوصفات وقوائم الأدوية حتى تتمكن فرق الرعاية من الاتصال بالصيدليات لتلبية احتياجات الأدوية. لاحقًا، قالت Ascension إن صيدليات Ascension Rx للتجزئة والتوصيل المنزلي والتخصصية كانت مفتوحة وقادرة على تلبية احتياجات الوصفات، وأن مقدمي الرعاية الصحية يمكنهم إرسال الوصفات إلكترونيًا إلى صيدليات Ascension Rx. (صفحة حدث الأمن السيبراني لـ Ascension)
هذا التسلسل مهم لأن استمرارية الصيدلة ليست اختيارية. بالنسبة للأدوية المزمنة، يمكن أن يؤدي التأخير إلى عواقب صحية. بالنسبة للمضادات الحيوية ومضادات التخثر والأنسولين وأدوية الصرع وأدوية زرع الأعضاء والأدوية النفسية أو التحكم في الألم بعد إجراء، يمكن أن يصبح احتكاك سير العمل خطرًا سريريًا. يمكن لفريق الرعاية الاتصال بصيدلية يدويًا، لكن المسار اليدوي يتطلب معرفة دوائية حديثة وهوية مريض صحيحة وجرعات واضحة ومعالجة تأمينية أو دفع وتحقق صيدلي وطريقة لتوثيق ما تم القيام به.
ذكرت "سبكتروم نيوز" من ويسكونسن عن صيدليات محلية تتعامل مع هجوم Ascension الإلكتروني والحاجة إلى إبقاء المرضى على أدويتهم المزمنة. (تقرير سبكتروم نيوز عن الصيدليات) هذا المنظور المحلي مفيد لأن تعطيل الصيدلة غالبًا ما يكون متفرقًا. لا يظهر دائمًا كفشل درامي في المستشفى. يظهر كمريض وصيدلي وطبيب واصف يحاولون إعادة بناء معلومات كافية للحفاظ على استمرار العلاج.
لذلك يجب التعامل مع التخطيط لتوقف الأدوية كعنصر تحكم في سلامة المرضى. يجب أن تحدد الخطة قوائم الأدوية التي يمكن الوصول إليها دون اتصال، وكيفية فحص الحساسيات، وكيفية معالجة سير عمل المواد الخاضعة للرقابة، وكيفية تفويض إعادة التعبئة، وكيفية تحديد أولويات احتياجات الأدوية العاجلة، وكيفية التوفيق بين الوصفات اليدوية والسجلات الصحية الإلكترونية بعد الاستعادة. يجب أن تحدد أيضًا ما يُقال للمرضى. مطالبة المرضى بإحضار زجاجات الأدوية أمر منطقي، لكنه أيضًا ينقل العمل إلى أشخاص قد يكونون مرضى أو مسنين أو خائفين أو ذوي دخل منخفض أو بدون وسيلة نقل أو بدون وصفات منظمة بدقة.
يُظهر السجل العام أن Ascension أدركت مشكلة الصيدلة. سؤال المساءلة المتبقي هو مدى اتساق أداء هذه الحلول البديلة عبر الولايات ومواقع الرعاية.
كانت إعادة ربط الشركاء سطح مخاطر بحد ذاتها
حددت تحديثات Ascension في 21 و24 مايو مشكلة تعافي أخرى غير مقدّرة: كان على الشركاء والموردين إعادة الاتصال بالشبكة. قالت Ascension إنها بدأت نقاط اتصال منتظمة مع الشركاء والموردين الحرجين لتقديم معلومات للمساعدة في استعادة اتصالهم بشبكة Ascension. في 24 مايو، قالت إن العديد من الموردين والشركاء قد بدأوا في إعادة الاتصال واستئناف الخدمات، مما يجب أن يسرع التعافي. (صفحة حدث الأمن السيبراني لـ Ascension)
إعادة ربط الشركاء ليست تفصيلاً جدولياً. إنها قرار أمني واستمراري. تعتمد المستشفيات على المختبرات وموردي التصوير والصيدليات وشركاء دورة الإيرادات وموردي الأجهزة والأنظمة السحابية ومقدمي الخدمات التخصصية وشركاء الإسعاف وأنظمة التوظيف والموردين ومنظمات الدعم. قد تتطلب استجابة الفدية فصل أو تقييد هذه الروابط. ثم يتطلب التعافي تحديد أي الروابط آمنة للاستعادة، وبأي ترتيب، وتحت أي مراقبة، وبأي دليل من كل جانب.
هذا حيث تلتقي استمرارية القطاع العام ومحلية البيانات. بيانات الرعاية الصحية ليست محفوظة في مكان واحد مرتب. إنها تتدفق عبر الأنظمة السريرية وخوادم الملفات وبوابات المرضى وسير عمل الفوترة وواجهات المختبر ومسارات الصيدلة وقنوات التأمين وبيئات الموردين. قالت Ascension لاحقًا إن المهاجمين أخذوا ملفات من سبعة من حوالي 25000 خادم، تستخدم بشكل أساسي من قبل الموظفين للمهام اليومية والروتينية، وأن بعض الملفات قد تحتوي على معلومات صحية محمية ومعلومات تعريف شخصية. كما قالت إنه لا يوجد دليل على أن البيانات أُخذت من السجلات الصحية الإلكترونية والأنظمة السريرية الأخرى. (صفحة حدث الأمن السيبراني لـ Ascension)
ترسم هذه التصريحات حدًا مفيدًا، لكنها تبرز أيضًا لماذا محلية الوصول أهم من المحلية الفيزيائية. يمكن أن يكون السجل محفوظًا قانونيًا من قبل نظام صحي غير ربحي أمريكي ومع ذلك يصبح مكشوفًا إذا كان يمكن الوصول إليه من خلال سير عمل مخترق أو خادم ملفات روتيني أو مسار شريك. سيادة البيانات في الرعاية الصحية ليست فقط مكان وجود البيانات؛ إنها من يمكنه لمسها ونسخها ونقلها وتصديرها وعرضها أو إعادة الاتصال بها بعد الخرق.
الدليل بعد الحادثة المهم إذن ليس فقط "الأنظمة المستعادة". إنه "الاتصالات المستعادة مع التحقق". يجب أن يكون النظام الصحي قادرًا على إظهار أن إعادة ربط الشركاء لم تعيد إدخال بيانات اعتماد مخترقة أو علاقات ثقة قديمة أو وصول عن بعد غير مراجع أو مسارات بيانات غير مراقبة.
خرق البيانات لم يكن هو نفسه الانقطاع السريري
أكمل تحديث Ascension في 19 ديسمبر جزءًا مختلفًا من السجل. بعد العمل مع خبراء خارجيين لمراجعة البيانات المحتمل تأثرها، قالت Ascension إنها ستبدأ في إخطار الأفراد الذين تأثرت معلوماتهم الشخصية وتقدم خدمات مراقبة ائتمانية وحماية هوية مجانية. قالت إن المعلومات يمكن أن تشمل معلومات طبية مثل رقم السجل الطبي وتاريخ الخدمة وأنواع الفحوصات المختبرية أو رموز الإجراءات؛ ومعلومات الدفع؛ ومعلومات التأمين؛ وتحديد الهوية الحكومية؛ ومعلومات شخصية أخرى مثل تاريخ الميلاد أو العنوان. (صفحة حدث الأمن السيبراني لـ Ascension)
لا ينبغي دمج سجل البيانات هذا مع سجل استمرارية الرعاية. وقع الانقطاع في مايو ويونيو. تطور إشعار البيانات على مدى أشهر، بعد مراجعة الملفات. كلاهما عواقب نفس الهجوم، لكنهما يخلقان واجبات مختلفة. يتطلب الانقطاع السريري رعاية احتياطية فورية وقرارات تحويل وفحوصات سلامة وتواصل مع المرضى واستعادة. يتطلب خرق البيانات تحليلًا للسكان ورسم خرائط للحقول وإخطارًا قانونيًا ودعمًا للهوية وتقارير للجهات الرقابية ويقظة طويلة الأجل ضد الاحتيال.
تشرح صفحة قاعدة إشعار الخرق لـ HHS إطار الإشعار الفيدرالي للمعلومات الصحية المحمية غير المؤمنة، بما في ذلك التزامات التوقيت للانتهاكات التي تؤثر على 500 فرد أو أكثر. (قاعدة HHS لإشعار الخرق) تنشر HHS أيضًا إرشادات حول تقديم الإشعار إلى السكرتير. (صفحة HHS للإبلاغ عن الخرق) تدرج بوابة الخرق العامة لـ OCR تقارير الخرق الكبيرة قيد التحقيق. (بوابة خرق HHS OCR)
الحد في بيان Ascension مهم: تأثرت بيانات المرضى، لكن Ascension قالت إنه لا يزال لا يوجد دليل على أن البيانات أُخذت من السجلات الصحية الإلكترونية والأنظمة السريرية الأخرى حيث تُخزن سجلات المرضى الكاملة. هذا تطمين ذو مغزى، وليس محوًا كاملاً للضرر. يمكن أن يكون تاريخ الخدمة ونوع الفحص المخبري ورمز الإجراء ورقم التأمين أو معرف الحكومة حساسًا. حقيقة أن سجلات السجلات الصحية الإلكترونية الكاملة لم يُظهر أنها أُخذت، بحسب سجل Ascension العام، لا تجعل بيانات خادم الملفات الروتينية غير ضارة.
كما أنها لا تثبت أن كل شخص متأثر تعرض لنفس الخطر. قالت Ascension إن البيانات تباينت حسب الفرد ولا يمكن تأكيدها لكل فرد في البيان العام العام. يجب أن يعطي سجل الإخطار الجيد لكل شخص أكثر فئات الحقول المتاحة تحديدًا وخطوات الدعم. لا ينبغي أنظمة صحية كبيرة أن تعتمد على قائمة عامة واحدة عندما يختلف الخطر الفردي حسب نوع البيانات.
يُظهر الإبلاغ على مستوى الولاية والتجارة كيف تحول سجل الخصوصية إلى سجل حماية المستهلك. شجعت المدعية العامة في ميشيغان دانا نيسيل مرضى وعاملي Ascension على النظر في مراقبة الائتمان المجانية بعد أن حذرت Ascension من أن بعض المعلومات الشخصية قد تكون تأثرت. (إشعار المدعي العام في ميشيغان) ذكرت Healthcare Dive لاحقًا أن حجم الخرق الفيدرالي كان 5.6 مليون شخص في سياق الإبلاغ العام عن الخرق. (تقرير Healthcare Dive عن الخرق) هذه المصادر لا تحل محل إشعار Ascension أو بوابة HHS، لكنها تظهر أن عواقب الخصوصية للحادثة بقيت نشطة بعد الاستعادة السريرية.
تفسير الملف الخبيث ليس نهاية المساءلة
في 12 يونيو، قالت Ascension إنها حددت كيف حصل المهاجم على الوصول: قام فرد يعمل في إحدى منشآتها عن طريق الخطأ بتنزيل ملف خبيث اعتقد أنه شرعي. وقالت Ascension إنه لا يوجد لديها سبب للاعتقاد بأن هذا كان سوى خطأ غير مقصود. (صفحة حدث الأمن السيبراني لـ Ascension)
هذه حقيقة مفيدة، لكن يجب ألا تصبح نهاية مريحة. يجب أن يفترض الأمن الحديث أن بعض الموظفين سينقرون. عناصر التحكم المسؤولة هي ما يحدث قبل وبعد النقر: أمن البريد الإلكتروني، وعزل المتصفح، وتفجير المرفقات، واكتشاف نقطة النهاية، وأقل امتياز، والتحكم في التطبيقات، والتجزئة، واكتشاف الحركة الجانبية، وضوابط الوصول إلى خادم الملفات، وعزل النسخ الاحتياطي، والاستجابة للحوادث، وجاهزية التوقف السريري.
تنص صفحة قاعدة الأمن لـ HHS على معيار القاعدة بعبارات عامة: الضمانات الإدارية والمادية والتقنية مطلوبة لحماية سرية وسلامة وتوافر المعلومات الصحية المحمية الإلكترونية. (قاعدة أمن HHS) تحتفظ HHS أيضًا بمواد إرشادية للأمن السيبراني للكيانات المشمولة بقانون HIPAA والشركاء التجاريين. (مواد إرشاد الأمن السيبراني لـ HHS) يشدد دليل StopRansomware لـ CISA على الاستعداد والوقاية وتخطيط الاستجابة والنسخ الاحتياطي والاتصالات. (دليل CISA لمكافحة الفدية)
لا يعد أي من هذه المصادر العامة اكتشافًا بأن Ascension انتهكت قاعدة. إنها تحدد فئات الضوابط المهمة. مبدأ المساءلة الأساسي هو أنه لا ينبغي السماح لتنزيل عرضي واحد بأن يصبح تعطيلًا سريريًا على مستوى النظام إذا كانت الطبقات المعقولة يمكن أن تقيد نطاق الانفجار. إذا أصبح على مستوى النظام، يجب أن تكون المنظمة قادرة على تفسير السبب، وما الذي فشل، وما الذي نجح، وما الذي تغير.
لغة "الخطأ غير المقصود" إنسانية. إنها تتجنب توجيه اللوم إلى عامل فردي. لكن يجب أن تقترن اللغة الإنسانية بالتعلم التنظيمي. إلقاء اللوم على عامل هو مساءلة ضعيفة. معاملة فعل العامل كإشارة واحدة في نظام تحكم أكبر هو الأقوى.
التعافي المالي لم يقس عبء المريض
تظهر الإفصاحات المالية لـ Ascension أن الحدث كان له عواقب تشغيلية تتجاوز صفحة الحادثة. في سبتمبر 2024، قالت Ascension إن عمليات مايو ويونيو تأثرت بحادثة الأمن السيبراني، مما أدى إلى انخفاض الإيرادات من انقطاع الأعمال وتكاليف معالجة المشكلات ونفقات الأعمال الأخرى. كما قالت إن الميزانية العمومية ومستويات السيولة ظلت قوية، مع سيولة كافية للاستمرار في تقديم الرعاية. (النتائج المالية للربع الرابع من السنة المالية 2024 لـ Ascension)
في فبراير 2025، قالت Ascension إن عمليات الربع الرابع من السنة المالية 2024 تأثرت بهجوم مايو الإلكتروني، لكن تعافي حجم الأعمال للسنة المالية 2025 استمر، وتحسن حجم المرضى بنفس المنشأة بنحو 5 إلى 6 في المائة منذ الحدث الإلكتروني، مع عودة مؤشرات الأداء الرئيسية التشغيلية إلى الحالة الطبيعية للعمليات. (النتائج المالية للربع الثاني من السنة المالية 2025 لـ Ascension)
هذه البيانات مفيدة لمرونة المنظمة، لكنها ليست حسابًا كاملاً لضرر المريض. يمكن أن يتعايش تعافي الإيرادات وتعافي الحجم مع المواعيد المتأخرة وإحباط المريض وضغط الصيدلة والعمل الإضافي للأطباء والتحويل المحلي وتكرار أخذ التاريخ والتوثيق اليدوي وفقدان الثقة. يمكن للنظام أن يتعافى ماليًا بينما لا يزال بعض المرضى يتذكرون اليوم الذي كانت فيه سجلاتهم غير متاحة.
سيكون سجل المساءلة أقوى إذا فصل التقرير بعد الحادثة على الأقل أربعة مقاييس للتعافي. أولاً، الاستعادة التقنية: أي الأنظمة كانت نظيفة ومتاحة. ثانيًا، الاستعادة السريرية: أي وظائف الرعاية عادت إلى سير العمل العادي. ثالثًا، استعادة السجلات: كيف تم التوفيق بين توثيق فترة التوقف. رابعًا، دعم المرضى: ما التأخيرات والتحويلات وإعادة الجدولة وإشعارات البيانات التي تطلبت متابعة.
تُظهر الصفحات المالية لـ Ascension منظمة كبيرة تستوعب الحدث. لا تُظهر التوزيع الكامل للإزعاج والمخاطر عبر المرضى والأطباء والصيدليات وخدمات الإسعاف والمجتمعات المحلية. هذا ليس عيبًا خاصًا بـ Ascension. إنها مشكلة أوسع في الإبلاغ عن الحوادث الإلكترونية: الميزانيات العمومية أسهل في التلخيص من احتكاك الرعاية.
تعامل القطاع مع فدية المستشفيات كوظيفة عامة
قالت Ascension إنها أبلغت سلطات تنفيذ القانون والشركاء الحكوميين بما في ذلك FBI وCISA وHHS وجمعية المستشفيات الأمريكية، وشاركت معلومات التهديد ذات الصلة مع H-ISAC حتى يتمكن الشركاء الصناعيون والأقران من حماية أنفسهم. (صفحة حدث الأمن السيبراني لـ Ascension) هذا الإطار متعدد الوكالات مهم لأن حدث فدية المستشفى ليس مجرد مسألة خاصة بين ضحية ومهاجم.
المستشفيات جزء من طاقة الطوارئ الإقليمية. عندما تدخل عدة مستشفيات في إجراءات التوقف أو التحويل، تشعر المستشفيات المحيطة ووكالات خدمات الطوارئ الطبية وسلطات الصحة العامة والمرضى بالتحول. هذه استمرارية القطاع العام في الممارسة. الحكومة لا تدير السجلات الصحية الإلكترونية لـ Ascension، لكن الحكومة لها مصلحة في ما إذا كانت رعاية الطوارئ والتحذيرات العامة وتنفيذ القانون والاستخبارات حول التهديدات ورقابة HIPAA تظل وظيفية عندما يتعطل نظام صحي كبير.
العمل الأمني السيبراني لجمعية المستشفيات الأمريكية صاغ مرارًا فدية ضد المستشفيات كقضية سلامة المرضى. تسلط صفحتها للأمن السيبراني الضوء على جاهزية المرونة الإلكترونية للمستشفيات والأنظمة الصحية. (مركز موارد الأمن السيبراني لـ AHA) كما لخصت AHA مناقشة مجلس الأمن التابع للأمم المتحدة التي شارك فيها رئيس Ascension بأن هجوم مايو عطل العمليات عبر مستشفيات Ascension، وشفر آلاف أنظمة الحاسوب وجعل السجلات الصحية الإلكترونية غير قابلة للوصول. (ملخص AHA لمناقشة الأمم المتحدة حول الفدية)
يجب استخدام مصادر القطاع هذه بحذر. لا تحل محل تسلسل Ascension الزمني للحادثة. إنها تظهر أن مرونة المستشفيات الإلكترونية هي الآن جزء من محادثة الأمن القومي والصحة العامة وإدارة الطوارئ. كلما زادت رقمنة الرعاية الصحية، قل مصداقية معاملة الفدية كمسألة تقنية خلفية.
كان لدى المرضى سيطرة ضيقة وتعرض مرتفع
تعليمات Ascension للمرضى كانت عملية: أحضروا الأعراض وقوائم الأدوية وأرقام الوصفات أو الزجاجات؛ تابعوا التحديثات؛ استخدموا مراقبة الائتمان إذا كنتم قلقين؛ اتصلوا بمكاتب الأطباء للاستعلام عن توفر السجلات خلال فترة التوقف؛ اتصلوا بـ 911 في حالات الطوارئ. هذه الخطوات ساعدت الناس على التنقل في وضع صعب. إنها تظهر أيضًا عدم التوازن.
يمكن للمرضى إحضار الزجاجات. لا يمكنهم استعادة السجلات الصحية الإلكترونية. يمكنهم تكرار تاريخهم الطبي. لا يمكنهم معرفة ما إذا كانت ملاحظة سابقة ظاهرة. يمكنهم قبول إعادة الجدولة. لا يمكنهم اختيار ترتيب الاستعادة. يمكنهم التسجيل في مراقبة الائتمان. لا يمكنهم إلغاء كشف رمز إجراء أو رقم تأمين أو تاريخ خدمة. يمكنهم أن يكونوا يقظين ضد الاحتيال. لا يمكنهم معرفة كل الأماكن التي قد تُنسخ فيها بياناتهم.
هذا الخلل هو السبب في أن لغة اليقظة يجب ألا تحل أبدًا محل المساءلة التنظيمية. من المناسب إخبار المرضى بما يجب فعله. من غير الكافي أن نوحي بأن عمل المريض يمكن أن يعوض عن الضوابط المفقودة. في الرعاية الصحية، الشخص الأكثر تعرضًا للضرر اللاحق هو غالبًا الشخص ذو القوة التشغيلية الأقل.
بعد الضعف مهم بشكل خاص لأن مهمة Ascension تؤكد على رعاية الفقراء والضعفاء، وتصف مواردها الإعلامية نظامًا كبيرًا بزيارات غرفة الطوارئ والولادات والجراحات والتخريجات وبرامج المنفعة المجتمعية. (موارد Ascension الإعلامية) انقطاع الفدية لا يقع بالتساوي. المرضى بدون وسيلة نقل، أو بدون إجازة مدفوعة، أو بأمراض مزمنة، أو بسكن غير مستقر، أو بحواجز لغوية، أو باحتياجات صحة نفسية، أو بأنظمة أدوية معقدة لديهم مساحة أقل للاحتكاك.
لذلك يجب أن تقيس خطة الاستمرارية المسؤولة العبء الملقى على المرضى. كم عدد المواعيد التي عُلقت أو أعيد جدولتها؟ كم عدد المرضى الذين احتاجوا دعمًا بديلاً للأدوية؟ أي اللغات استخدمت في الإشعارات؟ كيف تم الوصول إلى المرضى بدون إنترنت أو هاتف موثوق؟ كيف تم تنسيق حالات تحويل الطوارئ مع خدمات الطوارئ المحلية؟ كيف تم التوفيق بين توثيق فترة التوقف للمرضى الذين احتاجوا رعاية مستمرة؟ هذه الأسئلة تحدد المساءلة بجانب السرير أفضل من تاريخ استعادة واحد.
كانت سيادة البيانات حول القابلية للوصول
موضوع "سيادة البيانات والمحلية" ليس سؤالاً ضيقًا حول مكان وجود الخوادم ماديًا. تُظهر حالة Ascension سؤال الرعاية الصحية الأكثر صلة: أي البيانات كانت قابلة للوصول من خلال أي مسارات وصول أثناء العمل العادي؟
قالت Ascension إن المهاجمين أخذوا ملفات من سبعة من حوالي 25000 خادم تستخدم بشكل أساسي من قبل الموظفين للمهام اليومية والروتينية. كما قالت إن تلك الملفات يمكن أن تشمل معلومات صحية محمية ومعلومات تعريف شخصية. هذا المزيج كاشف. يمكن أن تعيش البيانات الحساسة في مساحات العمل الروتينية والصادرات والمرفقات والمجلدات المشتركة وطوابير العمل وملفات التقارير والوثائق الممسوحة ضوئيًا والمخازن التشغيلية المؤقتة. قد تكون السجلات الصحية الإلكترونية هي سجل المريض الكامل، لكنها ليست المكان الوحيد الذي تظهر فيه معلومات المريض.
تصف صفحة Ascension One الحالية تجربة رقمية للمريض لدفع الفواتير وعرض نتائج الفحوصات والمختبرات والبقاء على اتصال مع الأطباء وجدولة وإدارة مواعيد الأسرة. (Ascension One) لغة المنتج العامة هذه ليست مصدرًا للحادثة. إنها تساعد القراء على فهم التوقع العادي: المرضى والأطباء الآن يختبرون الرعاية من خلال حسابات وبوابات وسجلات وسير عمل متصلة. عندما تعطل استجابة الفدية أجزاء من هذا النظام البيئي، تصبح المحلية وظيفية. البيانات والرعاية محلية للنظام الذي يمكنه الوصول إليها في اللحظة التي تكون مطلوبة فيها.
تتبع أسئلة تقليل البيانات وحوكمة الوصول. لماذا كانت خوادم الملفات الروتينية تحتفظ بالحقول التي احتفظت بها؟ هل كانت الصادرات الحساسة محدودة الوقت؟ هل كانت الملفات مصنفة ومراقبة؟ هل كانت خوادم الموظفين الروتينية مجزأة عن الأنظمة السريرية؟ هل كانت الملفات المنزلة مقيدة بضوابط نقطة النهاية؟ هل تم أرشفة أو حذف الملفات الروتينية القديمة؟ هل كانت مسارات وصول الشريك ضيقة بما فيه الكفاية؟ السجل العام لا يجيب على هذه الأسئلة؛ إنه يجعلها ضرورية.
الدرس الصحيح ليس أن أنظمة السجلات الصحية الإلكترونية يجب ألا تتصل أبدًا بأنظمة أخرى. لا يمكن للرعاية الصحية أن تعمل بهذه الطريقة. الدرس هو أن كل نسخة ثانوية من بيانات المريض تصبح جزءًا من نطاق الانفجار السريري والخصوصي.
كيف سيكون شكل الدليل الأفضل
يجب أن يجيب سجل عام ناضج بعد الحادثة لنظام صحي على عدة أسئلة دون نشر تفاصيل أمنية حساسة.
أولاً، يجب أن يقدم جدولاً زمنيًا لحالة الخدمة. يجب أن يحدد متى تغير الوصول إلى السجلات الصحية الإلكترونية والبوابات والهواتف وطلب الأدوية والمختبرات وجدولة الإجراءات ونقل الصيدلة وأنظمة الفوترة واتصالات الشركاء وحالة التحويل الإقليمي. قدمت صفحة حدث Ascension العديد من التحديثات، لكن الجدول الزمني الموحد سيجعل السجل أسهل في التدقيق.
ثانيًا، يجب أن يقدم حسابًا للتوقف السريري. يجب أن يشرح ذلك الحساب أي إجراءات توقف تم تفعيلها، وكيف تم دعم الموظفين، وكيف تم التوفيق بين التوثيق اليدوي، وكيف تم الحفاظ على فحوصات سلامة الأدوية والمختبر، وما إذا كانت قد حدثت أي مراجعات سلامة خاصة بالحادثة. يجب ألا يكشف أحداثًا خاصة بالمريض، لكن يجب أن يُظهر نظام التحكم.
ثالثًا، يجب أن يقدم خريطة بيانات حسب الفئة. أدرج إشعار ديسمبر من Ascension فئات محتملة، لكن المعيار الأقوى هو الإخطار على مستوى الحقل حيثما أمكن: رقم السجل الطبي وتاريخ الخدمة ورمز الإجراء ونوع الفحص المخبري ومعرف التأمين وحقل الدفع ومعرف الحكومة والعنوان وتاريخ الميلاد وبيانات الموظف يجب ألا تُدمج إذا كان يمكن إخبار كل شخص بشكل أكثر تحديدًا.
رابعًا، يجب أن يشرح مسار الوصول والاحتواء على مستوى عالٍ. تفسير الملف الخبيث مفيد. سيضيف السجل الكامل الضوابط التنظيمية التي تغيرت بعد ذلك، مثل تصفية البريد الإلكتروني وسياسة نقطة النهاية ومراجعة الوصول إلى خادم الملفات والتجزئة والتسجيل وعزل النسخ الاحتياطي وضوابط الوصول المميز، دون إعطاء المهاجمين دليل لعب.
خامسًا، يجب أن ينشر مقاييس مجمعة لتأثير المريض: تعليق المواعيد وإعادة الجدولة ومدة التحويل حسب المنطقة وحجم العمل البديل للصيدلة وتراكم البوابة ونشاط خط الدعم. يمكن أن يكون الإفصاح العام حافظًا للخصوصية ومع ذلك ذا مغزى.
أخيرًا، يجب أن يوضح القضايا غير المحلولة. إذا كانت الدعاوى القضائية أو مراجعة الهيئات التنظيمية أو المخاطر الأمنية تحد من التفاصيل، فليقل ذلك. يمكن للمرضى التعامل مع عدم اليقين بشكل أفضل عندما تُحدد الحدود.
الدرس هو مرونة بجانب السرير
كانت Ascension ضحية جريمة. يجب أن تقال هذه الحقيقة بوضوح. تسبب ممثلون إجراميون في هجوم الفدية. لدى تنفيذ القانون والوكالات الإلكترونية الدور العام في التحقيق والاستخبارات والردع. لا ينبغي أن يُتوقع من أي مستشفى هزيمة كل محاولة خبيثة بدون حادثة.
لكن مساءلة الرعاية الصحية لا تتوقف عند كونها ضحية. يتحكم النظام الصحي في البنية والتدريب وإجراءات التوقف واعتماديات الشركاء ومخازن البيانات وتسلسل الاستعادة واتصالات المرضى التي تحدد ما إذا كانت الفدية تصبح انقطاعًا يمكن إدارته أو تعطيلًا بجانب السرير. يُظهر سجل Ascension العام كلاً من المرونة والضغط: بقيت المستشفيات مفتوحة، واستمر الأطباء في تقديم الرعاية، وتم إعطاء الأولوية لاستعادة السجلات الصحية الإلكترونية، وعادت الصيدليات على الإنترنت، وتمت استعادة الأنظمة في النهاية، وأُرسلت الإشعارات. كما يُظهر تحويل الطوارئ والرعاية المعلقة وفقدان الوصول العادي للسجلات وتأخر اكتمال البوابة وأشهر من تحليل البيانات وتأثير مالي كبير.
الدرس الدائم هو أن التعافي من الفدية في الرعاية الصحية هو تخصص سريري. إنه ينتمي إلى إشراف مجلس الإدارة وعمليات التمريض وقيادة الصيدلة وإدارة الطوارئ وتخطيط دورة الإيرادات والامتثال للخصوصية وحوكمة الموردين واتصالات المرضى، وليس فقط في عمليات الأمن. السجل جزء من الرعاية. نظام الطلب جزء من الرعاية. البوابة جزء من الرعاية. حزمة التوقف جزء من الرعاية. عندما تفشل هذه الأنظمة، تُقاس المساءلة بمدى أمان استمرار المنظمة في علاج الناس مع إثبات أن الأساس الرقمي يمكن الوثوق به مرة أخرى.

