Resumo
- Evento confirmado:A Ascension detectou uma atividade incomum em 8 de maio de 2024, posteriormente descreveu o evento como um ataque ransomware e indicou que as operações clínicas foram interrompidas enquanto os hospitais e instalações permaneciam abertos seguindo procedimentos de contingência. Sua página pública de incidentes posteriormente declarou que todos os sistemas afetados, funções clínicas e acesso ao prontuário eletrônico foram restaurados. (Página de incidente de segurança cibernética da Ascension)
- Impacto na continuidade dos cuidados:A atualização da Ascension em 9 de maio indicou que os prontuários médicos eletrônicos, MyChart, alguns sistemas telefônicos e os sistemas usados para solicitar exames, procedimentos e medicamentos estavam indisponíveis. Alguns procedimentos eletivos não urgentes, exames e consultas foram temporariamente suspensos, e vários hospitais estavam em desvio para serviços de emergência. (Atualização da Ascension sobre interrupção de rede)
- Registro de violação de dados:Em 19 de dezembro de 2024, a Ascension declarou que uma revisão de dados revelou que informações pessoais de alguns pacientes atuais e antigos, residentes de residências para idosos e funcionários foram afetadas. Ela indicou que os tipos de dados variavam e podiam incluir informações médicas, de pagamento, de seguro, de identificação governamental e outras informações pessoais, afirmando não ter evidências de que dados foram extraídos do prontuário eletrônico ou de outros sistemas clínicos. O portal de violações do OCR do HHS é a lista federal pública de relatos de violações HIPAA de grande porte. (Portal de violações HHS OCR)
- Mapeamento de responsabilidades:Atores criminosos causaram o evento malicioso. A Ascension controlava o acesso à rede, o isolamento dos sistemas clínicos, o treinamento em procedimentos de contingência, a sequência de recuperação, a reconexão de parceiros, a comunicação com pacientes, a revisão de dados e o suporte. As agências públicas controlavam a aplicação da lei, a inteligência cibernética, a supervisão de violações HIPAA e as diretrizes setoriais. Pacientes e clínicos controlavam apenas etapas de retorno limitadas e estressantes quando a falha do sistema chegava ao leito do paciente.
O ransomware chegou ao leito por meio dos fluxos de trabalho
O incidente da Ascension é fácil de minimizar se descrito apenas como um ataque ransomware contra um hospital. Uma descrição melhor é a de um teste de continuidade em todo o sistema dentro de uma rede de cuidados. O ransomware não precisou tocar em um ventilador nem alterar uma prescrição para afetar os cuidados. Bastou remover o acesso comum aos registros compartilhados, canais de solicitação, portais de pacientes, telefones, circuitos farmacêuticos e sistemas administrativos que os clínicos usam para transformar a história de um paciente em tratamento.
O primeiro comunicado público da Ascension em 9 de maio de 2024 indicava ter detectado uma atividade incomum em alguns sistemas de rede tecnológica na quarta-feira, 8 de maio, e acreditava que era devido a um incidente de segurança cibernética. Dizia que o acesso a alguns sistemas havia sido interrompido, que as operações clínicas estavam perturbadas e que as equipes de atendimento haviam implementado procedimentos aprendidos para manter a segurança e a continuidade dos cuidados com impacto mínimo. A Ascension também afirmou ter contratado a Mandiant, informado as autoridades competentes e conduzido uma investigação sobre as informações eventualmente afetadas. (Aviso da Ascension em 9 de maio)
A página de incidente posterior é mais direta. Indica que em 8 de maio, a Ascension sofreu um ataque ransomware e que, desde então, todos os sistemas afetados, funções clínicas e acesso ao prontuário eletrônico foram restaurados. Essa formulação posterior é importante porque transforma o evento de incidente de segurança cibernética suspeito para ataque ransomware confirmado, ao mesmo tempo que define o ponto de recuperação reivindicado pela empresa. (Página de incidente de segurança cibernética da Ascension)
O problema de continuidade começou na lacuna entre esses dois estados: após a interrupção dos sistemas e antes que a restauração completa pudesse ser considerada confiável. Durante esse intervalo, os hospitais e instalações da Ascension permaneceram abertos, mas "abertos" não significava "normais". Um hospital pode permanecer aberto enquanto o prontuário está inacessível, as solicitações precisam ser encaminhadas manualmente, as prescrições requerem verificações extras, as mensagens do portal se acumulam, a equipe usa papel e os serviços de emergência são desviados de alguns locais para garantir a segurança da triagem.
Isso não é um simples inconveniente de comunicação. É um modo diferente de funcionamento.
O registro público também deve evitar sensacionalismo. A Ascension não disse que todos os cuidados cessaram. Afirmou o contrário: os cuidados continuaram conforme protocolos de contingência. A questão de responsabilidade não é o colapso. É o modo degradado de cuidados. O sistema de saúde tinha procedimentos de contingência realistas? A equipe tinha treinamento e suprimentos suficientes? Os hospitais regionais receberam informações claras sobre seu status? As ambulâncias sabiam para onde ir? As farmácias conseguiam dispensar medicamentos crônicos? As solicitações de laboratório e imagem podiam ser rastreadas sem o sistema habitual?
A empresa conseguia restaurar os sistemas sem reconectar uma infraestrutura perigosa? Essas perguntas são operacionais, não retóricas.
"Aberto" não era sinônimo de cuidados normais
A atualização da Ascension em 9 de maio às 17h30 nomeou vários sistemas indisponíveis: prontuários médicos eletrônicos, MyChart, alguns sistemas telefônicos e vários sistemas usados para solicitar certos exames, procedimentos e medicamentos. Solicitou aos pacientes que trouxessem suas anotações de consultas, listas de medicamentos, números de receitas ou frascos de medicamentos para que as equipes de atendimento pudessem transmitir as necessidades de medicamentos às farmácias por telefone. Indicou que procedimentos eletivos não urgentes, exames e consultas foram temporariamente suspensos em alguns casos e relatou que vários hospitais estavam em desvio para serviços de emergência devido aos procedimentos de contingência. (Página de incidente de segurança cibernética da Ascension)
Essa lista está no centro do registro. A indisponibilidade do prontuário eletrônico altera a forma como os clínicos recuperam históricos, alergias, medicamentos, exames anteriores, imagens, lista de problemas, notas de alta e opiniões especializadas. A indisponibilidade do portal altera a forma como os pacientes se comunicam com os prestadores e consultam resultados. A perturbação dos sistemas telefônicos altera o agendamento de consultas, a triagem de chamadas, os pedidos de renovação e o acompanhamento.
A perturbação dos sistemas de solicitação altera a forma como laboratórios, imagens, medicamentos e procedimentos passam da intenção do clínico para a ação realizada. O desvio de ambulâncias altera a distribuição regional da capacidade de emergência.
A Associated Press relatou que o ataque resultou em desvio de ambulâncias, adiamento de exames e indisponibilidade de prontuários de pacientes em um sistema que opera cerca de 140 hospitais em 19 estados. A AP também relatou que os registros eletrônicos e MyChart foram afetados e que a equipe estava usando prontuários manuais em papel. (Reportagem da AP sobre a interrupção dos cuidados na Ascension) Esta reportagem corresponde às declarações da Ascension, mas a fonte oficial permanece a página da empresa para o que a própria Ascension confirmou.
A diferença entre aberto e normal tem consequências para os pacientes. Um paciente que sofre não vivencia um procedimento de contingência como um evento técnico. Ele sofre com esperas mais longas, perguntas repetidas, incerteza sobre a visibilidade de registros antigos, incerteza sobre o encaminhamento de uma prescrição e o medo de que a equipe de atendimento trabalhe sem o contexto habitual. Um clínico pode garantir a segurança do atendimento por meio de seu treinamento e julgamento, mas a margem é mais estreita porque o sistema de informação não está mais fazendo seu trabalho comum de coordenação.
É por isso que a palavra "continuidade" deve incluir a qualidade da continuidade. Um hospital pode manter suas portas abertas enquanto se pergunta se a reconciliação medicamentosa foi retardada, se os prazos de laboratório mudaram, se a programação cirúrgica foi perturbada, se as admissões e transferências se tornaram mais difíceis, se os pacientes receberam alta e conseguiram obter suas prescrições, e se pacientes com dificuldades de transporte ou proficiência limitada em inglês tiveram mais dificuldade em reorganizar seus cuidados. O registro público não responde a todas essas perguntas, mas prova que eram as perguntas certas.
Os procedimentos de contingência eram o controle de segurança oculto
A Ascension declarou que sua equipe era treinada em protocolos e procedimentos de contingência estabelecidos. Essa declaração é importante porque os procedimentos de contingência não são um fichário de backup em um armário. Eles constituem um controle de segurança que deve funcionar enquanto os clínicos estão cansados, os pacientes ansiosos, os telefones ocupados e os gestores aguardam informações técnicas incompletas.
Durante uma falha do prontuário eletrônico, os procedimentos de contingência devem definir como os clínicos documentam, como as prescrições são escritas, como os medicamentos são verificados, como as alergias são controladas, como as amostras de laboratório são etiquetadas, como as solicitações de imagem são rastreadas, como as notas manuscritas são posteriormente reconciliadas e como as equipes de atendimento evitam duplicar ou perder informações. O registro criado durante a falha deve eventualmente fazer parte do prontuário permanente. Uma nota em papel que nunca retorna ao prontuário não é apenas um problema de arquivamento.
Pode afetar os cuidados futuros.
As atualizações da Ascension em 7 e 11 de junho mostram por que a reconciliação era importante. À medida que o acesso ao prontuário eletrônico era restaurado em ondas, a Ascension alertou que os prontuários e outras informações entre 8 de maio e a data de restauração local do prontuário eletrônico podem não estar acessíveis durante o download das informações coletadas durante a falha. Solicitou que os pacientes entrassem em contato com o consultório de seu clínico para saber a disponibilidade dos registros durante esse período e alertou que as mensagens do portal podem sofrer um leve atraso. (Página de incidente de segurança cibernética da Ascension)
Esta é uma frase incomumente reveladora. Mostra que a recuperação não era apenas restaurar o acesso dos clínicos ao prontuário eletrônico. Tratava-se também de atualizar o prontuário eletrônico com os cuidados prestados durante sua indisponibilidade. O registro da falha precisava ser coletado, validado, inserido ou carregado e tornado pesquisável. Até que isso fosse feito, o histórico do paciente para o período da falha estava parcialmente fora da visão digital comum.
Uma boa preparação para falhas tem, portanto, duas vertentes. A primeira vertente é garantir cuidados manuais seguros durante a falha. A segunda vertente é uma reintegração limpa posteriormente. A segunda vertente é frequentemente menos visível porque o público vê as conexões voltarem e presume que a recuperação está completa. No setor de saúde, essa suposição é perigosa. A recuperação só está completa quando o sistema de informação reflete com precisão o que aconteceu no modo degradado e quando os clínicos podem confiar que o registro restaurado é suficientemente completo para decisões futuras.
A restauração do prontuário eletrônico era uma prioridade clínica, não apenas uma etapa de TI
A Ascension apresentou regularmente a restauração do prontuário eletrônico como uma prioridade máxima de recuperação. Em 29 de maio, declarou que o acesso ao prontuário eletrônico foi restabelecido no primeiro mercado e que um plano progressivo estava em andamento. Em 4 de junho, indicou que os mercados da Flórida, Alabama e Austin recuperaram o acesso ao prontuário eletrônico. Em 5 de junho, adicionou Tennessee, Maryland e centro do Texas. Em 7 de junho, adicionou Oklahoma e declarou que o objetivo era uma restauração do prontuário eletrônico em todo o ministério até 14 de junho. Em 11 de junho, listou Flórida, Alabama, Tennessee, Maryland, centro do Texas, Oklahoma, Wisconsin, Illinois, Kansas, parte de Michigan e parte de Indiana, ainda visando a conclusão para 14 de junho. (Página de incidente de segurança cibernética da Ascension)
Essa sequência de restauração deve ser lida como governança clínica. O acesso ao prontuário eletrônico não é apenas uma conveniência digital. É a memória compartilhada do sistema de cuidados. Restaurá-lo primeiro é uma declaração sobre o que a organização considerava mais necessário para a segurança dos cuidados. Mas uma restauração por etapas também levanta questões de responsabilidade. Quais mercados foram restaurados primeiro e por quê? A sequência foi baseada na preparação técnica, acuidade clínica, volume de pacientes, capacidade regional alternativa, dependências do sistema ou confiança forense?
Como os pacientes e serviços de ambulância foram informados sobre o status dos locais locais?
O registro público fornece apenas parte da resposta. Mostra uma sequência progressiva e um objetivo. Não publica as regras de decisão por trás da sequência. Isso é compreensível durante um incidente ao vivo. Também é uma lacuna nas evidências pós-incidente. Um sistema de saúde nacional deve ser capaz de mostrar aos reguladores e órgãos de governança internos por que a ordem de restauração correspondia ao risco clínico.
A linguagem da restauração também mostra a tensão entre velocidade e segurança. A Ascension repetiu várias vezes que os sistemas seriam restaurados de forma segura, após validação e verificação. Esse é o padrão correto. Reconectar um sistema não validado porque o hospital precisa dele pode agravar o ataque. Esperar demais pode prolongar a perturbação clínica. A decisão responsável está entre essas pressões.
Para eventos futuros, a melhor prática pública seria uma matriz de restauração clínica. Não precisaria divulgar esquemas de rede. Poderia identificar os estados de serviço: prontuário eletrônico indisponível, prontuário eletrônico somente leitura, prontuário eletrônico restaurado para nova documentação, registros de falha aguardando upload, portal disponível, transmissão farmacêutica restaurada, solicitação de exames restaurada, sistemas telefônicos restaurados, conexões de parceiros validadas. Pacientes e clínicos precisam conhecer o estado do serviço, não a regra do firewall.
A continuidade farmacêutica era um teste prático dos cuidados
O acesso a medicamentos foi um dos exemplos mais claros de como um ransomware sai do data center e entra na vida cotidiana. A Ascension solicitou que os pacientes trouxessem seus frascos de medicamentos, números de receitas e listas de medicamentos para que as equipes de atendimento pudessem transmitir as necessidades de medicamentos às farmácias por telefone. Posteriormente, a Ascension declarou que as farmácias de varejo, entrega e especialidades da Ascension Rx estavam abertas e aptas a atender às necessidades de prescrições, e que os prestadores de serviços de saúde podiam transmitir prescrições eletronicamente para as farmácias Ascension Rx. (Página de incidente de segurança cibernética da Ascension)
Essa sequência é importante porque a continuidade farmacêutica não é opcional. Para medicamentos crônicos, um atraso pode ter consequências para a saúde. Para antibióticos, anticoagulantes, insulina, antiepilépticos, imunossupressores, psicotrópicos ou controle da dor pós-procedimento, as fricções no fluxo de trabalho podem se tornar risco clínico. Uma equipe de atendimento pode ligar para uma farmácia manualmente, mas o caminho manual requer conhecimento atualizado dos medicamentos, identidade correta do paciente, dosagem clara, gerenciamento de seguro ou pagamento, verificação pelo farmacêutico e um meio de documentar o que foi feito.
A Spectrum News noticiou de Wisconsin que farmácias locais estavam lidando com o ciberataque da Ascension e a necessidade de manter pacientes em medicamentos crônicos. (Reportagem da Spectrum News sobre farmácias) Essa perspectiva local é útil porque a perturbação farmacêutica é frequentemente dispersa. Nem sempre aparece como uma falha hospitalar espetacular. Aparece como um paciente, um farmacêutico e um prescritor tentando reconstituir informações suficientes para manter o tratamento.
O planejamento de falhas de medicamentos deve, portanto, ser tratado como um controle de segurança do paciente. O plano deve definir quais listas de medicamentos podem ser consultadas offline, como as alergias são verificadas, como os fluxos de trabalho de substâncias controladas são gerenciados, como as renovações são autorizadas, como as necessidades urgentes de medicamentos são priorizadas e como as prescrições manuais são reconciliadas com o prontuário eletrônico após a restauração. Também deve definir o que é dito aos pacientes.
Pedir que os pacientes tragam seus frascos de medicamentos é sensato, mas também transfere o trabalho para pessoas que podem estar doentes, idosas, assustadas, de baixa renda, sem transporte ou sem prescrições bem organizadas.
O registro público mostra que a Ascension reconheceu o problema farmacêutico. A questão de responsabilidade restante é até que ponto essas soluções de contorno funcionaram uniformemente de estado para estado e de local de atendimento para outro.
A reconexão de parceiros era sua própria superfície de risco
As atualizações da Ascension em 21 e 24 de maio identificaram outro problema de recuperação subestimado: parceiros e fornecedores precisavam se reconectar à rede. A Ascension declarou ter iniciado pontos de contato regulares com parceiros e fornecedores críticos para fornecer informações e ajudá-los a restabelecer sua conexão com a rede Ascension. Em 24 de maio, indicou que muitos fornecedores e parceiros começaram a se reconectar e a retomar seus serviços, o que deveria acelerar a recuperação. (Página de incidente de segurança cibernética da Ascension)
A reconexão de parceiros não é um detalhe de planejamento. É uma decisão de segurança e continuidade. Os hospitais dependem de laboratórios, fornecedores de imagem, farmácias, parceiros de ciclo de receitas, fornecedores de dispositivos, sistemas em nuvem, prestadores de serviços especializados, parceiros de ambulância, sistemas de pessoal, fornecedores e organizações de apoio. Uma resposta a ransomware pode exigir desconectar ou limitar esses vínculos. A recuperação exige então decidir quais vínculos podem ser restabelecidos com segurança, em que ordem, sob que supervisão e com que evidências de cada lado.
É aqui que a continuidade do setor público e a localidade dos dados se encontram. Os dados de saúde não são mantidos em um único local bem ordenado. Eles fluem através de sistemas clínicos, servidores de arquivos, portais de pacientes, fluxos de trabalho de faturamento, interfaces de laboratório, circuitos farmacêuticos, canais de seguro e ambientes de fornecedores. A Ascension declarou posteriormente que os atacantes levaram arquivos de sete dos cerca de 25.000 servidores, usados principalmente por colaboradores para tarefas diárias e rotineiras, e que alguns arquivos podiam conter PHI e PII. Também afirmou não ter evidências de que dados foram extraídos do prontuário eletrônico e de outros sistemas clínicos. (Página de incidente de segurança cibernética da Ascension)
Essas declarações traçam um limite útil, mas também ressaltam por que a localidade de acesso importa mais que a localidade física. Um registro pode ser legalmente detido por um sistema de saúde sem fins lucrativos dos EUA e ainda assim ser exposto se estiver acessível por meio de um fluxo de trabalho comprometido, um servidor de arquivos rotineiro ou um caminho de parceiro. A soberania dos dados no setor de saúde não se resume a onde os dados residem; é também quem pode tocá-los, copiá-los, transmiti-los, exportá-los, visualizá-los ou se reconectar a eles após uma violação.
A evidência pós-incidente que importa não é apenas "sistemas restaurados". É "conexões restauradas com validação". Um sistema de saúde deve ser capaz de mostrar que a reconexão de parceiros não reintroduziu credenciais comprometidas, relações de confiança desatualizadas, acesso remoto não examinado ou caminhos de dados não monitorados.
A violação de dados não era a mesma coisa que a falha clínica
A atualização da Ascension em 19 de dezembro completou outra parte do registro. Após trabalhar com especialistas terceirizados para revisar os dados potencialmente envolvidos, a Ascension declarou que começaria a notificar as pessoas cujas informações pessoais foram afetadas e a oferecer serviços gratuitos de monitoramento de crédito e proteção de identidade. Especificou que as informações podiam incluir informações médicas como número do prontuário, data de serviço, tipos de exames laboratoriais ou códigos de procedimento; informações de pagamento; informações de seguro; identificação governamental; e outras informações pessoais como data de nascimento ou endereço. (Página de incidente de segurança cibernética da Ascension)
Este registro de dados não deve ser confundido com o registro de continuidade dos cuidados. A falha ocorreu em maio e junho. A notificação de dados se desenvolveu ao longo de meses, após a revisão dos arquivos. Ambos são consequências do mesmo ataque, mas criam obrigações diferentes. Uma falha clínica exige cuidados de contingência imediatos, decisões de desvio, controles de segurança, comunicação com pacientes e restauração. Uma violação de dados exige análise da população, mapeamento de campos, notificação legal, suporte de identidade, relato ao regulador e vigilância de longo prazo contra fraudes.
A página da regra de notificação de violações do HHS explica o quadro federal de notificação para informações de saúde protegidas não seguras, incluindo as obrigações de prazo para violações que afetam 500 ou mais pessoas. (Regra de notificação de violações HIPAA) O HHS também publica diretrizes sobre o envio de um aviso ao Secretário. (Página de relato de violações do HHS) O portal público de violações do OCR lista os relatos de grandes violações sob investigação. (Portal de violações HHS OCR)
O limite na declaração da Ascension é importante: dados de pacientes estavam envolvidos, mas a Ascension afirmou que ainda não havia evidências de que dados foram extraídos do prontuário eletrônico e de outros sistemas clínicos onde os registros completos dos pacientes são armazenados. Isso é uma garantia significativa, não uma eliminação total do dano. Uma data de serviço, um tipo de exame laboratorial, um código de procedimento, um número de seguro ou um identificador governamental ainda podem ser sensíveis.
O fato de que os registros completos do prontuário eletrônico não foram mostrados como tendo sido levados, de acordo com o registro público da Ascension, não torna os dados rotineiros dos servidores de arquivos inofensivos.
Isso também não prova que cada pessoa afetada sofreu o mesmo risco. A Ascension declarou que os dados variavam conforme o indivíduo e não podiam ser confirmados para cada pessoa na declaração pública genérica. Um bom registro de notificação deve dar a cada pessoa as categorias de campos mais específicas disponíveis e as medidas de apoio. Grandes sistemas de saúde não devem confiar em uma única lista ampla quando o risco individual difere conforme o tipo de dados.
Os relatos estaduais e setoriais mostram como o registro de privacidade se transformou em registro de proteção ao consumidor. A procuradora-geral de Michigan, Dana Nessel, incentivou pacientes e colaboradores da Ascension a considerar o monitoramento gratuito de crédito depois que a Ascension alertou que algumas informações pessoais podem ter sido envolvidas. (Aviso da procuradora-geral de Michigan) O Healthcare Dive posteriormente relatou que a escala federal da violação era de 5,6 milhões de pessoas no contexto da notificação pública de violação. (Relatório do Healthcare Dive sobre a violação) Essas fontes não substituem o aviso da Ascension nem o portal do HHS, mas mostram que as consequências da violação de privacidade permaneceram ativas após a restauração clínica.
A explicação do arquivo malicioso não é o fim da responsabilidade
Em 12 de junho, a Ascension declarou ter identificado como o atacante obteve acesso: uma pessoa que trabalhava em uma de suas instalações baixou acidentalmente um arquivo malicioso que acreditava ser legítimo. A Ascension afirmou não ter motivos para acreditar que fosse outra coisa senão um erro honesto. (Página de incidente de segurança cibernética da Ascension)
Esse é um fato útil, mas não deve se tornar um fim conveniente. A segurança moderna deve presumir que alguns funcionários clicarão. Os controles responsáveis são o que acontece antes e depois do clique: segurança de e-mail, isolamento de navegador, detonação de anexos, detecção de endpoints, privilégio mínimo, controle de aplicativos, segmentação, detecção de movimento lateral, controles de acesso a servidores de arquivos, isolamento de backups, resposta a incidentes e preparação para falhas clínicas.
A página da regra de segurança do HHS estabelece o padrão da regra em termos gerais: garantias administrativas, físicas e técnicas são necessárias para proteger a confidencialidade, integridade e disponibilidade das informações de saúde protegidas eletronicamente. (Regra de segurança HIPAA) O HHS também mantém material de orientação em segurança cibernética para entidades cobertas pela HIPAA e associados comerciais. (Guia de segurança cibernética do HHS) O guia StopRansomware da CISA também enfatiza a preparação, prevenção, planejamento de resposta, backups e comunicações. (Guia StopRansomware da CISA)
Nenhuma dessas fontes gerais constitui uma conclusão de que a Ascension violou uma regra. Elas definem as categorias de controle que importam. O princípio fundamental de responsabilidade é que um único download acidental não deve se tornar uma perturbação clínica em todo o sistema se camadas razoáveis puderem limitar o raio da explosão. Se se tornar sistêmico, a organização deve ser capaz de explicar por que, o que falhou, o que funcionou e o que mudou.
A expressão "erro honesto" é humana. Evita apontar um trabalhador individual como bode expiatório. Mas uma linguagem humana deve estar associada a aprendizado organizacional. Culpar um trabalhador é uma responsabilidade fraca. Tratar a ação do trabalhador como um sinal em um sistema de controle mais amplo é mais forte.
A recuperação financeira não mediu o fardo dos pacientes
As divulgações financeiras da Ascension mostram que o evento teve consequências operacionais além da página de incidente. Em setembro de 2024, a Ascension declarou que as operações de maio e junho foram afetadas pelo incidente de segurança cibernética, resultando em redução de receita devido à interrupção das atividades e custos para remediar os problemas e outras despesas operacionais. Também indicou que o balanço e os níveis de liquidez permaneciam sólidos, com liquidez suficiente para continuar fornecendo cuidados. (Resultados financeiros do 4º trimestre do EF24 da Ascension)
Em fevereiro de 2025, a Ascension declarou que as operações do 4º trimestre do EF24 foram afetadas pelo ciberataque de maio, mas que a recuperação do volume do EF25 continuou e que o volume de pacientes nos mesmos estabelecimentos melhorou cerca de 5 a 6% desde o evento cibernético, com os principais indicadores de desempenho operacional retornando a um estado normal. (Resultados financeiros do 2º trimestre do EF25 da Ascension)
Essas declarações são úteis para a resiliência organizacional, mas não constituem um relato completo do dano ao paciente. A recuperação de receita e a recuperação de volume podem coexistir com consultas adiadas, frustração do paciente, estresse da farmácia, horas extras dos clínicos, desvios locais, históricos repetidos, documentação manual e perda de confiança. Um sistema pode se recuperar financeiramente enquanto alguns pacientes ainda se lembram do dia em que seus registros estavam indisponíveis.
O registro de responsabilidade seria mais sólido se o relatório pós-incidente separasse pelo menos quatro medidas de recuperação. Primeiro, a restauração técnica: quais sistemas estavam limpos e disponíveis. Segundo, a restauração clínica: quais funções de cuidado retornaram a um fluxo de trabalho comum. Terceiro, a restauração de registros: como a documentação da falha foi reconciliada. Quarto, o apoio ao paciente: quais atrasos, desvios, adiamentos e avisos de dados exigiram acompanhamento.
As páginas financeiras da Ascension mostram uma grande organização absorvendo o evento. Elas não mostram a distribuição completa dos inconvenientes e riscos entre pacientes, clínicos, farmácias, serviços de ambulância e comunidades locais. Isso não é um defeito próprio da Ascension. É um problema mais amplo na notificação de incidentes cibernéticos: os balanços financeiros são mais fáceis de resumir do que as fricções nos cuidados.
O setor tratou o ransomware hospitalar como uma função pública
A Ascension declarou ter informado as forças de segurança e parceiros governamentais, incluindo FBI, CISA, HHS e a American Hospital Association, e compartilhado informações relevantes sobre ameaças com o H-ISAC para que parceiros e pares do setor pudessem se proteger. (Página de incidente de segurança cibernética da Ascension) Esse quadro multiagências é importante porque um evento de ransomware hospitalar não é apenas um assunto privado entre uma vítima e um atacante.
Os hospitais fazem parte da capacidade de emergência regional. Quando vários hospitais entram em procedimentos de contingência ou desvio, os hospitais vizinhos, agências de serviços médicos de emergência, autoridades de saúde pública e pacientes sentem os efeitos. Esta é a continuidade do setor público na prática. O governo não gerencia o prontuário eletrônico da Ascension, mas tem interesse em que os cuidados de emergência, avisos públicos, aplicação da lei, inteligência de ameaças e supervisão HIPAA permaneçam funcionais quando um grande sistema de saúde é perturbado.
O trabalho de segurança cibernética da American Hospital Association tem apresentado regularmente os ransomwares contra hospitais como um problema de segurança do paciente. Sua página de segurança cibernética destaca a preparação para ciber-resiliência para hospitais e sistemas de saúde. (Central de recursos de segurança cibernética da AHA) A AHA também resumiu uma discussão do Conselho de Segurança das Nações Unidas na qual o presidente da Ascension compartilhou que o ataque de maio interrompeu as operações nos hospitais da Ascension, criptografou milhares de sistemas de computador e tornou os prontuários médicos eletrônicos inacessíveis. (Resumo da AHA sobre o Conselho de Segurança da ONU e ransomwares)
Essas fontes setoriais devem ser usadas com cautela. Elas não substituem a cronologia de incidentes da Ascension. Mostram que a ciber-resiliência hospitalar agora faz parte da conversa sobre segurança nacional, saúde pública e gestão de emergências. Quanto mais a saúde se digitaliza, menos crível é tratar os ransomwares como uma questão de TI de back-office.
Os pacientes tinham controle limitado e alta exposição
As instruções da Ascension aos pacientes eram práticas: traga seus sintomas, listas de medicamentos, números de receitas ou frascos; monitore as atualizações; use o monitoramento de crédito se estiver preocupado; entre em contato com os consultórios dos clínicos para saber a disponibilidade dos registros durante a falha; ligue para o 911 em caso de emergência. Essas medidas ajudaram as pessoas a navegar em uma situação difícil. Também mostram o desequilíbrio.
Os pacientes podiam trazer frascos. Não podiam restaurar o prontuário eletrônico. Podiam repetir seus históricos médicos. Não podiam saber se uma nota anterior estava visível. Podiam aceitar uma nova consulta. Não podiam escolher a ordem de restauração. Podiam se inscrever no monitoramento de crédito. Não podiam remover a exposição de um código de procedimento, número de seguro ou data de serviço. Podiam estar vigilantes contra fraudes. Não podiam conhecer todos os lugares onde seus dados podiam ser copiados.
Esse desequilíbrio é a razão pela qual a linguagem da vigilância nunca deve substituir a responsabilidade organizacional. É apropriado dizer aos pacientes o que fazer. É insuficiente sugerir que a ação dos pacientes pode compensar controles ausentes. No setor de saúde, a pessoa mais exposta a danos a jusante é frequentemente aquela com menos poder operacional.
A dimensão da vulnerabilidade é particularmente importante porque a missão da Ascension enfatiza o cuidado com pessoas pobres e vulneráveis, e seus recursos de mídia descrevem um vasto sistema com visitas de emergência, nascimentos, cirurgias, altas e programas de caridade comunitária. (Recursos de mídia da Ascension) Uma falha de ransomware não atinge igualmente. Pacientes sem transporte, sem licença remunerada, com doenças crônicas, em situação de moradia instável, com barreiras linguísticas, necessidades de saúde mental ou regimes medicamentosos complexos têm menos margem para fricções.
Um plano de continuidade responsável deve, portanto, medir o ônus imposto aos pacientes. Quantas consultas foram suspensas ou adiadas? Quantos pacientes precisaram de apoio de contorno para medicamentos? Quais idiomas foram usados nos avisos? Como os pacientes sem acesso confiável à internet ou telefone foram contactados? Como os desvios de emergência foram coordenados com os serviços médicos de emergência locais? Como a documentação da falha foi reconciliada para pacientes que necessitam de cuidados contínuos? Essas perguntas definem a responsabilidade junto ao leito melhor que uma única data de restauração.
A soberania dos dados dizia respeito à acessibilidade
O tópico manifesto "Soberania e localidade dos dados" não é uma questão restrita à localização física dos servidores. O caso da Ascension mostra a questão de saúde mais relevante: quais dados estavam acessíveis por meio de quais caminhos de acesso durante o trabalho comum?
A Ascension declarou que os atacantes levaram arquivos de sete dos cerca de 25.000 servidores usados principalmente por colaboradores para tarefas diárias e rotineiras. Também indicou que esses arquivos podiam conter PHI e PII. Essa combinação é reveladora. Dados sensíveis podem estar em espaços de trabalho comuns, exportações, anexos, pastas compartilhadas, filas de trabalho, arquivos de relatórios, documentos digitalizados e armazenamentos operacionais temporários. O prontuário eletrônico pode ser o registro completo do paciente, mas não é o único lugar onde as informações do paciente aparecem.
A página atual Ascension One descreve uma experiência digital do paciente para pagar contas, consultar resultados de exames e laboratório, permanecer em contato com médicos e planejar e gerenciar consultas familiares. (Ascension One) Essa linguagem pública sobre produtos não é uma fonte de incidente. Ajuda os leitores a entender a expectativa comum: pacientes e clínicos agora vivenciam os cuidados por meio de contas, portais, registros e fluxos de trabalho conectados. Quando a resposta ao ransomware desativa partes desse ecossistema, a localidade se torna funcional. Os dados e os cuidados são locais ao sistema que pode acessá-los no momento em que são necessários.
As questões de minimização de dados e governança de acesso seguem. Por que os servidores de arquivos rotineiros continham os campos que continham? As exportações sensíveis eram limitadas no tempo? Os arquivos eram classificados e monitorados? Os servidores rotineiros de colaboradores eram segmentados dos sistemas clínicos? Os arquivos baixados eram restritos por controles de endpoint? Os arquivos rotineiros antigos eram arquivados ou excluídos? Os caminhos de acesso dos parceiros eram suficientemente estreitos? O registro público não responde a essas perguntas; ele as torna necessárias.
A boa lição não é que os sistemas de prontuário eletrônico nunca devem se conectar a outros sistemas. A saúde não pode funcionar assim. A lição é que cada cópia secundária dos dados dos pacientes faz parte do raio da explosão clínica e de privacidade.
Como seriam melhores evidências
Um registro público pós-incidente maduro para um sistema de saúde deve responder a várias perguntas sem publicar detalhes de segurança sensíveis.
Primeiro, deve fornecer uma cronologia do estado dos serviços. Deve identificar quando o acesso ao prontuário eletrônico, acesso ao portal, sistemas telefônicos, solicitação de medicamentos, solicitação de laboratório, programação de procedimentos, transmissão farmacêutica, sistemas de faturamento, conexões de parceiros e status de desvio regional mudaram. A página de incidente da Ascension forneceu muitas atualizações, mas uma cronologia consolidada tornaria o registro mais fácil de auditar.
Segundo, deve fornecer um relato da falha clínica. Esse relato deve explicar quais procedimentos de contingência foram ativados, como a equipe foi apoiada, como a documentação manual foi reconciliada, como a segurança de medicamentos e laboratórios foi mantida e se revisões de segurança específicas ao incidente ocorreram. Não deve revelar eventos privados de pacientes, mas deve mostrar o sistema de controle.
Terceiro, deve fornecer um mapa de dados por categoria. O aviso de dezembro da Ascension listou as categorias possíveis, mas o padrão mais rigoroso é uma notificação em nível de campo quando possível: número do prontuário, data de serviço, código de procedimento, tipo de exame laboratorial, identificador de seguro, campo de pagamento, identificador governamental, endereço, data de nascimento e dados de funcionários não devem ser misturados se cada pessoa puder ser informada mais especificamente.
Quarto, deve explicar o caminho de acesso e o confinamento em alto nível. A explicação do arquivo malicioso é útil. Um registro completo adicionaria os controles organizacionais alterados posteriormente, como filtragem de e-mail, política de endpoints, revisão de acesso a servidores de arquivos, segmentação, registro, isolamento de backups e controles de acesso privilegiados, sem dar um manual aos atacantes.
Quinto, deve publicar medidas agregadas do impacto nos pacientes: suspensões de consultas, adiamentos, duração dos desvios por região, volume de contorno de farmácias, acúmulo de portais e atividade das linhas de apoio. A divulgação pública pode preservar a privacidade enquanto permanece significativa.
Finalmente, deve esclarecer questões não resolvidas. Se um litígio, revisão regulatória ou risco de segurança limitar os detalhes, deve ser dito. Os pacientes lidam melhor com a incerteza quando os limites são nomeados.
A lição é a resiliência junto ao leito do paciente
A Ascension foi vítima de um crime. Esse fato deve ser claramente afirmado. Atores criminosos causaram o ataque ransomware. As forças de segurança e agências cibernéticas têm o papel público de investigação, inteligência e dissuasão. Nenhum hospital deve ser obrigado a frustrar todas as tentativas maliciosas sem incidente.
Mas a responsabilidade na saúde não termina no status de vítima. Um sistema de saúde controla a arquitetura, treinamento, procedimentos de contingência, dependências de parceiros, armazenamentos de dados, sequência de recuperação e comunicações aos pacientes que determinam se um ransomware se torna uma falha gerenciável ou uma perturbação junto ao leito.
O registro público da Ascension mostra tanto resiliência quanto tensão: os hospitais permaneceram abertos, os clínicos continuaram atendendo, a restauração do prontuário eletrônico foi priorizada, as farmácias voltaram a funcionar, os sistemas foram finalmente restaurados e avisos foram enviados. Também mostra desvios de emergência, cuidados suspensos, falta de acesso comum aos registros, completude atrasada do portal, meses de análise de dados e impacto financeiro significativo.
A lição duradoura é que a recuperação de ransomware na saúde é uma disciplina clínica. Ela está sob a supervisão do conselho, operações de enfermagem, direção de farmácia, gestão de emergências, planejamento do ciclo de receitas, conformidade de privacidade, governança de fornecedores e comunicações com pacientes, e não apenas operações de segurança. O prontuário faz parte dos cuidados. O sistema de solicitação faz parte dos cuidados. O portal faz parte dos cuidados. O registro de falha faz parte dos cuidados.
Quando esses sistemas falham, a responsabilidade é medida pela capacidade da organização de continuar tratando as pessoas com segurança enquanto prova que a fundação digital pode ser novamente confiável.

