Pierwsza potwierdzona śmierć pacjenta w wyniku cyberataku

Przeczytaj także: Cyberataki na placówki medyczne zwiększają śmiertelność wśród pacjentów

Jak poinformował King’s College Hospital NHS Foundation Trust, jeden z pacjentów zmarł niespodziewanie podczas trwania cyberataku.

Śledztwo w sprawie incydentu związanego z bezpieczeństwem pacjenta wykazało szereg czynników, które przyczyniły się do śmierci, w tym opóźnienie w otrzymaniu wyniku badania krwi, spowodowane zakłóceniem pracy usług diagnostycznych – przekazał rzecznik placówki.

Cyberatak, przeprowadzony przez powiązaną z Rosją grupę ransomware'ową Qilin , uderzył w firmę Synnovis, odpowiedzialną za świadczenie usług diagnostyki laboratoryjnej, głównie w południowo-wschodnim Londynie. W wyniku ataku opóźnionych zostało 1 100 zabiegów onkologicznych, odwołano2 000 wizyt ambulatoryjnych a ponad 1 000 operacji przesunięto na inny termin.

Najbardziej dotknięte zostały szpitale: Guy's and St Thomas', King’s College oraz Lewisham and Greenwich, a także przychodnie podstawowej opieki zdrowotnej w sześciu dzielnicach Londynu oraz dwa ośrodki zdrowia psychicznego.

Z powodu braku dostępu do systemów diagnostycznych, placówki medyczne nie mogły przeprowadzać standardowego dopasowania grup krwi i były zmuszone do stosowania krwi uniwersalnej grupy 0. To z kolei – jak poinformowało NHS England – przyczyniło się do ogólnokrajowego niedoboru krwi tej grupy.

Dane pacjentów opublikowane w sieci

W wyniku cyberataku cyberprzestępcy nie tylko sparaliżowali działanie systemów, ale również wykradli i upublicznili wrażliwe dane medyczne pacjentów. To kolejny aspekt pokazujący, jak poważne mogą być skutki naruszenia bezpieczeństwa cyfrowego w służbie zdrowia.

Były dyrektor ds. cyberbezpieczeństwa NHS Scotland, Deryck Mitchelson, obecnie pełniący tę samą funkcję w firmie Check Point, skomentował:

Potwierdzona śmierć pacjenta to tragedia, ale nie jest zaskoczeniem. NHS opiera się na skomplikowanej sieci dostawców i usługodawców. To oznacza, że jesteśmy tylko tak bezpieczni, jak nasze najsłabsze ogniwo. Dla tych, którzy stoją za tym atakiem: to nie był bezosobowy akt. Nie chodziło tylko o dane czy systemy – chodziło o opiekę. O ludzi. Jeden z nich właśnie stracił życie. I to powinno naprawdę ciążyć na sumieniu.

Prezes Synnovis, Mark Dollar, dodał:

Jesteśmy głęboko zasmuceni, że ubiegłoroczny przestępczy cyberatak został zidentyfikowany jako jeden z czynników przyczyniających się do śmierci tego pacjenta.

Nowa era cyberzagrożeń

Tragiczne wydarzenia w Wielkiej Brytanii przypominają, że cyberatak to nie tylko kwestia utraty danych – to realne zagrożenie dla życia i zdrowia. W świecie, w którym służba zdrowia coraz bardziej polega na technologii, cyberbezpieczeństwo staje się równie ważne jak skuteczna terapii

Sektor medyczny jest stałym celem ataków również w Polsce

Przed kilkoma dniami ofiara ataku padła Poznańska Pracownia Patomorfologii i Cytologii Paweł Kurzawa. Cyberprzestępcy włamali się do systemu informatycznego, szyfrując dane i żądając okupu. Choć nie potwierdzono wycieku danych, istnieje ryzyko, że nieuprawnione osoby mogły uzyskać dostęp do wrażliwych informacji, takich jak imiona i nazwiska pacjentów, daty urodzenia, numery PESEL, telefony oraz adresy e-mail.

Atak dotyczył plików zawierających wyniki badań. Pracownia poinformowała o incydencie Urząd Ochrony Danych Osobowych oraz policję, zabezpieczyła dokumentację i przeniosła dane na nowe serwery.

Wcześniej celem były m.in. szpital MSWiA w Krakowie, ALAB Laboratoria czy SPZOZ w Pajęcznie – co pokazuje, jak atrakcyjnym celem dla cyberprzestępców stają się dane medyczne.