Les hôpitaux ont été touchés par des attaques massives de ransomwares ces dernières années, limitant l’accès aux systèmes de données des patients et obligeant le personnel à des «procédures de temps d’arrêt».
Mais de nombreux hôpitaux n’ont pas suffisamment planifié les temps d’arrêt du système, en utilisant des plans de réponse aux incidents créés pour d’autres catastrophes qui ne capturent pas la portée des ransomwares, selon les experts.
Ransomware crypte les fichiers informatiques d’une victime et ne les libère qu’en échange d’un paiement. Dans les hôpitaux, cela peut signifier que les systèmes de technologie de l’information tels que les dossiers de santé électroniques, les horaires et même les systèmes téléphoniques deviennent indisponibles. Les médecins, les infirmières et les autres membres du personnel clinique doivent passer aux dossiers papier et peuvent ne plus pratiquer ou n’ont pas été formés à ce processus.
« La perturbation est énorme », a déclaré le Dr Christian Dameff, médecin urgentiste et directeur médical de la cybersécurité à l’UC San Diego Health.
Les systèmes de santé créent généralement des plans d’urgence pour les temps d’arrêt informatiques en s’attendant à ce qu’un nombre limité de systèmes affectés soient de nouveau en ligne en quelques heures, selon les experts. De nombreux plans ont été développés à l’origine pour résoudre des problèmes tels que des pannes techniques ou des tempêtes qui coupent temporairement le courant.
Les cyberattaques, cependant, peuvent faire tomber de nombreux systèmes pendant des semaines, voire des mois.
« C’est déraisonnable, les délais qu’ils ont dans ces plans », a déclaré Heath Renfrow, co-fondateur de Fenix24, une société qui fournit des services de reprise après sinistre. « 24 heures, ou 12 heures, ou 8 heures pour remettre ces systèmes en ligne, ce n’est pas possible lorsque tout votre environnement est chiffré. »
Une attaque de ransomware l’année dernière a conduit Scripps Health, basé à San Diego, à mettre une partie de son réseau hors ligne, perturbant l’accès au DSE et à d’autres applications pendant environ un mois. Les cyberattaques de 2020 ont détruit les systèmes informatiques pendant des semaines au centre médical de l’Université du Vermont, basé à Burlington, dans le Vermont, et aux services de santé universels, basés à King of Prussia, en Pennsylvanie.
Plus récemment, Tenet Healthcare, basé à Dallas, a signalé qu’un « incident de cybersécurité » en avril l’avait conduit à suspendre l’accès aux applications informatiques dans certains hôpitaux.
Une infirmière qui travaille à l’hôpital régional de Fountain Valley (Californie) de Tenet Healthcare, qui a demandé que son nom ne soit pas publié, a déclaré qu’elle s’était rendu compte très tôt que son unité n’avait pas suffisamment de cartes papier pré-imprimées pour couvrir les temps d’arrêt prolongés, alors elle a fait des copies. pour son unité et d’autres.
Les dossiers doivent être exacts pour que les infirmières sachent quels médicaments les patients ont reçus et d’autres informations.
Mais de nombreuses infirmières n’avaient jamais dressé de carte sur papier auparavant, en particulier les nouvelles infirmières et les diplômés récents, a-t-elle déclaré.
« J’ai tout cet étage de nouvelles infirmières qui ne savent pas… comment établir un dossier papier », a déclaré l’infirmière. « J’ai immédiatement dû donner un cours sur ‘OK les gars, c’est comme ça que vous avez un dossier papier.' »
Alors qu’elle avait déjà travaillé avec des cartes papier, cela faisait plus d’une décennie qu’elle ne les avait pas utilisées pour la dernière fois.
« Cela m’a montré à quel point les soins de santé sont devenus dépendants de la technologie », a-t-elle déclaré.
Tenet Healthcare n’a pas répondu à une demande de commentaire sur l’incident.
Les temps d’arrêt coûtent aux grands hôpitaux environ 21 500 $ par heure, selon un enquête de la sécurité de l’information et du personnel biomédical publié l’année dernière par Philips et la société de cybersécurité CyberMDX. Les répondants des hôpitaux de taille moyenne ont déclaré que les temps d’arrêt coûtaient 45 700 $ par heure.
Le réseau de santé de l’Université du Vermont a accumulé 54 millions de dollars de coûts suite à une attaque de ransomware dans un centre médical en 2020. La plupart de ces coûts provenaient de la perte de revenus des patients. Le centre médical de l’Université du Vermont a suspendu l’accès à presque tous les systèmes informatiques, même le DSE et d’autres systèmes qui n’avaient pas été infectés, pour empêcher la propagation du rançongiciel.
Le système de santé n’a pas payé la rançon des pirates.
Les systèmes de DSE et d’imagerie du réseau ont été restaurés après environ trois semaines, avec d’autres applications ramenées au cours des mois suivants, a déclaré le Dr Doug Gentile, vice-président principal de l’informatique.
Une fois les systèmes remis en ligne, le personnel devait saisir manuellement les données des patients qui avaient été enregistrées sur papier dans le DSE.
Le personnel devait également saisir les informations de facturation dans les systèmes électroniques, et il a fallu des mois pour facturer les soins dispensés pendant les temps d’arrêt, selon Gentile.
« Le plus long poteau de la tente, si vous voulez, car ce projet faisait tout ce remblayage », a-t-il déclaré.
Les antécédents médicaux, les images et d’autres informations des patients sont conservés dans des systèmes électroniques auxquels les cliniciens ne pourront probablement pas accéder pendant les temps d’arrêt, et de nombreux flux de travail, comme la prescription électronique, dans laquelle les ordonnances d’un patient sont directement envoyées à la pharmacie, sont également numérisés. .
Les nouveaux médecins et infirmières n’ont peut-être pas l’expérience de documenter les notes des patients ou de prescrire sur papier, et peuvent être habitués à utiliser l’aide à la décision clinique et d’autres invites dans les systèmes électroniques.
« Cette dépendance ne fait que croître à mesure que nous numérisons de plus en plus de systèmes », a déclaré Dameff.
Bien que les hôpitaux prévoient des protocoles de temps d’arrêt pour les cyberattaques, les procédures sont rarement pratiqué.
De nombreux hôpitaux utilisent les temps d’arrêt planifiés, comme lorsqu’une organisation met à niveau son DSE, comme pratique, a déclaré Ethan Larsen, ingénieur en facteurs humains au département de radiologie de l’hôpital pour enfants de Philadelphie qui a étudié les temps d’arrêt du DSE. Mais ces temps d’arrêt programmés ont tendance à se produire lorsqu’un hôpital s’attend à un faible volume de patients, souvent pendant quelques heures le week-end.
Le personnel a également la possibilité d’effectuer des tâches à l’avance ou d’attendre jusqu’à ce qu’il sache que les temps d’arrêt planifiés seront terminés.
« (Cela) ne touche pas suffisamment le personnel pour le préparer à gérer ces événements », a déclaré Larsen. Larsen a ajouté qu’il n’a pas vu d’exemples de préjudices pour les patients attribués aux temps d’arrêt du DSE dans les situations qu’il a étudiées, mais que la préparation et la formation pourraient être améliorées, d’autant plus que des cyberattaques massives continuent de frapper les hôpitaux.
L’ECRI a désigné les cyberattaques comme le principal danger technologique pour la sécurité des patients cette année, notant que les attaques qui détruisent les systèmes informatiques peuvent entraîner des retards dans les soins et détourner les véhicules d’urgence vers des installations plus éloignées.
Les hôpitaux devraient établir un plan d’urgence spécifique aux cyberattaques, en tenant compte des commentaires des cliniciens de première ligne qui comprennent le mieux le flux de travail, a déclaré Larsen. Il a décrit cela comme une approche « ascendante » de la planification d’urgence – donnant la priorité à la participation des travailleurs de première ligne – alors que la plupart des plans sont aujourd’hui élaborés à l’aide d’une approche « descendante ».
L’implication des cliniciens peut également aider à garantir que les plans de réponse aux cyberattaques sont tenus à jour, a déclaré Juuso Leinonen, ingénieur de projet principal au sein du groupe d’évaluation des appareils de l’ECRI.
« C’est l’un des défis que nous avons entendus de la part de certains de nos hôpitaux membres : » Nous avions techniquement un plan de réponse aux incidents, mais cela ne reflétait pas tout à fait la façon dont les soins sont dispensés dans notre organisation aujourd’hui « , a déclaré Leinonen. « Ils en ont peut-être construit un il y a quelque temps, et il n’a pas nécessairement été dépoussiéré jusqu’à ce que l’incident se produise. »
Les hôpitaux ajoutent constamment de nouvelles technologies et de nouveaux outils numériques, il est donc essentiel de s’assurer que ces systèmes sont reconnus dans un plan de réponse aux incidents.
C’est une chose d’avoir un plan, mais c’en est une autre de le tester avec le personnel, a déclaré Dameff. Les tests vont au-delà des exercices sur table, dans lesquels les membres du personnel parcourent et discutent de leurs responsabilités en cas d’urgence, et incluent la pratique du plan en revenant aux temps d’arrêt et en s’assurant que le plan capture comment une cyberattaque affecterait le travail des cliniciens.
Un plan de communication est également nécessaire pour alerter le personnel d’un passage aux protocoles de temps d’arrêt, même si cela n’affecte pas directement leur service. Cela est particulièrement vrai si des services tels que le laboratoire, la radiologie et la pharmacie sont touchés, où les cliniciens pourraient autrement continuer à envoyer des commandes, ne comprenant pas que le service est passé au papier et est travailler plus lentementa déclaré Larsen.
Il est difficile de trouver le temps de pratiquer les protocoles de temps d’arrêt, a déclaré Renfrow de Fenix24, qui était auparavant responsable de la sécurité de l’information chez US Army Healthcare. Les médecins et les infirmières sont déjà suffisamment occupés et le retour aux dossiers papier ajoute une autre tâche qui réduira probablement le nombre de patients qu’ils peuvent voir en une journée.
Chez Army Healthcare, il demandait aux cliniciens de voir occasionnellement des patients avec des dossiers papier et sans système informatique pour la pratique, même si cela signifiait qu’ils verraient moins de patients.
Le personnel clinique n’aimait pas faire ces exercices, a reconnu Renfrow, mais il pense toujours que c’est utile.
Il n’y a pas assez de recherches sur les meilleures pratiques pour la préparation aux cyberattaques, a déclaré Dameff, mais il a suggéré d’adopter une approche mesurée pour tester les procédures de temps d’arrêt. Il est important de pratiquer, mais une organisation ne veut pas causer par inadvertance des problèmes de sécurité des patients en supprimant inutilement des systèmes informatiques utiles et en se préparant « trop souvent ou trop agressivement ».
« Cela peut être perturbateur, mais c’est une préparation importante », a déclaré Dameff. « Vous pouvez avoir les meilleurs plans au monde, mais si vous ne les testez jamais, vous ne savez pas s’ils fonctionneront réellement. »
Source
https://www.modernhealthcare.com/cybersecurity/ransomware-spurs-weeks-months-it-downtime