Uit onderzoek blijkt dat minstens 750 Amerikaanse ziekenhuizen vorig jaar te maken kregen met verstoringen tijdens de CrowdStrike-storing.

Toen een jaar geleden een buggy software-update van cybersecuritybedrijf CrowdStrike miljoenen computers wereldwijd platlegde en ze in een dodelijke spiraal van herhaaldelijk opnieuw opstarten stortte, waren de wereldwijde kosten van al die gecrashte machines gelijk aan die van een van de ergste cyberaanvallen ooit. Sommige schattingen van de totale wereldwijde schade lopen op tot in de miljarden dollars.

Een nieuw onderzoek door een team van onderzoekers op het gebied van medische cybersecurity heeft de eerste stappen gezet om de kosten van de ramp met CrowdStrike te kwantificeren, niet in dollars, maar in potentiële schade aan ziekenhuizen en hun patiënten in de VS. Het onderzoek toont aan dat de dienstverlening van honderden ziekenhuizen tijdens de storing verstoord was, en roept zorgen op over mogelijk ernstige gevolgen voor de gezondheid en het welzijn van patiënten.

Onderzoekers van de University of California San Diego herdachten vandaag de eerste verjaardag van de catastrofe rond CrowdStrike met een artikel in JAMA Network Open, een publicatie van het Journal of the American Medical Association Network. Hierin proberen ze voor het eerst een ruwe schatting te maken van het aantal ziekenhuizen waarvan de netwerken werden getroffen door de IT-crisis op 19 juli 2024, en welke diensten op die netwerken verstoord leken te zijn.

Door voor, tijdens en na de crisis delen van ziekenhuisnetwerken te scannen die aan het internet waren blootgesteld, ontdekten ze dat minstens 759 ziekenhuizen in de VS die dag te maken hadden gehad met een of andere vorm van netwerkstoring. Ze ontdekten dat meer dan 200 van die ziekenhuizen specifiek getroffen leken te zijn door storingen die patiënten direct troffen, van ontoegankelijke medische dossiers en testscans tot systemen voor foetale monitoring die offline waren. Van de 2232 ziekenhuisnetwerken die ze konden scannen, ontdekten de onderzoekers dat maar liefst 34 procent ervan te maken had gehad met een of andere vorm van storing.

Dit alles wijst erop dat de storing bij CrowdStrike een "aanzienlijk probleem voor de volksgezondheid" had kunnen zijn, stelt Christian Dameff, spoedeisendehulparts en cybersecurityonderzoeker aan de UCSD, en een van de auteurs van het artikel. "Als we de gegevens van dit artikel een jaar geleden hadden gehad toen dit gebeurde," voegt hij eraan toe, "dan hadden we ons veel meer zorgen gemaakt over de werkelijke impact ervan op de Amerikaanse gezondheidszorg."

CrowdStrike bekritiseerde in een verklaring aan WIRED de UCSD-studie en de beslissing van JAMA om deze te publiceren fel en noemde het artikel "junk science". Ze merkten op dat de onderzoekers niet hadden geverifieerd of de verstoorde netwerken Windows of CrowdStrike-software draaiden, en wezen erop dat Microsofts clouddienst Azure op dezelfde dag een grote storing ondervond, wat mogelijk verantwoordelijk was voor een deel van de netwerkstoringen in het ziekenhuis. "Conclusies trekken over downtime en de impact op patiënten zonder de bevindingen te verifiëren bij een van de genoemde ziekenhuizen is volkomen onverantwoordelijk en wetenschappelijk niet te verdedigen", aldus de verklaring.

"Hoewel we de methodologie en conclusies van dit rapport verwerpen, erkennen we de impact die het incident een jaar geleden had", voegt de verklaring eraan toe. "Zoals we vanaf het begin hebben gezegd, bieden we onze oprechte excuses aan onze klanten en de getroffenen aan en blijven we ons richten op het versterken van de veerkracht van ons platform en de sector."

In reactie op de kritiek van CrowdStrike zeggen de onderzoekers van UCSD dat ze achter hun bevindingen blijven staan. De Azure-storing die CrowdStrike opmerkte, zo benadrukken ze, begon de vorige nacht en trof vooral het centrale deel van de VS, terwijl de storingen die ze maten rond middernacht Amerikaanse oostkusttijd op 19 juli begonnen – rond het tijdstip waarop de gebrekkige update van CrowdStrike computers begon te laten crashen – en het hele land trof. (Microsoft reageerde niet direct op een verzoek om commentaar.) "We zijn niet op de hoogte van een andere hypothese die dergelijke gelijktijdige, geografisch verspreide service-uitval binnen ziekenhuisnetwerken zoals we hier zien zou kunnen verklaren" anders dan de crash van CrowdStrike, schrijft Stefan Savage, hoogleraar computerwetenschappen aan UCSD en een van de co-auteurs van het artikel, in een e-mail aan WIRED. (JAMA weigerde commentaar te geven op de kritiek van CrowdStrike.)

Sterker nog, de onderzoekers beschrijven hun telling van gedetecteerde ziekenhuisverstoringen als slechts een minimale schatting, en niet als een maatstaf voor de werkelijke explosieradius van de CrowdStrike-crashes. Dat komt deels doordat de onderzoekers slechts ongeveer een derde van de ruim 6000 Amerikaanse ziekenhuizen konden scannen, wat suggereert dat het werkelijke aantal getroffen medische instellingen mogelijk vele malen hoger lag.

De bevindingen van de onderzoekers van UCSD waren afkomstig van een groter internetscanproject dat ze Ransomwhere? noemen, gefinancierd door de Advance Research Projects Agency for Health en begin 2024 gelanceerd met als doel ransomware-aanvallen in ziekenhuizen op te sporen. Als resultaat van dat project onderzochten ze Amerikaanse ziekenhuizen al met behulp van de scantools ZMap en Censys toen de ramp met CrowdStrike in juli 2024 plaatsvond.

Voor de 759 ziekenhuizen waar de onderzoekers op 19 juli constateerden dat een dienst offline was, stelden hun scans hen ook in staat om te analyseren welke specifieke diensten er leken uit te vallen. Ze gebruikten hiervoor publiekelijk beschikbare tools zoals Censys en het Lantern Project om verschillende medische diensten te identificeren, en controleerden handmatig enkele webgebaseerde diensten die ze konden bezoeken. Ze ontdekten dat 202 ziekenhuizen te maken kregen met uitval van diensten die direct verband hielden met patiënten. Deze diensten omvatten personeelsportalen die gebruikt worden om patiëntendossiers te bekijken, foetale bewakingssystemen, tools voor het op afstand monitoren van patiëntenzorg, beveiligde systemen voor documentoverdracht waarmee patiënten naar een ander ziekenhuis kunnen worden overgebracht, 'prehospitale' informatiesystemen zoals de tools die de eerste testresultaten van een ambulance naar een spoedeisende hulp kunnen delen voor patiënten die tijdkritische behandelingen nodig hebben, en de systemen voor het opslaan en ophalen van beelden die gebruikt worden om scanresultaten beschikbaar te stellen aan artsen en patiënten.

"Als een patiënt een beroerte heeft en de radioloog snel naar een scan moet kijken, is het veel moeilijker om deze van de CT-scanner naar de radioloog te krijgen zodat deze deze kan lezen", geeft Dameff als een hypothetisch voorbeeld.

De onderzoekers ontdekten ook dat 212 ziekenhuizen te maken hadden met storingen in "operationeel relevante" systemen, zoals platforms voor personeelsplanning, systemen voor het betalen van facturen en tools voor het beheren van wachttijden voor patiënten. In een andere categorie van "onderzoeksrelevante" diensten bleek uit het onderzoek dat 62 ziekenhuizen met storingen kampten. Het grootste deel van de storingen in de bevindingen van de onderzoekers viel onder de categorie "overig", met offline diensten die de onderzoekers niet volledig konden identificeren in hun scans bij 287 ziekenhuizen. Dit suggereert dat sommige van deze diensten mogelijk ook niet-getelde patiëntrelevante diensten waren.

"Niets in dit artikel stelt dat iemands beroerte verkeerd werd gediagnosticeerd of dat er vertraging was in de zorg voor iemand die levensreddende antibiotica kreeg, bijvoorbeeld. Maar dat zou wel kunnen", zegt Dameff. "Ik denk dat er veel bewijs is van dit soort verstoringen. Het is moeilijk te beweren dat mensen niet in een potentieel behoorlijk significante mate werden getroffen."

De bevindingen van het onderzoek geven een nieuwe, bredere kijk op de anekdotische rapporten over de impact van de storing bij CrowdStrike op medische voorzieningen, die het afgelopen jaar al aan het licht kwamen. WIRED meldde destijds dat het ziekenhuisnetwerk Baylor, een grote non-profitorganisatie in de gezondheidszorg, en Quest Diagnostics beide geen routinematig bloedonderzoek konden verwerken. Het ziekenhuisnetwerk Mass General Brigham in de regio Boston moest naar verluidt 45.000 pc's weer online brengen, die elk handmatig moesten worden hersteld en 15 tot 20 minuten in beslag namen.

In hun onderzoek probeerden de onderzoekers ook een ruwe schatting te maken van de duur van de uitval van de ziekenhuisdiensten die getroffen waren door de CrowdStrike-storing. Ze ontdekten dat de meeste diensten zich relatief snel herstelden: ongeveer 58 procent van de ziekenhuisdiensten was binnen zes uur weer online en slechts 8 procent had meer dan 48 uur nodig om te herstellen.

Dat is een veel kortere verstoring dan de uitval door daadwerkelijke cyberaanvallen die ziekenhuizen hebben getroffen, merken de onderzoekers op: Massaal verspreide malware-aanvallen zoals NotPetya en WannaCry in 2017, evenals de ransomware-aanval op Change Healthcare die begin 2024 de dochteronderneming van United Healthcare, een betalingsprovider, trof, legden tientallen ziekenhuizen in de VS – of in het geval van WannaCry, het Verenigd Koninkrijk – in sommige gevallen dagen of weken plat. Maar de gevolgen van het CrowdStrike-debacle verdienen desalniettemin een vergelijking met die opzettelijk veroorzaakte digitale rampen voor ziekenhuizen, stellen de onderzoekers.

"De duur van de downtime verschilt, maar de omvang, het aantal getroffen ziekenhuizen in het hele land, de omvang en de potentiële intensiteit van de verstoring zijn vergelijkbaar", zegt Jeffrey Tully, kinderarts, anesthesist en onderzoeker op het gebied van cybersecurity die medeauteur is van de studie.

Een vertraging van uren, of zelfs minuten, kan de sterftecijfers onder patiënten met een hartaanval of beroerte verhogen, zegt Josh Corman, cybersecurityonderzoeker met een focus op medische cybersecurity bij het Institute for Security and Technology en voormalig CISA-medewerker die de UCSD-studie beoordeelde. Dat betekent dat zelfs een kortere uitval van patiëntgerelateerde diensten in honderden ziekenhuizen concrete en ernstig schadelijke – zij het moeilijk te meten – gevolgen kan hebben.

Naast het maken van een eerste schatting van de mogelijke gevolgen voor de gezondheid van patiënten bij dit incident, benadrukt het UCSD-team dat het echte werk van hun onderzoek is om aan te tonen dat het met de juiste tools mogelijk is om deze massale uitval van medische netwerken te monitoren en ervan te leren. Het resultaat kan een beter inzicht zijn in hoe ziekenhuizen in de toekomst uitval door cyberaanvallen en ransomware kunnen voorkomen of, in het geval van meer opzettelijke downtime, kunnen worden beschermd.