Estudo revela que pelo menos 750 hospitais nos EUA sofreram interrupções durante a paralisação da CrowdStrike no ano passado

Quando, há um ano, uma atualização com bugs de um software vendido pela empresa de segurança cibernética CrowdStrike derrubou milhões de computadores em todo o mundo e os lançou em uma espiral mortal de reinicializações repetidas, o custo global de todas essas máquinas travadas foi equivalente a um dos piores ataques cibernéticos da história. Algumas das diversas estimativas do prejuízo total em todo o mundo chegam a bilhões de dólares.

Agora, um novo estudo realizado por uma equipe de pesquisadores de segurança cibernética médica deu os primeiros passos para quantificar o custo do desastre da CrowdStrike não em dólares, mas em danos potenciais a hospitais e seus pacientes nos EUA. O estudo revela evidências de que centenas de serviços desses hospitais foram interrompidos durante a interrupção e levanta preocupações sobre os efeitos potencialmente graves à saúde e ao bem-estar dos pacientes.

Pesquisadores da Universidade da Califórnia em San Diego marcaram hoje o aniversário de um ano da catástrofe da CrowdStrike divulgando um artigo no JAMA Network Open, uma publicação do Journal of the American Medical Association Network, que tenta pela primeira vez criar uma estimativa aproximada do número de hospitais cujas redes foram afetadas pelo colapso de TI em 19 de julho de 2024, bem como quais serviços nessas redes pareciam ter sido interrompidos.

Ao escanear partes das redes hospitalares expostas à internet antes, durante e depois da crise, eles detectaram que pelo menos 759 hospitais nos EUA parecem ter sofrido algum tipo de interrupção de rede naquele dia. Eles descobriram que mais de 200 desses hospitais parecem ter sido atingidos especificamente por interrupções que afetaram diretamente os pacientes, desde registros médicos e exames de imagem inacessíveis até sistemas de monitoramento fetal que ficaram offline. Das 2.232 redes hospitalares que conseguiram escanear, os pesquisadores detectaram que 34% delas parecem ter sofrido algum tipo de interrupção.

Tudo isso indica que a interrupção do CrowdStrike poderia ter sido um "problema significativo de saúde pública", argumenta Christian Dameff, médico de emergência e pesquisador de segurança cibernética da UCSD, e um dos autores do artigo. "Se tivéssemos os dados deste artigo um ano atrás, quando isso aconteceu", acrescenta, "acho que teríamos ficado muito mais preocupados com o impacto real que isso teve na saúde dos EUA".

A CrowdStrike, em declaração à WIRED, criticou duramente o estudo da UCSD e a decisão do JAMA de publicá-lo, chamando o artigo de "ciência lixo". Eles observam que os pesquisadores não verificaram se as redes afetadas executavam Windows ou software da CrowdStrike e apontam que o serviço de nuvem Azure, da Microsoft, sofreu uma grande interrupção no mesmo dia, o que pode ter sido responsável por algumas das interrupções na rede hospitalar. "Tirar conclusões sobre o tempo de inatividade e o impacto nos pacientes sem verificar as descobertas com qualquer um dos hospitais mencionados é completamente irresponsável e cientificamente indefensável", diz a declaração.

“Embora rejeitemos a metodologia e as conclusões deste relatório, reconhecemos o impacto que o incidente teve há um ano”, acrescenta o comunicado. “Como dissemos desde o início, pedimos sinceras desculpas aos nossos clientes e aos afetados e continuamos focados em fortalecer a resiliência da nossa plataforma e do setor.”

Em resposta às críticas da CrowdStrike, os pesquisadores da UCSD afirmam que mantêm suas conclusões. A interrupção do Azure observada pela CrowdStrike, eles apontam, começou na noite anterior e afetou principalmente a região central dos EUA, enquanto as interrupções que eles mediram começaram por volta da meia-noite, horário da costa leste dos EUA, em 19 de julho — mais ou menos na mesma época em que a atualização defeituosa da CrowdStrike começou a travar computadores — e afetaram todo o país. (A Microsoft não respondeu imediatamente a um pedido de comentário.) "Não temos conhecimento de nenhuma outra hipótese que explique interrupções de serviço simultâneas e geograficamente distribuídas dentro das redes hospitalares, como as que vemos aqui", além da interrupção da CrowdStrike, escreve o professor de ciência da computação da UCSD, Stefan Savage, um dos coautores do artigo, em um e-mail para a WIRED. (O JAMA se recusou a comentar em resposta às críticas da CrowdStrike.)

Na verdade, os pesquisadores descrevem a contagem de interrupções hospitalares detectadas como apenas uma estimativa mínima, e não uma medida do raio real de explosão dos acidentes da CrowdStrike. Isso se deve, em parte, ao fato de os pesquisadores terem conseguido escanear apenas cerca de um terço dos mais de 6.000 hospitais dos EUA, o que sugere que o número real de instalações médicas afetadas pode ter sido várias vezes maior.

As descobertas dos pesquisadores da UCSD resultaram de um projeto maior de varredura na internet que eles chamam de Ransomwhere?, financiado pela Agência de Projetos de Pesquisa Avançada para a Saúde e lançado no início de 2024 com a intenção de detectar interrupções de ransomware em hospitais. Como resultado desse projeto, eles já estavam sondando hospitais dos EUA usando as ferramentas de varredura ZMap e Censys quando a calamidade da CrowdStrike ocorreu em julho de 2024.

Para os 759 hospitais em que os pesquisadores detectaram que um serviço foi desativado em 19 de julho, suas varreduras também permitiram que eles analisassem quais serviços específicos pareciam estar inativos, usando ferramentas disponíveis publicamente como Censys e o Lantern Project para identificar diferentes serviços médicos, bem como verificando manualmente alguns serviços baseados na web que eles poderiam visitar. Eles descobriram que 202 hospitais sofreram interrupções de serviços diretamente relacionados aos pacientes. Esses serviços incluíam portais de funcionários usados para visualizar registros de saúde de pacientes, sistemas de monitoramento fetal, ferramentas para monitoramento remoto do atendimento ao paciente, sistemas seguros de transferência de documentos que permitem que os pacientes sejam transferidos para outro hospital, sistemas de informação "pré-hospitalares" como as ferramentas que podem compartilhar resultados de testes iniciais de uma ambulância para uma sala de emergência para pacientes que precisam de tratamentos urgentes e os sistemas de armazenamento e recuperação de imagens que são usados para disponibilizar os resultados dos exames para médicos e pacientes.

“Se um paciente estivesse tendo um derrame e o radiologista precisasse analisar uma imagem de tomografia rapidamente, seria muito mais difícil levá-la do tomógrafo para o radiologista ler”, oferece Dameff como um exemplo hipotético.

Os pesquisadores também descobriram que 212 hospitais apresentavam interrupções em sistemas "operacionalmente relevantes", como plataformas de agendamento de funcionários, sistemas de pagamento de contas e ferramentas para gerenciar o tempo de espera dos pacientes. Em outra categoria de serviços "relevantes para a pesquisa", o estudo constatou que 62 hospitais enfrentavam interrupções. A maior fração de interrupções nas descobertas dos pesquisadores foi a categoria "outros", que incluía serviços offline que os pesquisadores não conseguiram identificar completamente em suas varreduras em 287 hospitais, sugerindo que alguns desses também podem ter sido serviços relevantes para os pacientes não contabilizados.

“Nada neste artigo diz que o AVC de alguém foi diagnosticado incorretamente ou que houve atraso no atendimento de alguém que recebeu antibióticos vitais, por exemplo. Mas pode ter havido”, diz Dameff. “Acho que há muitas evidências desse tipo de interrupção. Seria difícil argumentar que as pessoas não foram impactadas em um nível potencialmente bastante significativo.”

As descobertas do estudo dão um novo e amplo sentido de escopo aos relatos anedóticos sobre como a interrupção do CrowdStrike afetou instalações médicas, já divulgados no último ano. A WIRED noticiou na época que a rede de hospitais Baylor, um importante sistema de saúde sem fins lucrativos, e a Quest Diagnostics não conseguiam processar exames de sangue de rotina. O sistema hospitalar Mass General Brigham, na região de Boston, teria precisado reativar 45.000 de seus PCs, o que exigiu uma correção manual que levou de 15 a 20 minutos.

Em seu estudo, os pesquisadores também tentaram medir aproximadamente a duração do tempo de inatividade dos serviços hospitalares afetados pela interrupção do CrowdStrike e descobriram que a maioria se recuperou relativamente rápido: cerca de 58% dos serviços hospitalares voltaram a funcionar em seis horas, e apenas 8% levaram mais de 48 horas para se recuperar.

Essa é uma interrupção muito menor do que as interrupções causadas por ataques cibernéticos reais que atingiram hospitais, observam os pesquisadores: ataques de malware de disseminação em massa, como NotPetya e WannaCry em 2017, bem como o ataque de ransomware Change Healthcare , que atingiu a subsidiária de pagamento da United Healthcare no início de 2024, fecharam dezenas de hospitais nos EUA — ou, no caso do WannaCry, no Reino Unido — por dias ou semanas em alguns casos. Mas os efeitos do desastre da CrowdStrike, no entanto, merecem ser comparados aos desastres digitais infligidos intencionalmente aos hospitais, argumentam os pesquisadores.

“A duração dos períodos de inatividade é diferente, mas a amplitude, o número de hospitais afetados em todo o país, a escala e a intensidade potencial da interrupção são semelhantes”, afirma Jeffrey Tully, pediatra, anestesista e pesquisador de segurança cibernética que foi coautor do estudo.

Um atraso de horas, ou mesmo minutos, pode aumentar as taxas de mortalidade de pacientes com ataque cardíaco e derrame, afirma Josh Corman, pesquisador de segurança cibernética com foco em segurança cibernética médica no Instituto de Segurança e Tecnologia e ex-funcionário da CISA que revisou o estudo da UCSD. Isso significa que mesmo uma interrupção de curta duração nos serviços relacionados aos pacientes em centenas de hospitais pode ter consequências concretas e seriamente prejudiciais — embora difíceis de mensurar.

Além de fazer uma primeira estimativa do possível impacto na saúde dos pacientes neste único incidente, a equipe da UCSD enfatiza que o verdadeiro objetivo do estudo é mostrar que, com as ferramentas certas, é possível monitorar e aprender com essas interrupções em massa da rede médica. O resultado pode ser uma melhor noção de como prevenir — ou, no caso de períodos de inatividade mais intencionais devido a ataques cibernéticos e ransomware — proteger os hospitais contra esses problemas no futuro.