Исследование показало, что по меньшей мере 750 больниц в США столкнулись с перебоями в работе из-за прошлогоднего сбоя CrowdStrike.

Когда год назад, в этот день, ошибочное обновление программного обеспечения, продаваемое компанией CrowdStrike, специализирующейся на кибербезопасности, вывело из строя миллионы компьютеров по всему миру и отправило их в смертельную спираль постоянных перезагрузок, глобальная стоимость всех этих вышедших из строя машин была эквивалентна одной из самых масштабных кибератак в истории. По разным оценкам , общий ущерб по всему миру исчисляется миллиардами долларов.

Новое исследование , проведённое группой специалистов по медицинской кибербезопасности, сделало первые шаги к количественной оценке ущерба от катастрофы CrowdStrike не в долларах, а в потенциальном ущербе для больниц и их пациентов по всей территории США. Исследование выявило, что сотни услуг этих больниц были нарушены во время сбоя, и вызывает опасения по поводу потенциально серьёзных последствий для здоровья и благополучия пациентов.

Сегодня исследователи из Калифорнийского университета в Сан-Диего отметили первую годовщину катастрофы CrowdStrike, опубликовав статью в JAMA Network Open, издании журнала Американской медицинской ассоциации, в которой впервые предпринята попытка дать приблизительную оценку количества больниц, сети которых пострадали от этого ИТ-обвала 19 июля 2024 года, а также указать, какие службы в этих сетях, по всей видимости, были нарушены.

Сканируя доступную через интернет часть больничных сетей до, во время и после кризиса, исследователи обнаружили, что как минимум 759 больниц в США, по всей видимости, столкнулись с теми или иными сбоями в работе сети в тот день. Они обнаружили, что более 200 из этих больниц, по всей видимости, пострадали от сбоев, напрямую затронувших пациентов: от недоступности медицинских карт и результатов анализов до отключения систем мониторинга плода. Из 2232 больничных сетей, которые им удалось просканировать, исследователи обнаружили, что целых 34% из них, по всей видимости, столкнулись с теми или иными сбоями.

Всё это указывает на то, что сбой в работе CrowdStrike мог представлять собой «серьёзную проблему для общественного здравоохранения», утверждает Кристиан Дамефф, врач отделения неотложной помощи Калифорнийского университета в Сан-Диего и исследователь в области кибербезопасности, а также один из авторов статьи. «Если бы у нас были данные этой статьи год назад, когда это произошло, — добавляет он, — думаю, мы были бы гораздо сильнее обеспокоены тем, насколько серьёзным было это влияние на здравоохранение США».

В заявлении для WIRED компания CrowdStrike резко раскритиковала исследование Калифорнийского университета в Сан-Диего (UCSD) и решение JAMA опубликовать его, назвав статью «лженаукой». Они отмечают, что исследователи не проверили, работали ли в пострадавших сетях Windows или программное обеспечение CrowdStrike, и указывают на то, что в тот же день произошёл серьёзный сбой в работе облачного сервиса Microsoft Azure, что могло стать причиной некоторых сбоев в работе больничной сети. «Делать выводы о времени простоя и влиянии на пациентов, не проверив результаты ни в одной из упомянутых больниц, совершенно безответственно и научно необоснованно», — говорится в заявлении.

«Хотя мы отвергаем методологию и выводы этого отчёта, мы признаём последствия инцидента год назад», — говорится в заявлении. «Как мы заявляли с самого начала, мы искренне приносим извинения нашим клиентам и пострадавшим и продолжаем работать над повышением устойчивости нашей платформы и отрасли в целом».

В ответ на критику CrowdStrike исследователи из Калифорнийского университета в Сан-Диего (UCSD) заявили, что остаются при своих выводах. Отмеченный CrowdStrike сбой в работе Azure, как они отмечают, начался предыдущей ночью и затронул преимущественно центральную часть США, в то время как зафиксированные ими сбои начались примерно в полночь по восточному времени США 19 июля — примерно в то время, когда из-за некорректного обновления CrowdStrike начали сбои в работе компьютеров — и затронули всю страну. (Microsoft не сразу ответила на запрос о комментарии.) «Нам не известны никакие другие гипотезы, объясняющие такие одновременные географически распределённые сбои в работе больничных сетей, подобные тем, что мы наблюдаем здесь», помимо сбоя CrowdStrike, — пишет в электронном письме изданию WIRED профессор информатики Калифорнийского университета в Сан-Диего Стефан Сэвидж, один из соавторов статьи. (JAMA отказалась комментировать критику CrowdStrike.)

Фактически, исследователи называют подсчёт выявленных сбоев в работе больниц лишь минимальной оценкой, а не показателем реального радиуса поражения сбоев CrowdStrike. Отчасти это связано с тем, что исследователям удалось просканировать лишь примерно треть из более чем 6000 больниц Америки, что позволяет предположить, что истинное число пострадавших медицинских учреждений могло быть в несколько раз выше.

Выводы исследователей из Калифорнийского университета в Сан-Диего стали результатом более масштабного проекта по сканированию интернета под названием Ransomwhere?, финансируемого Агентством перспективных исследовательских проектов в области здравоохранения и запущенного в начале 2024 года с целью выявления сбоев в работе больниц, связанных с программами-вымогателями. В рамках этого проекта они уже проверяли американские больницы, используя инструменты сканирования ZMap и Censys, когда в июле 2024 года случилась катастрофа, связанная с CrowdStrike.

Для 759 больниц, в которых исследователи обнаружили отключение сервиса 19 июля, их сканирование также позволило им проанализировать, какие конкретные сервисы, по-видимому, были отключены, используя общедоступные инструменты, такие как Censys и Lantern Project, для определения различных медицинских услуг, а также вручную проверяя некоторые веб-сервисы, которые они могли посетить. Они обнаружили, что в 202 больницах наблюдались сбои в работе сервисов, непосредственно связанных с пациентами. Эти сервисы включали порталы для персонала, используемые для просмотра медицинских карт пациентов, системы мониторинга плода, инструменты для удаленного мониторинга ухода за пациентами, безопасные системы передачи документов, которые позволяют переводить пациентов в другую больницу, «доврачебные» информационные системы, такие как инструменты, которые могут передавать первоначальные результаты тестов из машины скорой помощи в отделение неотложной помощи для пациентов, которым требуется срочное лечение, и системы хранения и поиска изображений, которые используются для предоставления результатов сканирования врачам и пациентам.

«Если у пациента случился инсульт и рентгенологу нужно было быстро просмотреть сканограмму, было бы гораздо сложнее передать ее от КТ-сканера к рентгенологу для интерпретации», — приводит Дамефф один из гипотетических примеров.

Исследователи также обнаружили, что в 212 больницах наблюдались сбои в работе систем, «важных для операционной деятельности», таких как платформы планирования работы персонала, системы оплаты счетов и инструменты управления временем ожидания пациентов. В другой категории услуг, «релевантных для исследования», исследование показало, что сбои наблюдались в 62 больницах. Наибольшая доля сбоев в результатах исследований пришлась на категорию «прочие», включающую офлайн-сервисы, которые исследователи не смогли полностью идентифицировать при сканировании в 287 больницах, что позволяет предположить, что некоторые из них также могли быть неучтенными услугами, важными для пациентов.

«В этой статье ничего не говорится о том, что кому-то был неправильно поставлен диагноз инсульта или, например, произошла задержка в оказании помощи человеку, которому жизненно необходимы антибиотики. Но это вполне могло быть», — говорит Дамефф. «Я думаю, есть множество доказательств подобных нарушений. Трудно утверждать, что люди не пострадали в потенциально довольно серьёзной степени».

Результаты исследования дают совершенно новый взгляд на отдельные сообщения о том, как сбой в работе CrowdStrike повлиял на медицинские учреждения, которые уже появлялись в течение прошлого года. В то время издание WIRED сообщало , что сеть больниц Бейлора, крупная некоммерческая система здравоохранения, и Quest Diagnostics не смогли обрабатывать стандартные анализы крови. Бостонской больничной системе Mass General Brigham, как сообщается, пришлось снова подключить 45 000 своих компьютеров, каждый из которых требовал ручного ремонта, занимавшего от 15 до 20 минут.

В своем исследовании ученые также попытались приблизительно измерить продолжительность простоя больничных служб, пострадавших от сбоя CrowdStrike, и обнаружили, что большинство из них восстановились относительно быстро: около 58 процентов больничных служб возобновили работу в течение шести часов, и только около 8 процентов потребовалось более 48 часов для восстановления.

Исследователи отмечают, что это гораздо более короткий период сбоя, чем простои от реальных кибератак, поразивших больницы: массовые атаки вредоносных программ, таких как NotPetya и WannaCry в 2017 году, а также атака с использованием вируса-вымогателя Change Healthcare , поразившая дочернюю платёжную систему United Healthcare в начале 2024 года, привели к закрытию десятков больниц по всей территории США (а в случае WannaCry — Великобритании) на несколько дней, а то и недель. Тем не менее, по мнению исследователей, последствия фиаско CrowdStrike заслуживают сравнения с цифровыми катастрофами, умышленно спровоцированными для больниц.

«Продолжительность простоев разная, но охват, количество затронутых больниц по всей стране, масштаб и потенциальная интенсивность сбоев одинаковы», — говорит Джеффри Талли, педиатр, анестезиолог и исследователь в области кибербезопасности, который стал соавтором исследования.

Задержка в несколько часов или даже минут может увеличить смертность среди пациентов с инфарктом и инсультом, считает Джош Корман, исследователь кибербезопасности, специализирующийся на медицинской кибербезопасности в Институте безопасности и технологий, и бывший сотрудник CISA, рецензировавший исследование Калифорнийского университета в Сан-Диего. Это означает, что даже кратковременный сбой в работе служб, обслуживающих пациентов, в сотнях больниц может иметь конкретные и серьёзные, пусть и трудноизмеримые, последствия.

Помимо предварительной оценки возможных последствий для здоровья пациентов в этом отдельном инциденте, команда Калифорнийского университета в Сан-Диего подчёркивает, что основная цель их исследования — показать, что с помощью правильных инструментов можно отслеживать эти массовые сбои в работе медицинских сетей и извлекать из них уроки. Результатом может стать более глубокое понимание того, как предотвратить (или, в случае более преднамеренных простоев из-за кибератак и программ-вымогателей), защитить больницы от подобных ситуаций в будущем.