Μια κυβερνοεπίθεση που προκάλεσε αναστάτωση σε νοσοκομεία στο Λονδίνο πέρυσι συνέβαλε στον θάνατο ενός ασθενούς σύμφωνα με πόρισμα των υγειονομικών υπηρεσιών.
Ρωσική ομάδα από Hackers στόχευσε τον Ιούνιο του 2024 την Synnovis, έναν εργολάβο που παρέχει εξετάσεις αίματος, μεταγγίσεις και άλλες υπηρεσίες παθολογίας στην Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου, το NHS. Η παραβίαση προκάλεσε μια μεγάλη κρίση στους παρόχους υγειονομικής περίθαλψης, κυρίως στα νοτιοανατολικά της πόλης. Ένας από τους επηρεαζόμενους ομίλους νοσοκομείων του NHS, το King’s College Hospital NHS Foundation Trust, δήλωσε σε ανακοίνωσή του την Τετάρτη ότι η παραβίαση ήταν ένας παράγοντας που συνέβαλε στον θάνατο ενός ασθενούς. Το περιστατικό αντιπροσωπεύει την πρώτη γνωστή περίπτωση στην οποία οι υγειονομικοί αξιωματούχοι επιβεβαίωσαν δημόσια ότι μια κυβερνοεπίθεση προκάλεσε ή συνέβαλε σε θάνατο. «Δυστυχώς, ένας ασθενής πέθανε απροσδόκητα κατά τη διάρκεια της κυβερνοεπίθεσης», δήλωσε εκπρόσωπος του King’s College NHS trust. Το trust διεξήγαγε έρευνα για τον θάνατο του ασθενούς και διαπίστωσε ότι η μακρά αναμονή για ένα αποτέλεσμα εξέτασης αίματος λόγω της κυβερνοεπίθεσης ήταν ένας παράγοντας που συνέβαλε, πρόσθεσε ο εκπρόσωπος.
Οι επιτιθέμενοι μόλυναν τους υπολογιστές της Synnovis με ransomware, το οποίο κρυπτογράφησε αρχεία που ήταν αποθηκευμένα στα συστήματα της εταιρείας και τα καθιστούσε μη λειτουργικά. Αυτό οδήγησε σε μήνες αναστάτωσης σε νοσοκομεία και ιατρεία. Σύμφωνα με το NHS, οι ιατρικές εγκαταστάσεις αναγκάστηκαν να αναβάλουν περισσότερα από 10.000 ραντεβού και να ακυρώσουν περισσότερες από 1.700 προγραμματισμένες επεμβάσεις.
«Με βαθιά θλίψη ακούμε ότι η εγκληματική κυβερνοεπίθεση του περασμένου έτους έχει αναγνωριστεί ως ένας από τους παράγοντες που συνέβαλαν στον θάνατο αυτού του ασθενούς», δήλωσε ο Διευθύνων Σύμβουλος της Synnovis, Mark Dollar, σε ανακοίνωσή του. «Οι καρδιές μας είναι με την οικογένεια του».
Οι γιατροί είχαν καταγράψει δύο περιπτώσεις «σοβαρής βλάβης» που συνδέονται με την παραβίαση, εκτός από 11 περιπτώσεις μέτριας βλάβης και 120 περιπτώσεις ελαφράς βλάβης, ανέφερε το Bloomberg News τον Ιανουάριο. Λεπτομέρειες σχετικά με τη συγκεκριμένη βλάβη στην υγεία των ατόμων δεν ήταν διαθέσιμες λόγω του απορρήτου των ασθενών. Δεν είναι σαφές πότε οι υγειονομικοί υπάλληλοι διαπίστωσαν ότι ο θάνατος του ασθενούς είχε συνδεθεί με την παραβίαση.
Ο Saif Abed, πρώην γιατρός του NHS και ειδικός στην κυβερνοασφάλεια, δήλωσε ότι η υπόθεση ισοδυναμεί με τον πρώτο δημόσια αναγνωρισμένο θάνατο που συνδέεται με κυβερνοεπίθεση που αφορά πάροχο υγείας οπουδήποτε στον κόσμο. Κάλεσε την κυβέρνηση του Ηνωμένου Βασιλείου να αναθέσει μια ανεξάρτητη αξιολόγηση της κυβερνοασφάλειας και της ασφάλειας των ασθενών του NHS.
«Οι κυβερνοεπιθέσεις έχουν αναγνωριστεί εδώ και καιρό ως απειλή για την ασφάλεια των ασθενών, αλλά τώρα έχουμε τραγικά στοιχεία για αυτό το γεγονός», είπε.
Οι χάκερ που ευθύνονται για την επίθεση στη Synnovis, οι οποίοι χρησιμοποιούν το όνομα Qilin, δήλωσαν στο Bloomberg News σε συνέντευξή τους τον Ιούνιο του 2024 ότι είχαν απαιτήσει 50 εκατομμύρια δολάρια από την εταιρεία. Αρνήθηκαν να αναλάβουν την ευθύνη για το ανθρώπινο κόστος της παραβίασής τους και υποστήριξαν ότι η επίθεσή τους δικαιολογούνταν ως αντίποινα για τη συμμετοχή της βρετανικής κυβέρνησης σε απροσδιόριστους πολέμους. Οι χάκερ στη συνέχεια δημοσίευσαν στο διαδίκτυο μια πληθώρα εμπιστευτικών ιατρικών δεδομένων που είχαν κλέψει από τους υπολογιστές της Synnovis.
Είναι σπάνιο για τους οργανισμούς υγειονομικής περίθαλψης να δημοσιεύουν δεδομένα σχετικά με βλάβες που προκλήθηκαν σε ασθενείς ως αποτέλεσμα περιστατικών κυβερνοασφάλειας. Σε μια ξεχωριστή επίθεση σε νοσοκομεία της Ιρλανδίας το 2021, για παράδειγμα, στελέχη του τομέα της υγείας στην Ιρλανδία δήλωσαν ότι δεν είχαν αριθμούς για συγκεκριμένες βλάβες που προκλήθηκαν, αν και σε δεκάδες ασθενείς αναβλήθηκαν θεραπείες για καρκίνο και άλλες σοβαρές παθήσεις.
Μετά από μια επίθεση ransomware σε νοσοκομείο στην Αλαμπάμα το 2019, μια γυναίκα υπέβαλε αγωγή ισχυριζόμενη ότι η διαταραχή στα ιατρικά συστήματα που προκλήθηκε από την κυβερνοεπίθεση οδήγησε στον θάνατο του μωρού της επειδή οι γιατροί δεν μπόρεσαν να αξιολογήσουν τα αποτελέσματα της παρακολούθησης του εμβρύου, τα οποία έδειξαν ότι το παιδί βρισκόταν σε δυσφορία κατά τη διάρκεια του τοκετού. Το νοσοκομείο αργότερα διευθέτησε την αγωγή.
