Atak ransomware przyczynił się do śmierci pacjenta

Śmierć jednej osoby została powiązana z atakiem ransomware na służby krwi NHS w londyńskich szpitalach i przychodniach lekarskich w czerwcu ubiegłego roku.

Fundacja NHS King's College Hospital potwierdziła, że ​​jeden pacjent „niespodziewanie zmarł” podczas cyberataku 3 czerwca 2024 r., który zakłócił ponad 10 000 wizyt.

Rzecznik fundacji poinformował, że do śmierci pacjenta przyczyniło się wiele czynników, w tym „długie oczekiwanie na wyniki badań krwi”.

Podczas incydentu skradziono dane pacjentów zarządzane przez Synnovis, agencję zarządzającą laboratoriami dla placówek NHS i lekarzy rodzinnych w południowo-wschodnim Londynie.

Rzecznik fundacji poinformował, że przeprowadzono szczegółową analizę opieki nad pacjentem.

„Śledztwo w sprawie incydentu związanego z bezpieczeństwem pacjenta ujawniło szereg czynników, które doprowadziły do ​​śmierci pacjenta” – powiedzieli.

„Obejmowało to długie oczekiwanie na wyniki badań krwi z powodu cyberataku, który miał wówczas wpływ na placówki patologiczne.

„Spotkaliśmy się z rodziną pacjenta i podzieliliśmy się z nimi wynikami dochodzenia w sprawie bezpieczeństwa”.

Rzecznik dodał, że nie może potwierdzić daty zgonu ani wieku osoby, powołując się na klauzulę poufności.

Mark Dollar, dyrektor generalny Synnovis, powiedział: „Jesteśmy głęboko zasmuceni informacją, że zeszłoroczny cyberatak został zidentyfikowany jako jeden z czynników, który przyczynił się do śmierci tego pacjenta.

„Nasze myśli są z rodziną zaangażowaną w tę sprawę”.

Ponad 10 000 wizyt zostało odwołanych w dwóch najbardziej dotkniętych londyńskich NHS trusts. Znaczna liczba praktyk GP w Londynie nie była w stanie zlecić badań krwi swoim pacjentom.

Health Service Journal (HSJ) poinformował, że było prawie 600 „incydentów” powiązanych z atakiem, a opieka nad pacjentami ucierpiała w 170 z nich. Jeden przypadek był „poważny”, 14 doprowadził do „umiarkowanego” uszczerbku, a pozostałe zostały określone jako „niski uszczerbek”, powiedział HSJ.

Zgodnie z wytycznymi NHS, poważne uszkodzenie ciała występuje, gdy u pacjenta występuje trwały uszczerbek na zdrowiu, potrzeba opieki ratującej życie lub gdy istnieje ryzyko skrócenia jego oczekiwanej długości życia, a to tylko niektóre z czynników.

Deryck Mitchelson z firmy Check Point zajmującej się cyberbezpieczeństwem stwierdził, że cyberataki były czymś więcej niż tylko „zakłóceniem”, ponieważ wyrządziły „szkodę pacjentom”.

Pan Mitchelson, były dyrektor National Digital i szef ds. bezpieczeństwa informacji w NHS National Services Scotland, powiedział, że systemy informatyczne są tak bezpieczne, jak najsłabsze ogniwo w łańcuchu.

„Śmierć, która została już potwierdzona, jest tragiczna, ale nie jest zaskakująca. Kiedy systemy, które stanowią podstawę diagnostyki i leczenia, są ograniczane na dużą skalę, konsekwencje nie są hipotetyczne. To jest rzeczywisty koszt” – powiedział.

„To nie był bezosobowy akt. Nie chodziło tylko o systemy lub dane, które atakowałeś — to była opieka. To byli ludzie. Jeden z nich stracił życie. To powinno mocno ciążyć”.

Qilin, rosyjska grupa cyberprzestępcza odpowiedzialna za atak, wcześniej oświadczyła, że ​​„przeprasza” za wszelkie wyrządzone szkody, ale „nie ponosi winy”.

Gang cyberprzestępców udzielił wywiadu BBC w czerwcu 2024 r. na szyfrowanym czacie qTox i próbował uzasadnić atak, twierdząc, że jest to forma protestu politycznego.

Qilin twierdzi, że cyberatak był zemstą za działania rządu Wielkiej Brytanii w nieujawnionej wojnie.