Les hôpitaux américains sont sujets à des cyberattaques, comme celle qui a nui aux soins des patients à Ascension
À la suite d'une cyberattaque débilitante contre l'un des plus grands systèmes de santé du pays, Marvin Ruckle, infirmier dans un hôpital Ascension à Wichita, Kansas, a déclaré avoir vécu une expérience effrayante : il a failli donner à un bébé « la mauvaise dose de stupéfiant ». à cause d'une paperasse confuse.
Ruckle, qui a travaillé dans l'unité de soins intensifs néonatals de l'Ascension Via Christi St. Joseph pendant deux décennies, a déclaré qu'il était « difficile de déchiffrer quelle était la dose correcte » sur le dossier de médicaments. Il n'avait « jamais vu cela se produire », a-t-il déclaré, « lorsque nous étions sur le système informatique » avant la cyberattaque.
Une attaque de ransomware le 8 mai contre Ascension, un système de santé catholique comptant 140 hôpitaux dans au moins 10 États, a exclu les prestataires des systèmes qui suivent et coordonnent presque tous les aspects des soins aux patients. Ils incluent ses systèmes de dossiers de santé électroniques, certains téléphones et ceux « utilisés pour commander certains tests, procédures et médicaments », a indiqué la société dans un communiqué du 9 mai.
Plus d'une douzaine de médecins et d'infirmières travaillant pour ce système de santé tentaculaire ont déclaré à Michigan Public et à KFF Health News que les soins aux patients dans ses hôpitaux à travers le pays avaient été compromis par les retombées de la cyberattaque des dernières semaines. Les cliniciens travaillant pour des hôpitaux dans trois États ont décrit des erreurs déchirantes, notamment des résultats de laboratoire retardés ou perdus, des erreurs de médication et une absence de contrôles de sécurité de routine via la technologie pour éviter des erreurs potentiellement mortelles.
Malgré une augmentation précipitée des cyberattaques contre le secteur de la santé ces dernières années, une perturbation d'une telle ampleur qui dure des semaines dépasse ce à quoi la plupart des systèmes de santé sont préparés, a déclaré John Clark, directeur adjoint de la pharmacie au système de santé de l'Université du Michigan.
« Je ne pense pas que quiconque soit pleinement préparé », a-t-il déclaré. La plupart des plans de gestion des urgences « sont conçus autour de temps d'arrêt à long terme d'une durée d'un, deux ou trois jours ».
Ascension, dans une déclaration publique du 9 mai, a déclaré que ses équipes de soins étaient « formées pour ce type de perturbations », mais n'a pas répondu aux questions posées début juin quant à savoir si elle s'était préparée à des périodes d'arrêt plus longues. Ascension a déclaré le 14 juin qu'elle avait rétabli l'accès aux dossiers de santé électroniques sur son réseau, mais que les « dossiers médicaux et autres informations des patients collectés entre le 8 mai » et le moment où le service a été rétabli « pourraient être temporairement inaccessibles pendant que nous travaillons à mettre à jour le portail avec des informations. collectées pendant le temps d'arrêt du système.
Ruckle a déclaré qu'il « n'avait aucune formation » pour la cyberattaque.
Retour au papier
Lisa Watson, infirmière de l'unité de soins intensifs à l'hôpital Ascension Via Christi St. Francis à Wichita, a décrit son propre accident. Elle a déclaré qu'elle avait failli administrer le mauvais médicament à un patient gravement malade parce qu'elle ne pouvait pas le scanner comme elle le ferait normalement. « Mon patient serait probablement décédé si je ne l'avais pas attrapé », a-t-elle déclaré.
Watson n'est pas étrangère à l'utilisation du papier pour les dossiers médicaux des patients, affirmant qu'elle l'a fait « probablement pendant la moitié de ma carrière », avant que les dossiers de santé électroniques ne deviennent omniprésents dans les hôpitaux. Ce qui s’est passé après la cyberattaque n’était « en aucun cas la même chose ».
« Lorsque nous avons rédigé des dossiers papier, nous avions des systèmes en place pour acheminer ces commandes vers d'autres départements en temps opportun », a-t-elle déclaré, « et celles-ci ont toutes disparu ».
Melissa LaRue, infirmière aux soins intensifs à l'hôpital Ascension Saint Agnes de Baltimore, a décrit un incident évité de justesse en raison de « l'administration d'un mauvais dosage » de médicaments contre l'hypertension à un patient. « Heureusement », a-t-elle déclaré, « la situation a été vérifiée trois fois et corrigée avant que cela ne se produise. Mais je pense que le risque de préjudice est présent lorsque vous avez autant d'informations et de paperasse à remplir. »
Les cliniciens affirment que leurs hôpitaux se sont appuyés sur des solutions de contournement bâclées, en utilisant des notes manuscrites, des fax, des notes autocollantes et des feuilles de calcul informatiques de base – dont beaucoup sont conçues à la volée par des médecins et des infirmières – pour soigner les patients.
Plus d'une douzaine d'autres infirmières et médecins, dont certains sans protection syndicale, dans les hôpitaux Ascension du Michigan ont raconté des situations dans lesquelles, selon eux, les soins aux patients ont été compromis. Ces cliniciens se sont exprimés à condition de ne pas être nommés par crainte de représailles de la part de leur employeur.
Un médecin des urgences de l'hôpital Ascension de Détroit a déclaré qu'un homme de l'est de la ville avait reçu un stupéfiant dangereux destiné à un autre patient en raison d'une confusion dans les documents. En conséquence, la respiration du patient a ralenti au point qu’il a dû être mis sous respirateur. « Nous l'avons intubé et nous l'avons envoyé aux soins intensifs parce qu'il avait reçu le mauvais médicament. »
Une infirmière des urgences d'un hôpital Ascension du Michigan a déclaré qu'une femme souffrant d'hypoglycémie et d'un « état mental altéré » avait fait un arrêt cardiaque et était décédée après que le personnel ait déclaré avoir attendu quatre heures pour obtenir les résultats de laboratoire dont ils avaient besoin pour déterminer comment la traiter, mais qu'ils n'avaient jamais reçus. « Si je commençais à avoir une douleur thoracique écrasante au milieu du travail et que je pensais en avoir une grosse, j'appellerais quelqu'un pour me conduire dans la rue jusqu'à un autre hôpital », a déclaré la même infirmière des urgences.
Des préoccupations similaires auraient conduit une infirmière de voyage d’un hôpital Ascension dans l’Indiana à démissionner. « Je veux juste avertir les patients qui se rendent dans l'un des établissements de l'Ascension qu'il y aura des retards dans les soins. Il y a un risque d'erreur et de préjudice », a déclaré Justin Neisser à CBS4 à Indianapolis en mai.
Plusieurs infirmières et médecins des hôpitaux de l'Ascension ont déclaré craindre que les erreurs dont ils ont été témoins depuis le début de la cyberattaque ne menacent leurs licences professionnelles. « C'est ainsi qu'un RaDonda Vaught se produit », a déclaré une infirmière, faisant référence à l'infirmière du Tennessee qui a été reconnue coupable d'homicide par négligence criminelle en 2022 pour une erreur mortelle de drogue.
Les journalistes n'ont pas pu examiner les dossiers pour vérifier les affirmations des cliniciens en raison des lois sur la confidentialité des informations médicales des patients qui s'appliquent aux professionnels de la santé.
Ascension a refusé de répondre aux questions sur les allégations selon lesquelles les soins auraient été affectés par l'attaque du ransomware. « Comme nous l'avons clairement indiqué tout au long de cette cyberattaque qui a touché notre système et nos prestataires cliniques dédiés, prendre soin de nos patients est notre priorité absolue », a déclaré Sean Fitzpatrick, vice-président des communications externes d'Ascension, par courrier électronique le 3 juin. sommes convaincus que nos prestataires de soins dans nos hôpitaux et établissements continuent de fournir des soins médicaux de qualité.
Le gouvernement fédéral exige des hôpitaux qu'ils protègent les données de santé sensibles des patients, selon les experts en cybersécurité. Cependant, il n’existe aucune exigence fédérale obligeant les hôpitaux à prévenir ou à se préparer aux cyberattaques susceptibles de compromettre leurs systèmes électroniques.
Hôpitaux : « La cible n°1 des ransomwares »
« Nous avons commencé à considérer cela comme des problèmes de santé publique et des catastrophes de l'ampleur des tremblements de terre ou des ouragans », a déclaré Jeff Tully, codirecteur du Center for Healthcare Cybersecurity à l'Université de Californie à San Diego. « Ces types d'incidents de cybersécurité doivent être considérés comme une question de moment, et non de si. »
Josh Corman, expert et défenseur de la cybersécurité, a déclaré que les équipes de rançon considèrent les hôpitaux comme des proies parfaites : « Ils ont une sécurité épouvantable et ils paieront. Ainsi, presque immédiatement, les hôpitaux se sont tournés vers la cible n°1 des ransomwares. »
En 2023, le secteur de la santé a connu la plus grande part d'attaques de ransomware parmi 16 secteurs d'infrastructure considérés comme vitaux pour la sécurité ou la sûreté nationale, selon un rapport du FBI sur les crimes sur Internet. En mars, le ministère fédéral de la Santé et des Services sociaux a déclaré que les violations importantes impliquant des ransomwares avaient augmenté de 264 % au cours des cinq dernières années.
Cette année, une cyberattaque contre Change Healthcare, une unité de la division Optum du groupe UnitedHealth qui traite des milliards de transactions de soins de santé chaque année, a paralysé l'activité des prestataires, des pharmacies et des hôpitaux.
En mai, le PDG d'UnitedHealth Group, Andrew Witty, a déclaré aux législateurs que la société avait payé une rançon de 22 millions de dollars à la suite de l'attaque Change Healthcare, survenue après que des pirates ont accédé à un portail d'entreprise qui ne disposait pas d'une authentification multifactorielle, un outil de cybersécurité de base.
L’administration Biden a fait pression ces derniers mois pour renforcer les normes de cybersécurité des soins de santé, mais il n’est pas clair quelles nouvelles mesures seront nécessaires.
En janvier, le HHS a exhorté les entreprises à améliorer la sécurité du courrier électronique, à ajouter une authentification multifacteur et à instaurer une formation et des tests en matière de cybersécurité, entre autres mesures volontaires. Les Centers for Medicare & Medicaid Services devraient publier de nouvelles exigences pour les hôpitaux, mais la portée et le calendrier ne sont pas clairs. Il en va de même pour une mise à jour que le HHS devrait apporter aux réglementations sur la confidentialité des patients.
Le HHS a déclaré que les mesures volontaires « éclaireront la création de nouvelles normes applicables en matière de cybersécurité », a déclaré le porte-parole du département, Jeff Nesbit, dans un communiqué.
« La récente cyberattaque contre Ascension ne fait que souligner la nécessité pour tous les acteurs de l'écosystème des soins de santé de faire leur part pour sécuriser leurs systèmes et protéger les patients », a déclaré Nesbit.
Pendant ce temps, les lobbyistes du secteur hospitalier affirment que les mandats ou sanctions en matière de cybersécurité sont déplacés et réduiraient les ressources dont disposent les hôpitaux pour repousser les attaques.
« Les hôpitaux et les systèmes de santé ne sont pas la principale source d'exposition aux cyber-risques auxquels est confronté le secteur des soins de santé », a déclaré l'American Hospital Association, le plus grand groupe de pression des hôpitaux américains, dans une déclaration préparée en avril pour les législateurs de la Chambre des représentants des États-Unis. La plupart des violations de données majeures qui ont frappé les hôpitaux en 2023 provenaient de « partenaires commerciaux » tiers ou d'autres entités de santé, y compris CMS elle-même, indique le communiqué de l'AHA.
Les hôpitaux qui se regroupent en grands systèmes de santé multi-états sont confrontés à un risque accru de violations de données et d'attaques de ransomware, selon une étude. Ascension était en 2022 la troisième plus grande chaîne d'hôpitaux aux États-Unis en termes de nombre de lits, selon les données les plus récentes de l'Agence fédérale pour la recherche et la qualité des soins de santé.
Et même si les réglementations en matière de cybersécurité peuvent rapidement devenir obsolètes, elles peuvent au moins indiquer clairement que si les systèmes de santé ne parviennent pas à mettre en œuvre des protections de base, cela « devrait avoir des conséquences », estime Jim Bagian, ancien directeur du Centre national pour la sécurité des patients à l'hôpital des anciens combattants. Health Administration, a déclaré au Michigan Public's Stateside.
Les patients peuvent en payer le prix en cas de défaillance. Les personnes hospitalisées sont confrontées à un plus grand risque de décès lors d'une cyberattaque, selon des chercheurs de l'École de santé publique de l'Université du Minnesota.
Les travailleurs préoccupés par la sécurité des patients dans les hôpitaux Ascension du Michigan ont demandé à l'entreprise d'apporter des changements.
« Nous implorons Ascension de reconnaître les problèmes internes qui continuent de tourmenter ses hôpitaux, à la fois publiquement et de manière transparente », a déclaré Dina Carlisle, infirmière et présidente du syndicat OPEIU Local 40, qui représente les infirmières d'Ascension Providence Rochester. Au moins 125 membres du personnel de cet hôpital de l'Ascension ont signé une pétition demandant aux administrateurs de réduire temporairement les chirurgies électives et les admissions de patients non urgents, comme dans le cadre des protocoles adoptés par de nombreux hôpitaux au début de la pandémie de covid-19.
Watson, l'infirmière de l'unité de soins intensifs du Kansas, a déclaré fin mai que les infirmières avaient exhorté la direction à faire appel à davantage d'infirmières pour aider à gérer le flux de travail. « Tout ce que nous disons est tombé dans l'oreille d'un sourd », a-t-elle déclaré.
« Il est très difficile d'être infirmière à Ascension en ce moment », a déclaré Watson fin mai. « Il est très difficile d'être un patient à l'Ascension en ce moment. »
Si vous êtes un patient ou un travailleur dans un hôpital de l'Ascension et que vous souhaitez parler de vos expériences à KFF Health News, Cliquez ici pour partager votre histoire avec nous.
Cet article a été réimprimé de khn.org, une salle de rédaction nationale qui produit un journalisme approfondi sur les questions de santé et qui constitue l'un des principaux programmes opérationnels de KFF – la source indépendante de recherche, de sondages et de journalisme sur les politiques de santé. |