Dokter dan perawat di lebih dari selusin negara telah menggunakan metode pengobatan manual dan pesanan tertulis untuk mencatat penyakit pasien dan melacaknya, karena tidak dapat mengakses riwayat medis terperinci yang sebelumnya hanya tersedia melalui catatan komputer. Pasien harus menunggu lama di ruang gawat darurat, dan pengobatan mereka tertunda karena hasil tes laboratorium dan hasil dari mesin seperti MRI disampaikan melalui upaya sementara yang kurang cepat dibandingkan dengan pengunggahan elektronik. Lebih dari dua minggu terakhir, ribuan personel medis telah beralih ke metode manual setelah serangan siber terjadi pada Ascension, salah satu sistem kesehatan terbesar di negara ini dengan sekitar 140 rumah sakit di 19 negara bagian dan Distrik Columbia.
Serangan besar-besaran pada 8 Mei sangat mirip dengan serangan terhadap Change Healthcare, unit dari UnitedHealth Group yang mengelola sistem pembayaran layanan kesehatan terbesar di negara ini. Serangan tersebut menyebabkan sistem pembayaran digital Change terputus, meninggalkan rumah sakit, dokter, dan apoteker tanpa cara untuk berkomunikasi dengan perusahaan asuransi kesehatan selama berminggu-minggu. Pasien tidak dapat mengisi resep obat, dan penyedia layanan tidak bisa mendapatkan pembayaran atas perawatan.
Sementara beberapa serangan siber sebelumnya hanya memengaruhi satu rumah sakit atau jaringan medis skala kecil, kerusakan pada Change, yang mengelola sepertiga dari semua catatan pasien di Amerika Serikat, menunjukkan bahaya konsolidasi saat satu entitas menjadi begitu penting bagi sistem kesehatan negara ini.
Sistem Ascension tetap tidak berfungsi untuk waktu yang tidak terbatas, tetapi dokter dan perawat sedang berupaya untuk mendapatkan akses ke beberapa informasi tentang riwayat medis pasien dengan melihat catatan kesehatan yang dipegang oleh penyedia lain. Ascension juga memberitahu dokter dan perawat bahwa mereka akan segera dapat melihat catatan digital yang sudah ada.
“Ini adalah gangguan besar bagi semua pihak yang terlibat,” kata Kristine Kittelson, seorang perawat di Ascension Seton Medical Center di Austin, Texas, yang juga anggota serikat National Nurses United.
Serangan terhadap Ascension telah berdampak lebih luas seperti halnya serangan terhadap Change, dengan beberapa rumah sakit di Indiana, Michigan, dan tempat lain mengalihkan ambulans. Rumah sakit Ascension menangani sekitar tiga juta kunjungan ke ruang gawat darurat setiap tahun dan melakukan hampir 600.000 operasi.
Seperti halnya Change, Ascension menjadi sasaran serangan ransomware, dan kelompok rumah sakit mengatakan bahwa mereka sedang bekerja sama dengan badan penegak hukum federal. Serangan tersebut diduga dilakukan oleh kelompok yang dikenal sebagai Black Basta, yang mungkin terkait dengan penjahat siber berbahasa Rusia, menurut laporan berita.
Ada kekhawatiran bahwa para peretas dapat mengungkap informasi medis pribadi, dan beberapa pasien sudah mulai mengajukan gugatan federal terhadap Ascension dengan tuduhan bahwa perusahaan tersebut tidak cukup melindungi data mereka.
Organisasi kesehatan besar semakin menjadi sasaran utama bagi para penjahat siber, yang bertujuan menimbulkan kekacauan sebanyak mungkin pada bagian vital infrastruktur Amerika Serikat. “Ini adalah sesuatu yang akan terjadi berulang kali,” kata Steve Cagle, chief executive dari Clearwater, sebuah perusahaan kepatuhan layanan kesehatan.
Dengan jaringan rumah sakit dan klinik yang luas, organisasi besar belum mengidentifikasi di mana mereka rentan dan bagaimana cara meminimalkan gangguan dari serangan serius. Industri tersebut “tidak pernah merencanakan ini,” kata Cagle.
Sementara Ascension terus melayani pasien, bahaya dari kehilangan sebagian dari riwayat medis pasien sangat terasa. Dalam wawancara, dokter dan perawat menjelaskan ancaman terhadap perawatan pasien: Orang mungkin lupa obat apa yang mereka minum; kunjungan sebelumnya mungkin diabaikan, begitu pula hasil prosedur atau tes sebelumnya.
Di Austin, Ms. Kittelson mengatakan bahwa dia harus mencari melalui puluhan lembar kertas untuk menemukan obat apa yang mungkin telah dipesan oleh dokter atau menemukan sesuatu tentang status pasien. “Saya khawatir tentang pencatatan,” katanya, mencatat bahwa dia telah mencatat keadaan dan pengobatan pasien dengan cermat secara manual.
Dan banyak tindakan pencegahan rutin tidak tersedia. Perawat tidak dapat memindai obat dan gelang tangan pasien untuk memastikan pasien yang tepat mendapatkan obat yang tepat, meningkatkan kemungkinan kesalahan obat. Mereka menjadi jauh lebih tidak yakin bahwa dokter telah menerima pembaruan penting mengenai status pasien.
“Masalah besar kami adalah serangan siber telah melumpuhkan para perawat,” kata Lisa Watson, seorang perawat serikat di rumah sakit Ascension di Wichita, Kan. Dia mencatat bahwa beban kerja telah meningkat secara signifikan.
“Ini jauh lebih dari hanya pencatatan kertas zaman dulu,” kata Ms. Watson. Para perawat harus menulis resep dan pengobatan lainnya di formulir terpisah yang diteruskan ke departemen yang berbeda. Daripada mendapatkan peringatan langsung melalui komputer, seorang perawat mungkin tidak melihat hasil tes laboratorium baru dalam beberapa jam.
Pada hari Selasa, Ascension mengatakan bahwa mereka “mengalami kemajuan dalam memulihkan operasi dan menghubungkan kembali mitra mereka ke dalam jaringan,” dan beberapa perawat mengatakan bahwa mereka mungkin segera memiliki akses terbatas ke catatan sebelumnya. Namun, Ascension belum menawarkan jadwal pemulihan akses digital penuh, hanya menyatakan dalam pernyataan yang dikirim melalui email pada Selasa malam bahwa “akan membutuhkan waktu untuk kembali ke operasi normal.”
Sedikit penyedia layanan yang bersedia membahas secara terbuka sejauh mana kerusakan yang ditimbulkan oleh serangan ransomware tersebut, di beberapa negara bagian dan departemen medis. Kebencanaan ini belum sepenuhnya dinilai, dan Ascension bertekad untuk tetap menjaga sebanyak mungkin operasinya berjalan.
Perawat serikat mengatakan bahwa serangan siber telah memperburuk kekurangan staf. Masalah ini telah mengganggu hubungan buruh dengan Ascension, meskipun perusahaan tersebut membantahnya. Para perawat di Wichita baru-baru ini bersengketa dengan manajemen rumah sakit mengenai apakah terlalu sedikit perawat di unit perawatan intensif.
“Meskipun dihadapkan dengan tantangan serangan ransomware baru-baru ini, keselamatan pasien tetap menjadi prioritas utama kami,” kata Ascension dalam pernyataan melalui email. “Dokter, perawat, dan tim perawatan kami yang berdedikasi menunjukkan pemikiran dan ketahanan luar biasa ketika kami menggunakan sistem manual dan berbasis kertas selama gangguan yang sedang berlangsung terhadap sistem normal.”
“Tim perawatan kami sangat paham tentang situasi dinamis dan telah dilatih dengan baik untuk menjaga perawatan berkualitas tinggi selama waktu tersebut,” tambahnya. “Pimpinan, dokter, tim perawatan, dan rekan kerja kami sedang bekerja untuk memastikan perawatan pasien tetap berlangsung dengan gangguan minimal atau tanpa gangguan.”
Ascension mengatakan bahwa mereka akan memberi tahu pasien jika sebuah janji atau prosedur mungkin perlu dijadwal ulang. Organisasi ini belum menentukan apakah data pasien yang sensitif telah dikompromikan, dan mereka mengarahkan publik ke situs web mereka untuk pembaruan.
Resiko bagi perawatan pasien dari serangan siber telah didokumentasikan dengan baik. Studi telah menunjukkan bahwa angka kematian di rumah sakit meningkat setelah serangan, dan efek tersebut mungkin dirasakan bahkan oleh rumah sakit tetangga, menurunkan kualitas perawatan di rumah sakit yang terpaksa menerima pasien tambahan.
Salah satu kekhawatiran tambahan adalah apakah informasi pasien yang sensitif telah dikompromikan dan siapa yang harus bertanggung jawab. Pasca serangan pada Change, dokter mendesak pejabat kesehatan pemerintah Amerika Serikat untuk menjelaskan bahwa Change bertanggung jawab untuk memberi tahu pasien. Menurut surat dari American Medical Association dan kelompok dokter lainnya minggu ini, dokter mendesak pejabat untuk “berkata secara terbuka bahwa penyelidikan pelanggaran dan upaya perbaikan segera akan difokuskan pada Change Healthcare, bukan pada penyedia yang terkena dampak oleh pelanggaran Change Healthcare.”
Jenis serangan ransomware semakin umum, karena penjahat siber, sering didukung oleh penjahat dengan kaitan dengan negara-negara asing seperti Rusia atau Tiongkok, telah menentukan seberapa menguntungkannya dan mengganggunya menargetkan organisasi kesehatan besar. Chief executive UnitedHealth, Andrew Witty, baru-baru ini memberitahu Kongres bahwa perusahaannya membayar $22 juta sebagai tebusan kepada penjahat siber.
Serangan pada Change telah menarik lebih banyak perhatian pemerintah tentang masalah tersebut. Gedung Putih dan badan pemerintah telah mengadakan beberapa pertemuan dengan pejabat industri, dan Kongres meminta Mr. Witty untuk tampil sebelumnya bulan ini untuk mendiskusikan serangan tersebut secara detail. Banyak legislator menunjuk pada ukuran yang semakin besar dari organisasi kesehatan sebagai alasan kenapa penyampaian perawatan medis negara ini kepada jutaan orang Amerika semakin rentan.
Para ahli keamanan siber mengatakan bahwa rumah sakit tidak memiliki pilihan selain mematikan sistem mereka jika seorang hacker berhasil masuk. Karena penjahat siber menginfiltrasi seluruh sistem komputer, “rumah sakit tidak memiliki pilihan selain beralih ke kertas,” kata Errol Weiss, chief security officer untuk Health Information Sharing and Analysis Center, yang ia gambarkan sebagai pengawas lingkungan virtual bagi industri tersebut.
Dia mengatakan bahwa tidak realistis untuk mengharapkan rumah sakit memiliki sistem redundan dalam hal serangan ransomware atau malware. “Ini hanya tidak mungkin dan tidak layak dalam lingkungan ekonomi ini,” kata Mr. Weiss.