Les hôpitaux qui ont été touchés par une violation de données ou une attaque de ransomware peuvent s’attendre à voir une augmentation du taux de mortalité chez les patients cardiaques dans les mois ou les années à venir en raison des efforts de remédiation de la cybersécurité, selon une nouvelle étude. Les experts de l’industrie de la santé affirment que les résultats devraient inciter à un examen plus approfondi de la manière dont la sécurité – ou son absence – peut avoir un impact sur les résultats des patients.
Des chercheurs de Université Vanderbilt‘s Owen Graduate School of Management a pris le Département de la santé et des services sociaux (HHS) des violations de données de santé et l’a utilisée pour approfondir les données sur les taux de mortalité des patients dans plus de 3 000 hôpitaux certifiés Medicare, dont environ 10 % avaient subi une violation de données.
Comme PBS noté dans sa couverture de l’étude Vanderbilt, après des violations de données, jusqu’à 36 décès supplémentaires pour 10 000 crises cardiaques se sont produits chaque année dans les centaines d’hôpitaux examinés.
Les chercheurs ont découvert que pour les centres de soins qui ont subi une brèche, il a fallu 2,7 minutes supplémentaires pour que les patients suspects de crise cardiaque reçoivent un électrocardiogramme.
« Les efforts de remédiation des violations ont été associés à une détérioration de la rapidité des soins et des résultats pour les patients », ont constaté les auteurs. « L’activité de remédiation peut introduire des changements qui retardent, compliquent ou perturbent les processus informatiques de santé et de soins aux patients. »
Léo Scanlonancien directeur adjoint de la sécurité de l’information au HHS, a déclaré que les conclusions de ce rapport plaident pratiquement pour qu’une étude similaire soit menée au Royaume-Uni, dont le système de santé a été particulièrement perturbé par le virus Wannacry, une contagion mondiale en mai 2017 qui s’est propagée. via une vulnérabilité Microsoft Windows répandue dans les systèmes de santé plus anciens.
« L’exploitation des vulnérabilités de la cybersécurité tue des gens », a déclaré Scanlon à BreachTrace. «Il y a beaucoup de recherches possibles qui pourraient être déclenchées par cette étude. Je crois que rien de moins qu’une enquête du Congrès accordera au sujet l’attention qu’il mérite.
UNE post-mortem sur l’impact de WannaCry a constaté que l’épidémie a coûté aux hôpitaux britanniques près de 100 millions de dollars et a provoqué une perturbation importante des soins aux patients, comme l’annulation de quelque 19 000 rendez-vous – y compris les opérations – et la perturbation des systèmes informatiques pour au moins un tiers de tous Service national de santé du Royaume-Uni (NHS) et huit pour cent des médecins généralistes. Dans plusieurs cas, les hôpitaux du Royaume-Uni ont été contraints de détourner les visiteurs des urgences vers d’autres hôpitaux.
Mais ce qui n’est pas encore connu, c’est comment Wannacry a affecté les taux de mortalité chez les patients victimes de crises cardiaques et d’accidents vasculaires cérébraux dont les ambulances ont été détournées vers d’autres hôpitaux en raison de pannes du système informatique liées au logiciel malveillant. Ou combien d’hôpitaux et de cabinets ont connu des retards dans l’obtention des résultats des tests nécessaires pour prendre des décisions critiques en matière de soins de santé.
Scanlon a déclaré qu’il avait demandé un peu partout au fil des ans pour voir si des chercheurs avaient relevé le défi de le découvrir, et que jusqu’à présent, il n’avait trouvé personne faisant cette analyse.
« Un collègue qui connaît bien les ensembles de données de santé à grande échelle m’a dit qu’à moins d’être associé à un institut de recherche, il serait presque impossible d’extraire ce type de données des institutions qui les possèdent », a déclaré Scanlon. « Le problème est que ces données sont difficiles à obtenir – personne n’aime admettre que la mort peut être attribuable à une cause non naturelle comme celle-ci – et sont autrement considérées comme sensibles à un niveau très élevé et exclusif par les institutions qui détiennent les faits. ”
Une étude publiée dans l’édition d’avril 2017 de Le New England Journal of Medicine semblerait suggérer d’appliquer l’approche utilisée par les chercheurs de Vanderbilt pour mesurer les résultats des patients dans les hôpitaux britanniques à la suite de Wannacry pourrait valoir la peine d’être réalisée.
Dans l’étude NEJM, les données de morbidité et de mortalité ont été utilisées pour montrer qu’il y a un impact mesurable lorsque les ambulances et les équipes d’intervention d’urgence sont retirées du service normal et redirigées vers l’attente lors d’événements publics comme les marathons et d’autres cibles potentielles du terrorisme.
L’étude a révélé que «les bénéficiaires de l’assurance-maladie qui ont été admis dans des hôpitaux touchés par le marathon avec un infarctus aigu du myocarde ou un arrêt cardiaque aux dates du marathon avaient des temps de transport en ambulance plus longs avant midi (4,4 minutes de plus) et une mortalité à 30 jours plus élevée que les bénéficiaires qui ont été hospitalisés sur nonmarathon Rendez-vous. »
« Plusieurs collègues et moi sommes convaincus que la même chose peut être démontrée à propos de WannaCry, à grande échelle, et aussi à petite échelle lorsque des attaques de ransomwares affectent un hôpital régional », a déclaré Scanlon.
En novembre 2018, j’ai eu l’honneur de prononcer le discours d’ouverture d’une conférence organisée par le Centre de partage et d’analyse des informations sur la santé (H-ISAC)une organisation à but non lucratif qui promeut le partage d’informations sur les cybermenaces et les meilleures pratiques dans le secteur de la santé.
Dans les semaines qui ont précédé ce discours, j’ai interviewé plus d’une douzaine d’experts en sécurité des soins de santé pour savoir ce qui était le plus important pour ces personnes. Incroyablement, une réponse que j’ai entendue de plusieurs experts de l’industrie de la santé était qu’il n’y a actuellement aucune donnée disponible pour étayer la conclusion d’un résultat négatif pour le patient à la suite d’une vulnérabilité ou d’une attaque de cybersécurité.
Alors que je continuais à parler à des experts, il m’est venu à l’esprit que si les gens intelligents de cette industrie pouvaient dire quelque chose comme ça avec un visage impassible, c’était probablement parce que peu de gens cherchaient trop la preuve du contraire.
Avec cette étude de Vanderbilt, ce n’est manifestement plus vrai.
Une copie de la nouvelle étude est disponible ici (PDF).