Quando, há um ano, uma atualização com falhas do software vendido pela empresa de cibersegurança CrowdStrike derrubou milhões de computadores ao redor do mundo e os enviou para uma espiral de reinicializações repetidas, o custo global de todas aquelas máquinas travadas era equivalente a um dos piores ciberataques da história. Algumas das várias estimativas do dano total em todo o mundo chegaram a centenas de bilhões de dólares.
Agora, um novo estudo de uma equipe de pesquisadores em cibersegurança médica deu os primeiros passos para quantificar o custo do desastre do CrowdStrike não em dólares, mas em potencial dano aos hospitais e seus pacientes em todo os EUA. Ele revela evidências de que centenas dos serviços desses hospitais foram interrompidos durante a queda, e levanta preocupações sobre efeitos potencialmente graves para a saúde e bem-estar dos pacientes.
Pesquisadores da Universidade da Califórnia, San Diego, marcaram hoje o aniversário de um ano da catástrofe do CrowdStrike, publicando um artigo na JAMA Network Open, uma publicação da Rede de Jornais da Associação Médica Americana, que tenta pela primeira vez criar uma estimativa aproximada do número de hospitais cujas redes foram afetadas pelo colapso de TI em 19 de julho de 2024, bem como quais serviços nessas redes pareceram ter sido interrompidos.
Ao escanear partes expostas à Internet das redes hospitalares antes, durante e após a crise, eles detectaram que, no mínimo, 759 hospitais nos EUA pareceram ter experimentado algum tipo de interrupção na rede naquele dia. Eles descobriram que mais de 200 desses hospitais pareciam ter sido atingidos especificamente por interrupções que afetaram diretamente os pacientes, desde registros de saúde e exames inacessíveis até sistemas de monitoramento fetal que ficaram offline. Dos 2.232 hospitais que conseguiram escanear, os pesquisadores detectaram que 34% deles pareceram ter sofrido de algum tipo de interrupção.
Tudo isso indica que a queda do CrowdStrike poderia ter sido um “significativo problema de saúde pública”, argumenta Christian Dameff, um médico de medicina de emergência da UCSD e pesquisador em cibersegurança, e um dos autores do artigo. “Se tivéssemos os dados deste artigo há um ano quando isso aconteceu, acredito que estaríamos muito mais preocupados com o impacto real que teve na saúde nos EUA.”
O CrowdStrike, em um comunicado ao WIRED, criticou fortemente o estudo da UCSD e a decisão da JAMA de publicá-lo, chamando o artigo de “ciência lixo”. Eles observam que os pesquisadores não verificaram se as redes interrompidas executavam Windows ou software do CrowdStrike, e apontam que o serviço de nuvem Azure da Microsoft sofreu uma grande queda no mesmo dia, o que pode ter sido responsável por algumas das interrupções nas redes hospitalares. “Tirar conclusões sobre o tempo de inatividade e o impacto nos pacientes sem verificar as descobertas com nenhum dos hospitais mencionados é completamente irresponsável e cientificamente indefensável”, diz o comunicado.
“Embora rejeitemos a metodologia e as conclusões deste relatório, reconhecemos o impacto que o incidente teve há um ano”, acrescenta a declaração. “Como dissemos desde o início, pedimos sinceras desculpas aos nossos clientes e aos afetados e continuamos focados em fortalecer a resiliência de nossa plataforma e da indústria.”
Em resposta às críticas do CrowdStrike, os pesquisadores da UCSD afirmam que mantêm suas descobertas. A queda do Azure que o CrowdStrike mencionou, eles apontam, começou na noite anterior e afetou principalmente o centro dos EUA, enquanto as quedas que mediram começaram por volta da meia-noite, horário da costa leste dos EUA em 19 de julho—por volta da hora em que a atualização defeituosa do CrowdStrike começou a derrubar computadores—e afetaram todo o país. (A Microsoft não respondeu imediatamente a um pedido de comentário.) “Não temos conhecimento de nenhuma outra hipótese que explicaria interrupções de serviços simultâneas e geograficamente distribuídas nas redes hospitalares, como vemos aqui”, escreve Stefan Savage, professor de ciência da computação da UCSD e um dos co-autores do artigo, em um e-mail ao WIRED. (A JAMA se recusou a comentar em resposta às críticas do CrowdStrike.)
Na verdade, os pesquisadores descrevem sua contagem de interrupções hospitalares detectadas como apenas uma estimativa mínima, não uma medida do verdadeiro raio de explosão dos desastres do CrowdStrike. Isso se deve, em parte, ao fato de que os pesquisadores só conseguiram escanear cerca de um terço dos mais de 6.000 hospitais da América, o que sugeriria que o verdadeiro número de instalações médicas afetadas pode ter sido várias vezes maior.
As descobertas dos pesquisadores da UCSD são resultado de um projeto maior de escaneamento da Internet que eles chamam de Ransomwhere?, financiado pela Agência de Pesquisa Avançada para Saúde, e lançado no início de 2024 com a intenção de detectar quedas de ransomware em hospitais. Como resultado desse projeto, eles já estavam investigando hospitais dos EUA usando as ferramentas de escaneamento ZMap e Censys quando a calamidade de julho de 2024 do CrowdStrike ocorreu.
Para os 759 hospitais em que os pesquisadores detectaram que um serviço foi derrubado em 19 de julho, seus escaneamentos também permitiram analisar quais serviços específicos pareciam estar fora do ar, usando ferramentas publicamente disponíveis como Censys e Lantern Project para identificar diferentes serviços médicos, além de verificar manualmente alguns serviços baseados na web que podiam visitar. Eles descobriram que 202 hospitais experimentaram interrupções de serviços diretamente relacionados a pacientes. Esses serviços incluíram portais de equipe usados para visualizar registros de saúde dos pacientes, sistemas de monitoramento fetal, ferramentas para monitoramento remoto de cuidados aos pacientes, sistemas de transferência de documentos seguros que permitem que pacientes sejam transferidos para outro hospital, sistemas de informações “pré-hospitalares” como as ferramentas que podem compartilhar resultados de testes iniciais de uma ambulância para uma sala de emergência para pacientes exigindo tratamentos críticos em tempo, e os sistemas de armazenamento e recuperação de imagens que são usados para tornar os resultados de exames disponíveis para médicos e pacientes.
“Se um paciente estivesse tendo um derrame e o radiologista precisasse olhar rapidamente uma imagem de exame, seria muito mais difícil obtê-la do scanner de TC para que o radiologista a lesse”, oferece Dameff como um exemplo hipotético.
Os pesquisadores também encontraram que 212 hospitais tiveram quedas de sistemas “operacionalmente relevantes”, como plataformas de agendamento de equipe, sistemas de pagamento de contas e ferramentas para gerenciar os tempos de espera dos pacientes. Em outra categoria de serviços “relevantes à pesquisa”, o estudo descobriu que 62 hospitais enfrentaram quedas. A maior fração de quedas nas descobertas dos pesquisadores foi uma categoria “outros” que incluiu serviços fora do ar que os pesquisadores não conseguiram identificar completamente em seus escaneamentos em 287 hospitais, sugerindo que alguns deles também poderiam ter sido serviços relevantes para pacientes não contados.
“Nada neste artigo diz que um derrame foi diagnosticado incorretamente ou que houve um atraso no atendimento de alguém recebendo antibióticos que salvam vidas, por exemplo. Mas pode ter havido”, diz Dameff. “Acredito que há muitas evidências desses tipos de interrupções. Seria difícil argumentar que as pessoas não foram impactadas em um nível potencialmente bastante significativo.”
As descobertas do estudo dão uma nova dimensão ao alcance de relatos anedóticos sobre como a queda do CrowdStrike afetou instalações médicas que já surgiram ao longo do último ano. O WIRED relatou na época que a rede de hospitais Baylor, um grande sistema de saúde sem fins lucrativos, e a Quest Diagnostics não conseguiram processar exames de sangue rotineiros. O sistema hospitalar da área de Boston, Mass General Brigham, relatou que teve que colocar 45.000 de seus PCs de volta online, cada um dos quais exigia uma correção manual que levou de 15 a 20 minutos.
Em seu estudo, os pesquisadores também tentaram medir aproximadamente a duração do tempo de inatividade dos serviços hospitalares afetados pela queda do CrowdStrike e descobriram que a maioria se recuperou relativamente rápido: cerca de 58% dos serviços hospitalares voltaram online dentro de seis horas, e apenas cerca de 8% levaram mais de 48 horas para se recuperar.
Isso é um tempo de interrupção muito mais curto do que as quedas de ciberataques reais que atingiram hospitais, observam os pesquisadores: ataques de malware que se espalham como NotPetya e WannaCry em 2017, assim como o ataque de ransomware da Change Healthcare que atingiu a subsidiária provedora de pagamentos da United Healthcare no início de 2024, todos derrubaram dezenas de hospitais em todo os EUA—ou, no caso do WannaCry, no Reino Unido—por dias ou semanas em alguns casos. Mas os efeitos do desastre do CrowdStrike, no entanto, merecem ser comparados a essas desastres digitais intencionais para os hospitais, argumentam os pesquisadores.
“A duração dos tempos de inatividade é diferente, mas a abrangência, o número de hospitais afetados em todo o país, a escala, a potencial intensidade da interrupção é semelhante”, diz Jeffrey Tully, pediatra, anestesiologista e pesquisador em cibersegurança que coescreveu o estudo.
Um mapeamento que mostra a duração do aparente tempo de inatividade das quedas de serviços médicos detectadas em hospitais em todo os EUA.
Um atraso de horas, ou mesmo minutos, pode aumentar as taxas de mortalidade para pacientes com ataque cardíaco e derrame, diz Josh Corman, pesquisador em cibersegurança com foco em cibersegurança médica no Instituto de Segurança e Tecnologia e ex-funcionário da CISA que revisou o estudo da UCSD. Isso significa que até mesmo uma interrupção de curta duração em serviços relacionados a pacientes em centenas de hospitais poderia ter consequências concretas e seriamente prejudiciais—se difíceis de medir.
Além de traçar uma primeira estimativa do possível impacto na saúde dos pacientes nesse único incidente, a equipe da UCSD enfatiza que o verdadeiro trabalho de seu estudo é mostrar que, com as ferramentas certas, é possível monitorar e aprender com essas interrupções em massa nas redes médicas. O resultado pode ser uma melhor compreensão de como prevenir—ou, no caso de interrupções mais intencionais provenientes de ciberataques e ransomware—proteger os hospitais de experienciá-las no futuro.