Pelo menos 750 hospitais dos EUA foram afetados pela interrupção do CrowdStrike no ano passado – os desenvolvedores tentaram transferir parte da culpa para a Microsoft

Há um ano, uma atualização de software com bugs vendida pela empresa de segurança cibernética CrowdStrike paralisou milhões de computadores em todo o mundo, colocando-os em um ciclo de reinicializações constantes. A interrupção foi comparável, em efeito, a um dos maiores ataques cibernéticos da história, custando bilhões de dólares em prejuízos. Centenas de hospitais e seus pacientes estavam entre as vítimas, relata a Wired.

Em julho de 2024, uma interrupção global causada por uma atualização do CrowdStrike afetou 8,5 milhões de PCs com Windows. A Microsoft culpou indiretamente o regulador da UE pela interrupção — a empresa foi forçada a abrir o kernel do sistema operacional há 15 anos, inclusive para desenvolvedores terceirizados. Como resultado, a empresa reformulou o mecanismo de acesso ao kernel. O próprio CrowdStrike apontou um bug no software de teste de atualizações como o culpado pela interrupção e, posteriormente, anunciou que permitiria um gerenciamento mais flexível das atualizações do Falcon Sensor, o que causou a interrupção.

Um grupo de especialistas em segurança cibernética médica conduziu um estudo que estimou o custo da interrupção não em dólares, mas em danos a hospitais e pacientes nos Estados Unidos. Pesquisadores da Universidade da Califórnia, em San Diego, publicaram um artigo no Journal of the American Medical Association (JAMA Network Open) que, pela primeira vez, tentou estimar o número de instalações médicas afetadas, bem como determinar quais serviços foram afetados nos hospitais.

Fonte da imagem: Vitaly Gariev/unspalsh.com

A CrowdStrike criticou duramente o estudo, chamando os dados de “pseudociência”. Ressalta-se que os pesquisadores não verificaram se as redes afetadas estavam executando o Windows ou o software CrowdStrike afetado. Por exemplo, no mesmo dia, ocorreu uma grande interrupção do Microsoft Azure, que também poderia ter afetado muitos hospitais. No entanto, a CrowdStrike não nega as graves consequências da interrupção e pede desculpas a todos os afetados. Em resposta, a Universidade da Califórnia, San Diego (UCSD) afirmou que mantém suas conclusões — a interrupção do Azure afetou principalmente a região central dos Estados Unidos, e outras interrupções afetaram todo o país e começaram precisamente quando uma atualização incorreta causou a interrupção.

Os pesquisadores estão confiantes de que a situação é ainda pior, visto que estudaram apenas cerca de um terço dos mais de 6.000 hospitais nos Estados Unidos, e o número real de instalações afetadas pode ser muito maior. O trabalho dos pesquisadores faz parte de um projeto maior de varredura na internet chamado Ransomwhere?, que identifica interrupções no sistema de saúde relacionadas a ransomware. O projeto já havia varrido hospitais americanos usando o ZMap e o Censys no momento da interrupção.

Descobriu-se que pelo menos 759 dos 2.242 hospitais estudados nos Estados Unidos enfrentaram algum tipo de problema devido a interrupções na rede hospitalar no dia fatídico. Por exemplo, em 202 hospitais, o trabalho dos serviços diretamente relacionados aos pacientes foi interrompido – portais para a equipe (incluindo para visualização de prontuários médicos), sistemas de monitoramento fetal, ferramentas para atendimento remoto de pacientes, serviços seguros de transferência de documentos, etc. Por exemplo, no caso de um AVC, a transferência de dados de um tomógrafo computadorizado para um médico foi significativamente prejudicada.

Fonte da imagem: Accuray/unspalsh.com

O relatório também constatou que 212 hospitais tiveram interrupções em sistemas críticos, desde plataformas de planejamento da força de trabalho até sistemas de faturamento e ferramentas de gerenciamento do tempo de espera dos pacientes. Dos serviços “relevantes”, 62 hospitais tiveram interrupções. A categoria “outros”, que inclui serviços offline, teve o maior número de interrupções (287 hospitais). No entanto, observou-se que não havia estatísticas sobre como alguém poderia ter sido diagnosticado incorretamente ou ter recebido antibióticos vitais na hora errada.

No ano passado, já havia informações de que uma atualização do software CrowdStrike teve um impacto negativo nas atividades de instituições médicas, mas agora estamos falando de um estudo mais amplo. Nele, os cientistas também tentaram medir aproximadamente a duração do tempo de inatividade dos serviços hospitalares. Cerca de 58% dos serviços voltaram a funcionar em seis horas, e 8% após pelo menos 48 horas. Isso é muito menor do que o tempo de inatividade causado por ataques cibernéticos reais, mas um atraso de várias horas ou até minutos pode aumentar a taxa de mortalidade dos pacientes, acreditam os especialistas.

A equipe da UC San Diego enfatiza que o principal objetivo de sua pesquisa é mostrar que, com as ferramentas certas, é possível monitorar e aprender com grandes interrupções nas redes de saúde. O resultado pode ser uma compreensão mais profunda de como prevenir ou proteger hospitais de situações semelhantes no futuro.