מת תינוק שנולד עם סיבוכים במהלך מתקפת כופרה בשנת 2019 בבית החולים ספרינגהיל שבמובייל אלבמה. מתקפת הכופרה שללה מהצוות גישה לרשומות בריאות אלקטרוניות ולמערכות ניטור חולים. מוות זה מעצים את הזרקור על ההשלכות הפוטנציאליות הקטלניות של מתקפות כופרה. תביעת הרשלנות הרפואית נגד בית חולים, שהיא ככל הנראה הראשונה בארה"ב בטענה למוות הקשור למתקפת כופרה, מבטאת אזהרות חוזרות ונשנות של מומחי אבטחת סייבר.
הסוכנות לאבטחת סייבר ותשתיות בארה"ב – CISA פרסמה דו"ח הבוחן את ההשפעה של מתקפות כופרה ומתקפות סייבר אחרות על גופי מגזר הבריאות במהלך מגיפת הקורונה: "למרות שאין מקרי מוות המיוחסים ישירות למתקפות סייבר בבתי חולים, מצביע ניתוח סטטיסטי של ביצועי בית חולים שעבר מתקפת סייבר, על קיבולת חולים מופחתת והחמרה בתוצאות הבריאותיות בזמן מגיפת הקורונה." ממצאים אלו הינם אזהרה מוקדמת עבור מגזר הבריאות, מציינת CISA. הניתוח של CISA מראה כיצד המתח שבו נמצאים בתי החולים, משפיע על הטיפול בחולים ועל תוצאות הטיפל, כאשר איומי סייבר יכולים להחמיר את המתח הזה במידה ניכרת: "הדוח מראה את ההשפעה של איומי סייבר על המטופלים, על העובדים ועל התפקודים הקריטיים של מוסדות בריאות. עליו להזכיר לכל בעלי העניין בתשתית קריטית של המדינה למלא את חלקם כדי לנהל את הסיכונים הללו – כולל החשיבות של יישום אמצעי אבטחת סייבר וחוסן חזקים כדי להגן על הפעולות שלהם." כמו כן, מחקר שפורסם על ידי חברת המחקר Ponemon Institute וחברת ניהול סיכוני הסייבר Censinet, מצא כי 22% מהנשאלים – שכולם היו אנשי IT ואבטחה בארגוני בריאות אשר חוו מתקפות כופרה – מאמינים שאירועי סייבר הביאו לעלייה בתמותה של חולים. דווחו גם השפעות אחרות על הטיפול בחולים, כולל עלייה בסיבוכים, עיכובים בהליכים ובבדיקות, אשפוזים ארוכים יותר והפניית חולים למתקנים אחרים: "אנחנו נמצאים בסיבוב הראשון בכל הקשור למתקפות כופרה נגד שירותי הבריאות", אומר אד גאודט – מנכ"ל Censinet ומוסיף: "כתעשייה, עלינו להמשיך לאזור אומץ לשאול את השאלות הקשות הנוגעות להשפעה על הטיפול והתמותה, לספק את הרמה הנכונה של פיקוח רגולטורי ולהניע השקעות כדי למגר מתקפות כופרה משירותי הבריאות".
התביעה נגד המרכז הרפואי ספרינגהיל ואחד מרופאיו הוגשה לבית המשפט המחוזי במחוז מובייל על ידי אמו של התינוק – טיירני קיד, בינואר 2020 ועודכנה באפריל 2020 – לאחר שהתינוק מת, לכאורה מסיבוכי הלידה. התיק מיועד למשפט בנובמבר 2022. בתביעה נטען כי קיד לא ידעה שבית החולים נמצא בעיצומה של מתקפת כופרה כשהיא אושפזה ב- 16 ביולי 2019. בתה של קיד נולדה בבית החולים ב- 17 ביולי כשחבל הטבור שלה כרוך סביב צווארה – מצב העלול לגרום לנזק מוחי חמור וסיבוכים אחרים. התביעה טוענת, בין היתר, שלרופאים של קיד לא הייתה גישה בזמן לתוצאות ניטור העובר, שהראו שהתינוק במצוקה ואשר היו אמורות להביא לניתוח חירום קיסרי כדי ליילד את התינוק בבטחה. הליך זה לא בוצע. "מידע העובר היחיד שהיה זמין לאנשי שירותי בריאות במהלך האשפוז של טירני היה תיעוד הנייר שליד מיטתה", נטען בתביעה וכן: "מכיוון שמספר רב של מערכות אלקטרוניות נפגעו על ידי מתקפת הכופרה, מידע מעקב עוברי לא היה נגיש בעמדת האחיות או בידי רופא שלא נכח פיזית בחדר הלידה של טיראני. "כתוצאה מכך, מספר אנשי הצוות שהיו מפקחים בדרך כלל על צירי הלידה והלידה עצמה, צומצם באופן משמעותי ואמצעי בטיחות קריטיים לא יושמו".
בעקבות הלידה הועברה התינוקת לבית חולים לילדים, שם בילתה חודשים ביחידה לטיפול נמרץ יילודים. "התינוקת נפגעה פגיעה מוחית קשה, נזקקה לתוספי חמצן תכופים, הוזנה דרך צינורית למערכת העיכול ונזקקה למתן תרופות מסביב לשעון", נטען בתביעה. התביעה גם טוענת כי המרכז הרפואי ספרינגהיל מנע והסתיר בכוונה או ברשלנות מידע שלא כדין – מידע עובדתי קריטי לציבור הרחב, לפיו פעילות בית החולים ובטיחות מטופליו נפגעו קשות מהשפעת מתקפת הכופרה ביולי 2019. המרכז הרפואי ספרינגהיל לא חשף את העובדות האמיתיות הקשורות למתקפת הכופרה והשפעתה על יכולתו של בית החולים לספק שירותים להציבור הרחב", טוען כתב התביעה.
בתי חולים רבים ומערכות בריאות אחרות הסובלים ממתקפות כופרה ובעקבותיהן בחוסר יכולת לגשת לרשומות רפואיות אלקטרוניות ולמערכות קליניות קריטיות אחרות – מנסים לעתים קרובות להמשיך ולשרת מטופלים באמצעות תוכניות המשכיות הכוללות חזרה של רופאים לתהליכים ידניים ולרישום על גבי נייר. "הכשל מתחיל בכך שארגוני בריאות רבים ממשיכים לזלזל בחשיבות של הבטחת הסודיות, השלמות והזמינות של כל המידע ושל המערכות והמכשירים היוצרים, מקבלים, מתחזקים או מעבירים מידע בריאותי מוגן אלקטרוני" אומר בוב צ'פוט – מייסד ויו"ר בכיר של חברת הייעוץ לפרטיות ואבטחה – קלירווטר. לדבריו: "תביעה זו עוסקת בפגיעה רצינית בזמינות של שלושתם – נתונים קריטיים, מערכות ומכשירים – וכתוצאה מכך מוות"; "ארגונים צריכים לערוך הערכת השפעה כדי לתעדף תהליכים קליניים ואת המידע, המערכות והמכשירים הבסיסיים המאפשרים את התהליכים הקליניים הללו"; "תכניות טובות להמשכיות עסקית מספקות חוסן ומצמצמות למינימום את אובדן המידע בזמן מתקפות סייבר."
