Un atac cibernetic de amploare, care a vizat infrastructura medicală a României în 2024, a obligat autoritățile să renunțe la internet în peste 100 de spitale – o măsură drastică de limitare a efectelor ce a devenit, de atunci, un model global pentru gestionarea dezastrelor digitale, scrie BBC News.
La Centrul Național de Răspuns la Incidente de Securitate Cibernetică din București (DNSC), specialiștii urmăreau neputincioși cum hackerii ajungeau în întreaga țară prin intermediul unui software medical utilizat pe scară largă. Unul după altul, veneau apelurile de la spitale: infractorii informatici infectau rețelele de calculatoare într-un atac cibernetic de amploare, care punea în pericol nenumărate vieți.
Directorul DNSC, Dan Cîmpean, a fost nevoit să ia o decizie dificilă – singura opțiune disponibilă. Mesajul a fost transmis către peste 100 de spitale: „deconectați-vă de la internet, imediat”.
Atacul cibernetic ce a vizat spitalele din România, în februarie 2024, este unul dintre cele mai grave îndreptate împotriva sistemelor de sănătate la nivel mondial, dar astfel de incidente devin tot mai frecvente.
Potrivit unor declarații recente ale FBI, sectorul sănătății este în prezent cea mai vizată componentă a infrastructurii critice naționale.
Deconectarea de la internet a peste 100 de spitale din România a blocat avansul hackerilor, oferind autorităților timpul necesar pentru a evalua amploarea atacului. Măsura a avut și consecințe majore: fără dispozitive conectate la rețea, fără e-mailuri și fără acces la browsere web.
Revenirea la pix și hârtie
Personalul medical a fost nevoit să revină la hârtie și pix, improvizând soluții pentru a proteja pacienții, în timp ce echipele IT încercau contra cronometru să gestioneze situația, iar Centrul Național de Securitate Cibernetică căuta să afle cum au reușit hackerii să pătrundă în sisteme și, mai ales, cum puteau fi opriți.
Acțiunile întreprinse pe parcursul celor patru zile, începând cu 10 februarie 2024, atât de specialiștii în securitate cibernetică, cât și de medici și asistente, au fost apreciate pe scară largă. Modul în care au reacționat și au gestionat criza a devenit un studiu de caz pentru experții în gestionarea situațiilor de urgență din întreaga lume, autoritățile și specialiștii căutând lecții și recomandări privind răspunsul la un atac cibernetic de amploare asupra sistemului din spitale.
Chirurgul Oana Goidescu, citată în materialul BBC, era de gardă la Spitalul Județean de Urgență Buzău, la aproximativ 120 de kilometri nord-est de București, când a venit alerta că atacatorii compromiseră sistemele companiei de software RSC din București, infiltrându-se într-o platformă medicală utilizată pe scară largă, numită Hippocrates.
„A fost o experiență extrem de neplăcută, pentru că un dosar electronic nu este doar o listă de pacienți”, a declarat aceasta. „Pentru fiecare pacient solicităm analize de laborator, investigații radiologice, medicamente și materiale sanitare. Toate aceste informații dispăruseră.”
Hippocrates este folosit de medici, asistente și chirurgi pentru gestionarea tuturor activităților, de la internări și salarizare până la logistica farmaceutică și rezultatele analizelor medicale. Fără a atrage atenția, atacatorii cibernetici începuseră să infecteze spitale din întreaga țară care utilizau acest sistem, folosind un tip de ransomware numit BackMyData. Fișierele erau criptate și transformate într-un șir de caractere imposibil de citit, iar în schimbul deblocării lor era cerută o răscumpărare în bitcoin.
Primul spital afectat, la Pitești
Personalul de la Spitalul de Pediatrie Pitești, situat la nord-vest de București, a fost primul care a observat problemele, în dimineața zilei de duminică, la o zi după declanșarea atacului. Până în zorii zilei de luni, numeroase alte spitale raportaseră că sistemul Hippocrates nu mai funcționa.
Cu spitalele deconectate de la rețea, experții în securitate cibernetică au colaborat îndeaproape cu dezvoltatorul platformei Hippocrates pentru a stabili câte sisteme fuseseră compromise și pentru a elimina accesul hackerilor.
În paralel, medicii au improvizat soluții temporare pentru a asigura continuitatea îngrijirii pacienților până la restabilirea sistemelor.
„Când am realizat că platforma nu va putea fi reparată rapid, am dezvoltat o metodă offline pentru a înregistra fiecare pacient”, a declarat Vlad Paic de la Spitalul Carol Davila. „Am cerut laboratorului să ne furnizeze rezultatele pe hârtie. Am folosit Excel și alte instrumente offline pentru a ne asigura că actul medical nu este afectat.”
Unii medici au spus că revenirea la procese mai tradiționale a fost facilitată de faptul că digitalizarea sistemului medical din România este relativ recentă.
Între timp, anchetatorii specializați în securitate cibernetică au lucrat pe parcursul nopții și au descoperit că 26 de spitale fuseseră infectate cu ransomware-ul BackMyData.
Răscumpărare de 160.000 de euro în bitcoin
Reprezentanții Directoratul Național de Securitate Cibernetică spun că unul dintre motivele succesului operațiunii a fost modul în care au folosit presa pentru a comunica rapid atât cu spitalele, cât și cu populația. Mesajele publice i-au îndemnat pe pacienți să evite prezentarea la spital, cu excepția situațiilor strict necesare.
Un alt mesaj esențial transmis spitalelor a fost să nu contacteze atacatorii și să nu plătească răscumpărarea. Hackerii ceruseră 160.000 de euro în bitcoin, însă la nivel național s-a luat decizia de a nu plăti.
În spitalele care încă funcționau offline, echipele IT au lucrat în ritm alert pentru restaurarea sistemelor din copiile de siguranță. Majoritatea instituțiilor dispuneau de backup-uri relativ recente ale datelor, o lecție importantă pentru orice organizație. Copiile de siguranță realizate periodic permit recuperarea mult mai rapidă după un astfel de incident. În mai puțin de cinci zile, majoritatea spitalelor erau din nou online și funcționau aproape normal, fără să fie raportate decese sau vătămări grave ale pacienților.
A fost însă nevoie de încă câteva săptămâni pentru introducerea în sistem a tuturor informațiilor consemnate pe hârtie în perioada întreruperii. O parte dintre date s-au pierdut definitiv.
Posibiil suspecți, arestați
Poliția nu oferă detalii despre ancheta privind autorii atacului.
Totuși, anul trecut, site-ul unei grupări de ransomware asociate cu BackMyData a fost închis în cadrul unei operațiuni internaționale.
Patru cetățeni ruși au fost arestați în afara Rusiei, ale cărei autorități nu colaborează cu agențiile de aplicare a legii din statele occidentale. Directorul DNSC, Dan Cîmpean, a subliniat că un astfel de atac s-ar fi putut produce oriunde.
Anul trecut, National Health Service a confirmat că un atac informatic asupra unei companii de analize medicale din Marea Britanie, care a afectat aproximativ 12 centre medicale din Londra, a contribuit la decesul unui pacient.
A fost primul caz în care o moarte a fost asociată oficial cu un atac cibernetic.
În aceeași perioadă, compania americană Change Healthcare a fost victima unui atac informatic care a provocat perturbări majore. Compania a plătit hackerilor o răscumpărare de 22 de milioane de dolari.
Tot anul trecut, atacatorii cibernetici au provocat noi probleme prin compromiterea sistemelor furnizorului american de servicii medicale Ascension.
UPDATE:
DNSC a reacționat după materialul BBC
„Suntem onorați că BBC News a ales să spună povestea atacului cu ransomware care a afectat spitalele din România în 2024 și să revină asupra modului în care echipa DNSC a gestionat această criză la nivel national. Ceea ce face aceast reportaj cu adevărat special pentru noi este faptul că, încă din 2024, Joe Tidy de la BBC News a menționat public DNSC ca exemplu de bună practică în gestionarea unei crize cibernetice la nivel național — atât din punct de vedere operațional, cât și al comunicării clare și transparente cu presa și publicul. Ce a urmat apoi, a fost o vizită din partea echipei BBC care s-a materializat în acest documentar pe care vă invităm să îl urmăriți (link în secțiunea comentarii)„, a transmis azi DNSC pe pagina oficială de facebook.
Reprezentanții direcșiei subliniază că această recunoaștere a contat enorm pentru echipă.
„În mijlocul unui incident dificil și epuizant, a fost important să vedem că eforturile noastre sunt observate și apreciate la nivel internațional, ca model de răspuns profesionist, deschis și responsabil. Ce a urmat din februarie 2024 a reprezentat în egală măsură o satisfacție profesională pentru noi, din moment ce diverse organizații care au fost impactate de atacuri cibernetice au apelat la echipa DNSC pentru ghidaj în comunciare de criză și mitigarea incidentului„, a mai precizat DNSC.
Sursa: BBC
