Povestea atacului cibernetic care a lovit spitalele din România și a devenit studiu de caz la nivel internațional

Unul după altul, apelurile au venit de la spitale. Infractorii infectau rețele de calculatoare într-un atac cibernetic în masă care punea în pericol nenumărate vieți, scrie BBC.

La centrul național de securitate cibernetică (DNSC) din București, au privit neputincioși cum hackerii se răspândesc în România prin intermediul unui software medical popular.

Șeful departamentului de securitate cibernetică, Dan Cimpean, a avut de luat o decizie dificilă, dar era singura opțiune pe care o aveau.

Ordinul a fost trimis la peste 100 de spitale. Deconectați-vă de la internet, acum.

Atacul cibernetic asupra spitalelor din România din februarie 2024 este unul dintre cele mai grave care au vizat sistemele de sănătate din întreaga lume, dar aceste incidente devin din ce în ce mai frecvente.

FBI a declarat recent că asistența medicală este acum domeniul cel mai vizat al infrastructurii naționale critice.

Deconectarea de la internet a 100 de spitale din România a oprit hackerii, câștigând timp pentru a evalua gravitatea atacului.

Dar asta însemna că nu existau dispozitive conectate, e-mailuri sau browsere web.

Personalul medical a trebuit să treacă la pix și hârtie, improvizând soluții alternative pentru a proteja pacienții, în timp ce echipele IT se grăbeau, iar centrul național de răspuns cibernetic încerca să afle cum au intrat hackerii – și cum i-ar putea opri.

Acțiunile lor de-a lungul a patru zile, începând cu 10 februarie 2024, precum și cele ale medicilor și asistentelor, au fost lăudate pe scară largă.

Modul în care au reacționat și cum au făcut față situației a devenit un caz de testare pentru planificatorii dezastrelor la nivel internațional, în timp ce oficialii caută sfaturi despre cum să răspundă la un atac cibernetic masiv asupra unui spital.

Chirurgul Oana Goidescu era de gardă la Spitalul din Buzău, situat la 120 km nord-est de București, când a venit alerta că atacatorii au spart sistemul firmei de software RSC, cu sediul în București, intrând într-un sistem medical utilizat pe scară largă, numit Hippocrates.

„A fost o experiență destul de neplăcută, pentru că o fișă IT nu este doar o listă de pacienți”, a spus ea. „Pentru fiecare pacient, solicităm analize de laborator, radiologie, medicamente și consumabile. Toate acestea dispăruseră.”

Hippocrates este folosit de medici, asistente medicale și chirurgi pentru a gestiona totul, de la internări la salarizare, logistica farmaciei și rezultatele testelor.

În liniște, atacatorii cibernetici începuseră să infecteze spitalele din întreaga țară care foloseau sistemul cu o tulpină de ransomware numită BackMyData. Fișierele erau codificate în neînțeles, iar cererea era o răscumpărare în bitcoin.

Personalul de la spitalul de copii Pitești, la nord-vest de București, a fost primul care a observat erori duminică dimineață, a doua zi după începerea atacului.

Până luni, în zori, multe alte spitale raportaseră că sistemul Hippocrates nu funcționa.

Cum spitalele erau offline, experții în cibernetică au lucrat îndeaproape cu producătorul Hippocrates pentru a determina câte sisteme fuseseră infectate și pentru a-i elimina pe hackeri.

Medicii din spitale au răspuns creând soluții alternative pentru a proteja pacienții până când lucrurile vor reveni la normal.

„Când am văzut că sistemul nu va fi reparat rapid, am dezvoltat o metodă offline, astfel încât să putem înregistra fiecare pacient”, a declarat Vlad Paic de la Spitalul Carol Davila din București.

„Am cerut laboratorului să ne ofere rezultatele pe hârtie. Am folosit Excel și alte instrumente offline pentru a ne asigura că îngrijirea medicală nu a fost afectată.”

Unii medici au spus că revenirea la procese mai analogice a fost facilitată de trecerea relativ recentă a României la sistemele digitale.

Anchetatorii cibernetici au lucrat toată noaptea și au descoperit că 26 de spitale fuseseră infectate cu BackMyData.

A doua zi, spitalele neinfectate au fost repuse în funcțiune cu măsuri de protecție suplimentare.

DNSC spune că o parte din succesul operațiunii a fost modul în care au folosit mass-media pentru a comunica cu spitalele și cu publicul.

Mesajele publice au îndemnat pacienții să evite spitalele, decât dacă este necesar.

Însă sălile de așteptare se umpleau în continuare, iar Goidescu a spus că unii pacienți frustrați și-au vărsat furia asupra personalului.

„Am fost întrebați: «Dacă ar fi mama voastră?» Au avut dreptate să fie supărați, dar am încercat să le explicăm că nu suntem vina noastră”, a spus ea.

Un alt mesaj cheie a fost că spitalele nu ar trebui să contacteze hackerii sau să plătească răscumpărarea.

Atacatorii ceruseră 160.000 de euro (138.000 de lire sterline; 183.000 de dolari) în bitcoin, dar s-a luat o decizie la nivel național de a nu plăti.

În spitalele încă offline, echipele IT s-au grăbit să restaureze sistemele din copii de rezervă.

Majoritatea aveau copii relativ recente ale datelor lor – o lecție cheie. Copiile de rezervă regulate permit organizațiilor să se recupereze mai rapid.

În cinci zile, majoritatea spitalelor au revenit online și au funcționat aproape normal, fără a fi raportate decese sau vătămări grave ale pacienților.

Ar dura săptămâni în plus pentru a introduce toate noile informații înregistrate pe hârtie în timpul întreruperii. Unele date s-au pierdut pentru totdeauna.

Poliția nu comentează ancheta privind cine se află în spatele atacului.

Cu toate acestea, anul trecut, o bandă de ransomware legată de BackMyData și-a desființat site-ul web într-o operațiune internațională.

Patru ruși au fost arestați în afara Rusiei, ale cărei autorități nu cooperează cu forțele de ordine occidentale.

Cimpean a spus că atacul s-ar fi putut întâmpla oriunde.

„Cu cât ai mai multă tehnologie, cu cât ești mai digitalizat, cu atât riscul este mai mare”, a spus el.

Anul trecut, serviciul de sănătate NHS din Marea Britanie a confirmat că un atac cibernetic asupra unei companii de analize de sânge, care a afectat aproximativ 12 centre medicale din Londra, a contribuit la decesul unui pacient .

A fost primul caz de deces legat oficial de un atac cibernetic.

Cam în aceeași perioadă, Change Healthcare din SUA a fost atacată de hackeri, ceea ce a dus la perturbări pe scară largă. Compania a plătit o răscumpărare de 22 de milioane de dolari (16 milioane de lire sterline).

Hackerii au provocat haos și mai târziu în cursul anului, cu un atac asupra unui alt furnizor de servicii medicale din SUA, numit Ascension.

Alina Bîzgă, de la firma de securitate cibernetică Bitdefender, cu sediul în București, spune că atacurile asupra spitalelor sunt atractive pentru infractorii care încearcă să provoace haos pentru bani.

„Spitalele gestionează servicii esențiale, iar infractorii cred că, cu cât pot fi cauzate mai multe perturbări, cu atât sunt mai mari șansele să primească o răscumpărare”, a spus ea.