Apelurile au început să vină unul după altul de la spitale. Un atac cibernetic se extindea rapid, iar sistemele informatice ale unităților medicale erau compromise. Viețile pacienților puteau fi puse în pericol. La București, la Directoratul Național de Securitate Cibernetică, DNSC, specialiștii vedeau cum atacul se răspândea în mai multe spitale din România prin intermediul unui program medical folosit pe scară largă. Șeful DNSC, Dan Cîmpean, a trebuit să ia o decizie grea, dar era singura soluție disponibilă în acel moment. Ordinul a fost transmis către peste 100 de spitale: deconectați-vă imediat de la internet, scrie BBC.
Atacul cibernetic asupra spitalelor din România, produs în februarie 2024, este considerat unul dintre cele mai grave atacuri care au vizat sisteme medicale la nivel mondial. Astfel de incidente sunt însă tot mai dese.
Sectorul medical a devenit cea mai vizată zonă a infrastructurii critice naționale, a transmis recent FBI.
Deconectarea de la internet a 100 de spitale din România a oprit extinderea atacului și le-a oferit specialiștilor timp să afle cât de gravă era situația. Măsura a avut însă un cost imediat. Spitalele nu mai puteau folosi dispozitive conectate la internet, e-mailuri sau browsere web.
Personalul medical a fost nevoit să revină la pix și hârtie și să improvizeze soluții pentru a proteja pacienții. În același timp, echipele IT lucrau contra cronometru, iar centrul național de răspuns la incidente cibernetice încerca să afle cum au pătruns atacatorii în sisteme și cum puteau fi opriți.
Măsurile luate în cele patru zile care au urmat datei de 10 februarie 2024, precum și reacția medicilor și asistentelor, au fost apreciate pe scară largă. Modul în care autoritățile și spitalele au reacționat a devenit un exemplu pentru specialiștii în gestionarea situațiilor de criză din alte țări, care caută soluții pentru un eventual atac cibernetic masiv asupra spitalelor.
Chirurgul Oana Goidescu era de gardă la Spitalul din Buzău, la 120 de kilometri nord-est de București, când a venit alerta că atacatorii pătrunseseră în sistemele companiei RSC, o firmă de software din București. Prin această breșă, hackerii ajunseseră la Hippocrates, un sistem medical folosit în multe spitale.
"A fost o experiență destul de neplăcută, pentru că o fișă medicală electronică nu este doar o listă de pacienți", a spus ea. "Pentru fiecare pacient cerem analize de laborator, investigații radiologice, medicamente și materiale. Toate acestea dispăruseră."
Hippocrates este folosit de medici, asistente și chirurgi pentru administrarea mai multor activități din spitale, de la internări până la salarii, aprovizionarea farmaciilor și rezultatele analizelor.
Fără să fie observați imediat, atacatorii au început să compromită spitale din toată țara care foloseau acest sistem. Ei utilizau un ransomware numit BackMyData. Fișierele erau criptate și nu mai puteau fi citite, iar atacatorii cereau o răscumpărare în bitcoin.
Personalul de la spitalul de copii din Pitești, la nord-vest de București, a fost primul care a observat erori duminică dimineață, la o zi după începerea atacului. Până luni dimineață, multe alte spitale raportaseră că sistemul Hippocrates nu mai funcționa.
Cu spitalele scoase offline, experții în securitate cibernetică au lucrat împreună cu producătorul Hippocrates pentru a afla câte sisteme fuseseră afectate și pentru a-i elimina pe atacatori din rețea. Medicii au creat soluții de avarie pentru a proteja pacienții până la repunerea în funcțiune a sistemelor.
"Când am văzut că sistemul nu va fi reparat rapid, am creat o metodă offline ca să putem înregistra fiecare pacient", a spus Vlad Paic, de la Spitalul Carol Davila din București. "Am cerut laboratorului să ne dea rezultatele pe hârtie. Am folosit Excel și alte instrumente offline pentru a ne asigura că îngrijirea pacienților nu este afectată."
Unii medici au spus că revenirea temporară la metodele pe hârtie a fost mai ușoară deoarece România trecuse relativ recent la sisteme digitale. Anchetatorii cibernetici au lucrat toată noaptea și au descoperit că 26 de spitale fuseseră infectate cu BackMyData.
A doua zi, spitalele neinfectate au fost reconectate la internet, dar cu măsuri suplimentare de protecție.
DNSC spune că o parte importantă a succesului operațiunii a fost modul în care instituția a folosit presa pentru a comunica atât cu spitalele, cât și cu publicul.
Mesajele publice le cereau pacienților să evite spitalele, cu excepția cazurilor în care era absolut necesar. Totuși, sălile de așteptare continuau să se umple, iar Oana Goidescu a spus că unii pacienți frustrați și-au vărsat furia pe personalul medical.
"Am fost întrebați: 'Dacă ar fi mama dumneavoastră?' Aveau dreptate să fie furioși, dar am încercat să le explicăm că nu era vina noastră", a spus ea.
Un alt mesaj important a fost că spitalele nu trebuiau să contacteze atacatorii și nici să plătească răscumpărarea.
Atacatorii au cerut 160.000 de euro, echivalentul a 138.000 de lire sterline sau 183.000 de dolari, în bitcoin. La nivel național s-a decis însă ca răscumpărarea să nu fie plătită.
În spitalele care rămăseseră offline, echipele IT au lucrat rapid pentru a restaura sistemele din copiile de siguranță.
Cele mai multe spitale aveau copii relativ recente ale datelor. Aceasta a fost una dintre lecțiile importante ale crizei: backupurile făcute regulat ajută organizațiile să își revină mai repede după un atac.
În cinci zile, cele mai multe spitale erau din nou online și funcționau aproape normal. Nu au fost raportate decese sau vătămări grave ale pacienților. A fost însă nevoie de alte câteva săptămâni pentru ca informațiile notate pe hârtie în timpul întreruperii să fie introduse în sistemele informatice. Unele date s-au pierdut definitiv.
Poliția nu comentează ancheta privind autorii atacului.
Totuși, anul trecut, site-ul unei grupări de ransomware asociate cu BackMyData a fost închis în cadrul unei operațiuni internaționale. Patru ruși au fost arestați în afara Rusiei, țară ale cărei autorități nu cooperează cu forțele de ordine occidentale.
Dan Cîmpean a spus că un astfel de atac s-ar fi putut întâmpla oriunde. "Cu cât ai mai multă tehnologie și ești mai digitalizat, cu atât riscul este mai mare", a spus el.
Anul trecut, sistemul public de sănătate din Marea Britanie, NHS, a confirmat că un atac asupra unei companii de analize de sânge, care a afectat aproximativ 12 centre medicale din Londra, a contribuit la moartea unui pacient. A fost primul caz în care un deces a fost legat oficial de un atac cibernetic.
În aceeași perioadă, compania Change Healthcare din Statele Unite a fost atacată, ceea ce a provocat perturbări majore. Compania a plătit hackerilor o răscumpărare de 22 de milioane de dolari, echivalentul a 16 milioane de lire sterline.
Hackerii au provocat probleme majore și mai târziu în același an, printr-un atac asupra Ascension, un alt furnizor de servicii medicale din Statele Unite.
Alina Bîzgă, de la compania de securitate cibernetică Bitdefender, cu sediul la București, spune că spitalele sunt ținte atractive pentru infractorii care încearcă să obțină bani provocând haos. "Spitalele oferă servicii critice, iar infractorii cred că, dacă provoacă perturbări cât mai mari, cresc șansele ca victimele să plătească răscumpărarea", a spus ea.
Ştiri video recomandate
