Cum au trecut 100 de spitale la pix și hârtie pentru a face față unui atac cibernetic național

Apelurile din spitale au venit unul după altul; infractorii corupeau rețelele informatice într-un atac masiv care a pus nenumărate vieți în pericol.

La Directoratul Național de Securitate Cibernetică din București (DNSC), specialiștii priveau neputincioși cum hackerii își extindeau acțiunile pe teritoriul României folosind un program medical utilizat pe scară largă.

Șeful securității cibernetice, Dan Cîmpean, a fost pus în fața unei decizii dificile, dar era singura opțiune pe care o aveau.

Ordinul a fost transmis către peste 100 de spitale. Deconectați-vă de la internet, acum.

Atacul cibernetic asupra spitalelor din România din februarie 2024 este unul dintre cele mai grave care au vizat sisteme de sănătate la nivel global, însă astfel de incidente devin tot mai frecvente.

FBI a declarat recent că sectorul sănătății este componenta de infrastructură națională critică cea mai vizată de atacuri.

Deconectarea a 100 de spitale din România de la internet a oprit pe loc hackerii, câștigând niște timp pentru ca agenții de securitate cibernetică să evalueze gravitatea atacului.

Dar, în același timp, măsura a însemnat că dispozitivele din spitale, adresele de email și website-urile de căutare nu mai erau conectate la internet.

Personalul medical a ajuns să recurgă la hârtie și la pix, improvizând soluții de lucru pentru a proteja pacienții, în timp ce echipele IT se mobilizau rapid, iar centrul național de răspuns cibernetic încerca să afle cum au pătruns hackerii în sisteme - și cum ar putea să fie opriți.

Acțiunile lor pe parcursul a patru zile, începând cu 10 februarie 2024 - alături de cele ale medicilor și ale asistentelor - au fost apreciate pe scară largă.

Modul în care au reacționat și au gestionat situația a devenit un studiu de caz pentru cei care fac planuri pentru situații de urgență la nivel internațional, într-un moment în care oficialii caută sfaturi despre cum să răspundă unui atac masiv asupra spitalelor.

Chirurgul Oana Goidescu lucra în tura ei de serviciu la Spitalul din Buzău, la 120 de kilometri de București, spre nord-est, când s-a dat alerta că atacatorii au compromis firma de software RSC din București și s-au infiltrat într-un sistem medical utilizat pe scară largă, numit Hipocrate.

„A fost o experiență destul de neplăcută, pentru că un sistem IT nu înseamnă doar o listă de pacienți”, a spus ea. „Pentru fiecare pacient solicităm analize de laborator, de radiologie, medicamente și consumabile. Toate acestea dispăruseră.”

Sistemul Hipocrate este folosit de medici, de asistente și de chirurgi pentru a gestiona toate operațiunile, de la internări până la salarizare, logistică farmaceutică și rezultate ale analizelor.

În mod discret, atacatorii cibernetici au început să infecteze spitale din întreaga țară care foloseau sistemul cu un tip de ransomware numit BackMyData. Fișierele erau transformate în date ilizibile, și se cerea o răscumpărare în bitcoin.

Membrii personalului de la Spitalul de Pediatrie Pitești, la nord-vest de București, au fost primii care au observat erori, duminică dimineață, în a doua zi după ce se declanșase atacul.

Până în zorii zilei de luni, multe alte spitale au raportat că sistemul Hipocrate nu mai funcționa.

Spitalele fiind offline, experții în securitate cibernetică au colaborat îndeaproape cu producătorul lui Hipocrate pentru a determina câte sisteme au fost infectate și pentru a elimina hackerii.

În spitale, medicii au răspuns prin crearea unor soluții de lucru pentru a proteja pacienții până ce urmau să fie reactivate sistemele.

„Când am văzut că sistemul nu avea să fie reparat rapid, am dezvoltat o metodă offline prin care să putem înregistra fiecare pacient”, a spus Vlad Paic de la Spitalul Carol Davila din București.

„Am cerut laboratorului să ne dea rezultatele pe hârtie. Am folosit Excel și alte instrumente offline pentru a ne asigura că tratamentele nu erau afectate.”

Unii medici au spus că revenirea la procese mai analogice a fost facilitată de faptul că tranziția către sistemele digitale a avut loc destul de recent în România.

Anchetatorii în domeniul cibernetic au lucrat peste noapte și au constatat că 26 de spitale fuseseră infectate cu BackMyData.

În ziua următoare, spitalele care nu fuseseră afectate de atac au fost reconectate la internet, beneficiind de protecții suplimentare.

DNSC spune că o parte din succesul operațiunii a ținut de modul în care au folosit mass-media pentru a comunica cu spitalele și publicul.

Mesajele publice i-au îndemnat pe pacienți să evite spitalele dacă nu aveau de-a face cu o situație urgentă.

Totuși, sălile de așteptare continuau să se umple, iar dr. Goidescu a spus că unii pacienți frustrați și-au vărsat furia asupra personalului.

„Am fost întrebați: «Dacă era vorba despre mama dumneavoastră?» Aveau dreptate să fie furioși, dar am încercat să explicăm că nu era vina noastră”, a spus ea.

Un alt mesaj-cheie a fost că spitalele nu trebuie să contacteze hackerii sau să plătească răscumpărarea.

Atacatorii au cerut bitcoin în valoare de 160.000 de euro (aproximativ 840.000 lei), dar s-a luat la nivel național decizia de a nu plăti.

În spitalele care erau încă offline, echipele IT au lucrat intens pentru a restaura sistemele folosind copii de rezervă.

Majoritatea aveau copii relativ recente ale datelor lor - o lecție esențială. Realizarea acestor copii de rezervă în mod regulat le permite organizațiilor să se recupereze mai rapid.

După cinci zile, majoritatea spitalelor erau din nou online și funcționau aproape normal, fără a fi fost raportate decese și fără ca pacienți să fi fost afectați în mod grav.

A fost nevoie de încă câteva săptămâni pentru a introduce toate informațiile noi care au fost înregistrate pe hârtie în timpul întreruperii. Unele date au fost pierdute definitiv.

Poliția nu face comentarii privind investigațiile despre cei responsabili de atac.

Cu toate acestea, anul trecut, site-ul unui grup de ransomware asociat cu BackMyData a fost scos din funcțiune în urma unei operațiuni internaționale.

Patru cetățeni ruși au fost arestați în afara Rusiei, ale cărei autorități nu cooperează cu autoritățile de aplicare a legii din Occident.

Cîmpean a spus că un astfel de atac s-ar fi putut întâmpla oriunde.

„Cu cât ai mai multă tehnologie, cu cât ești mai digitalizat, cu atât riscul este mai mare”, a spus el.

Anul trecut, serviciul național de sănătate al Marii Britanii, NHS, a confirmat că un atac asupra unei companii de analize de sânge, care a afectat aproximativ 12 centre medicale din Londra, a contribuit la decesul unui pacient.

A fost primul caz în care un deces a fost legat oficial de un atac cibernetic.

În aceeași perioadă, Change Healthcare a fost atacată în Statele Unite, rezultând în perturbări pe scară largă. Compania a plătit hackerilor o răscumpărare de 22 de milioane de dolari (în jur de 100.6 milioane de lei).

Mai târziu în cursul anului, hackerii au declanșat haos, atacând un alt furnizor de servicii medicale din SUA, numit Ascension.

Alina Bîzgă, de la compania de securitate cibernetică Bitdefender din București, spune că spitalele sunt ținte atractive pentru infractorii care încearcă să provoace haos pentru a obține bani.

„Spitalele gestionează servicii critice, iar infractorii cred că, cu cât este mai mare perturbarea pe care o pot declanșa, cu atât este mai probabil să primească o răscumpărare”, a spus ea.

Acest articol a fost scris și revizuit de jurnaliști BBC, folosind inteligența artificială pentru a ajuta în procesul de localizare, ca parte a unui proiect pilot.

Editat de Viorica Toma.