Jak ponad 100 szpitali wróciło do papierowej dokumentacji, by odeprzeć cyberatak

Telefony ze szpitali przychodziły jeden po drugim: cyberprzestępcy przejmowali sieci komputerowe w masowym ataku hakerskim, który narażał życie niezliczonych pacjentów.

W krajowym centrum cyberbezpieczeństwa w Bukareszcie (DNSC) eksperci bezradnie obserwowali, jak hakerzy rozprzestrzeniają się po Rumunii za pośrednictwem popularnego oprogramowania medycznego.

Szef cyberbezpieczeństwa Dan Cimpean musiał podjąć trudną decyzję — ale była to jedyna dostępna opcja.

Do ponad 100 szpitali wysłano polecenie: natychmiast odłączyć się od internetu.

Cyberatak na rumuńskie szpitale w lutym 2024 roku był jednym z najpoważniejszych ataków wymierzonych w system opieki zdrowotnej na świecie. Tego typu incydenty stają się jednak coraz częstsze.

Jak niedawno poinformowało FBI, sektor ochrony zdrowia jest obecnie najczęściej atakowanym elementem infrastruktury krytycznej.

Odcięcie ponad 100 rumuńskich szpitali od internetu zatrzymało hakerów i dało czas na ocenę skali ataku.

Oznaczało to jednak brak dostępu do urządzeń podłączonych do sieci, e-maili i przeglądarek internetowych.

Personel medyczny musiał wrócić do pracy z użyciem analogowych metod, improwizując rozwiązania, by chronić pacjentów, podczas gdy zespoły IT i krajowe centrum reagowania na cyberataki próbowały ustalić, jak hakerzy dostali się do systemu i jak ich powstrzymać.

Działania podjęte w ciągu czterech dni od 10 lutego 2024 roku — zarówno przez specjalistów ds. cyberbezpieczeństwa, jak i lekarzy oraz pielęgniarki — spotkały się z szerokim uznaniem.

Sposób, w jaki zareagowali i poradzili sobie z kryzysem, stał się międzynarodowym przykładem dla planistów zarządzania kryzysowego, którzy szukają wskazówek, jak reagować na masowe cyberataki na szpitale.

Chirurżka Oana Goidescu była na dyżurze w szpitalu w Buzău, 120 km na północny wschód od Bukaresztu, gdy pojawił się alarm, że cyberprzestępcy włamali się do systemów bukareszteńskiej firmy informatycznej RSC, uzyskując dostęp do szeroko wykorzystywanego systemu medycznego Hippocrates.

„To było bardzo nieprzyjemne doświadczenie, ponieważ elektroniczna dokumentacja to nie tylko lista pacjentów," powiedziała. „Dla każdego pacjenta zlecamy badania laboratoryjne, diagnostykę obrazową, leki i materiały medyczne. Wszystko to nagle zniknęło."

System Hippocrates jest wykorzystywany przez lekarzy, pielęgniarki i chirurgów do zarządzania wszystkim — od przyjęć pacjentów po listy płac, logistykę aptek i wyniki badań.

Cyberprzestępcy po cichu zaczęli atakować szpitale w całym kraju korzystające z tego systemu, używając oprogramowania ransomware o nazwie BackMyData. Pliki były szyfrowane i zamieniane w bezużyteczny ciąg znaków, a hakerzy żądali okupu w bitcoinach.

Jako pierwsi problemy zauważyli pracownicy szpitala dziecięcego w Pitești, na północny zachód od Bukaresztu, w niedzielny poranek — dzień po rozpoczęciu ataku.

Do świtu w poniedziałek wiele innych szpitali zgłosiło awarię systemu Hippocrates.

Gdy szpitale działały offline, eksperci ds. cyberbezpieczeństwa blisko współpracowali z twórcami systemu Hippocrates, aby ustalić skalę infekcji i usunąć hakerów z systemów.

Lekarze zaczęli improwizować rozwiązania, by chronić pacjentów do czasu przywrócenia systemów do działania.

„Kiedy zobaczyliśmy, że system nie zostanie szybko naprawiony, opracowaliśmy metodę offline, aby rejestrować każdego pacjenta," powiedział Vlad Paic ze szpitala Carol Davila w Bukareszcie.

„Poprosiliśmy laboratorium o przekazywanie wyników badań na papierze. Korzystaliśmy z Excela i innych narzędzi offline, aby opieka nad pacjentami nie ucierpiała."

Niektórzy lekarze przyznawali, że powrót do bardziej analogowych metod pracy był łatwiejszy, ponieważ cyfryzacja rumuńskiej służby zdrowia nastąpiła stosunkowo niedawno.

Śledczy zajmujący się cyberatakami pracowali przez całą noc i ustalili, że ransomware BackMyData zainfekowało 26 szpitali.

Następnego dnia niezainfekowane szpitale ponownie podłączono do sieci, wdrażając dodatkowe zabezpieczenia.

DNSC podkreśla, że jednym z kluczowych elementów sukcesu operacji było wykorzystanie mediów do komunikacji ze szpitalami i opinią publiczną.

W komunikatach apelowano do pacjentów, by unikali wizyt w szpitalach, jeśli nie były one konieczne.

Mimo to poczekalnie nadal się zapełniały, a dr Goidescu powiedziała, że część sfrustrowanych pacjentów wyładowywała złość na personelu.

„Pytano nas: «A co, gdyby chodziło o waszą matkę?». Mieli prawo być źli, ale próbowaliśmy wyjaśnić, że to nie była nasza wina," powiedziała.

Kolejnym ważnym komunikatem było to, by szpitale nie kontaktowały się z hakerami i nie płaciły okupu.

Hakerzy zażądali 160 tys. euro (około 683 tys. złotych) w bitcoinach, jednak podjęto ogólnokrajową decyzję, by nie płacić okupu.

W szpitalach, które nadal działały offline, zespoły IT gorączkowo pracowały nad przywróceniem systemów z kopii zapasowych.

Większość placówek dysponowała stosunkowo aktualnymi kopiami danych — co okazało się kluczową lekcją z tego kryzysu. Regularne tworzenie kopii zapasowych pozwala organizacjom szybciej odzyskać sprawność po cyberataku.

W ciągu pięciu dni większość szpitali wróciła do działania i funkcjonowała niemal normalnie. Nie odnotowano żadnych zgonów ani poważnych szkód wśród pacjentów.

Wprowadzenie do systemów wszystkich informacji zapisanych na papierze podczas awarii zajęło jednak kolejne tygodnie. Część danych została utracona bezpowrotnie.

Policja nie komentuje śledztwa dotyczącego sprawców ataku.

W ubiegłym roku strona internetowa grupy ransomware powiązanej z BackMyData została jednak przejęta podczas międzynarodowej operacji.

Poza Rosją zatrzymano czterech Rosjan, ponieważ rosyjskie władze nie współpracują z zachodnimi organami ścigania.

Cimpean podkreślił, że taki atak mógł wydarzyć się wszędzie.

„Im więcej technologii i cyfryzacji, tym większe ryzyko," powiedział.

W ubiegłym roku brytyjska publiczna służba zdrowia NHS potwierdziła, że cyberatak na firmę zajmującą się badaniami krwi, który dotknął około tuzina placówek medycznych w Londynie, przyczynił się do śmierci pacjenta.

Był to pierwszy przypadek oficjalnie powiązany ze śmiercią spowodowaną cyberatakiem.

Mniej więcej w tym samym czasie ofiarą ataku padła amerykańska firma Change Healthcare, co doprowadziło do poważnych zakłóceń w funkcjonowaniu systemu opieki zdrowotnej. Firma zapłaciła hakerom okup w wysokości 22 mln dolarów (około 82 mln złotych).

Pod koniec roku hakerzy wywołali chaos również atakiem na innego amerykańskiego dostawcę usług medycznych — firmę Ascension.

Alina Bîzgă z bukareszteńskiej firmy cyberbezpieczeństwa Bitdefender powiedziała, że szpitale są atrakcyjnym celem dla cyberprzestępców, którzy próbują wywołać chaos dla zysku.

„Szpitale świadczą usługi o kluczowym znaczeniu, a przestępcy zakładają, że im większe zakłócenia uda się spowodować, tym większa szansa na otrzymanie okupu," powiedziała.

23 czerwca BBC World Service uruchamia serwis BBC News România w języku rumuńskim, który będzie dostarczać rzetelne informacje odbiorcom w Rumunii, Mołdawii i innych częściach Europy. BBC News România będzie dostępny na stronie internetowej oraz na Facebooku i Instagramie.

Ten tekst został napisany i sprawdzony przez dziennikarzy BBC. Przy tłumaczeniu zostały użyte narzędzia AI, jako część projektu pilotażowego.

Edycja: Kamila Koronska