Atac cibernetic masiv în sistemul medical românesc: situația și măsurile de remediere
Dacă la finalul anului trecut Ardent Health Services din SUA se confrunta cu atacuri cibernetice în sistemul de sănătate, recent, atenția hackerilor s-a îndreptat către țara noastră.
În noaptea de 11 spre 12 februarie 2024, a avut loc un atac cibernetic masiv de tip ransomware asupra serverelor de producţie care găzduiesc sistemul informatic Hipocrate. Reprezentanții Direcției Naționale de Securitate Cibernetică (DNSC) au fost informați luni, 12 februarie 2024, despre atacul cibernetic îndreptat împotriva unui furnizor de servicii pentru mai multe spitale din România. Mai multe unități spitalicești sunt afectate de acest atac.
Ca rezultat al acestui atac, sistemul este inoperabil, fişierele şi bazele de date fiind criptate. Inițial, au fost raportate 15 spitale afectate, însă numărul acestora a crescut ulterior la 21 în zilele care au urmat. De asemenea, alte 79 de spitale au fost deconectate de la internet, iar analiza este în curs pentru a determina dacă sistemul lor poate fi funcțional.
Malware-ul utilizat în acest atac este ransomware-ul Backmydata, un virus din familia ransomware Phobos, despre care am discutat anterior într-unul din articolele noastre.
Informația provine de la sistemul Hipocrate, care pare să fi fost ținta atacului, iar accesul la internetul public a fost suspendat. În prezent, spitalele funcționează în mod offline. Ministerul Sănătății, în colaborare cu instituțiile din domeniu, monitorizează cu atenție situația pentru a remedia cât mai rapid disfuncționalitățile. În toate spitalele care utilizează acest tip de sistem informatic, au fost luate măsuri de securitate, cum ar fi limitarea accesului la internet sau salvarea datelor pe suport extern.
Cererea de răscumpărare și tehnica de infiltrare în rețea
Cererea de răscumpărare în valoare de 3,5 BTC (aproximativ 157.000 EURO) a fost făcută în urma atacului cibernetic. În mesajul emis de către atacatori, nu se identifică o grupare specifică care să revendice acest atac, ci doar o adresă de e-mail. Atât Direcția Națională de Securitate Cibernetică, cât și alte autorități implicate în analiza incidentului recomandă să nu se stabilească contact cu atacatorii și să nu se plătească răscumpărarea cerută.
Conform informațiilor furnizate de Hipocrate, punctul vulnerabil a fost la nivel intern. Unul dintre angajați a fost victima unui atac de phishing, accesând un link și furnizându-și credențialele, ceea ce a dus la compromiterea datelor.
Site-ul accesat a fost creat pentru a imita platforma originală de comunicare între spitale, Hipocrate. Hipocrate este folosit în România încă din anii 2000. De asemenea, se avertizează că riscurile sunt accentuate deoarece datele nu au fost doar criptate, ci și sustrase. În astfel de scenarii, o precauție importantă este să se informeze persoanele ale căror date personale au fost compromise și să se ia măsuri pentru a se proteja împotriva posibilelor fraude bancare sau alte furturi.
Recomandări ale experților în securitate cibernetică
Platforma online Hipocrate este utilizată de zeci de spitale din România, unde sunt centralizate toate activitățile medicale desfășurate în respectivele unități. Spitalele care utilizează această platformă au primit încă de ieri din partea DNSC o serie de recomandări pentru gestionarea corespunzătoare a situației:
- Identificarea și izolarea imediată a sistemelor afectate de restul rețelei și de internet;
- Păstrarea unei copii a mesajului de răscumpărare și a oricăror alte comunicări primite de la atacatori, deoarece aceste informații sunt valoroase pentru autorități sau pentru analiza ulterioară a atacului;
- Evitarea opririi echipamentelor afectate pentru a menține dovezi relevante stocate în memoria volatilă (RAM);
- Colectarea și păstrarea tuturor informațiilor de jurnal relevante de pe echipamentele afectate, precum și de pe echipamentele de rețea și firewall;
- Examinarea jurnalelor de sistem pentru identificarea modului în care infrastructura IT a fost compromisă;
- Informarea imediată a tuturor angajaților și notificarea clienților și partenerilor de afaceri afectați cu privire la incident și amploarea acestuia;
- Restaurarea sistemelor afectate pe baza copiilor de rezervă a datelor, după o curățare completă a sistemelor. Este recomandat să se verifice că backup-urile sunt intacte, actualizate și protejate împotriva atacurilor;
- Asigurarea că toate programele, aplicațiile și sistemele de operare sunt actualizate la cele mai recente versiuni și că toate vulnerabilitățile cunoscute sunt remediate.
DIICOT deschide anchetă în urma atacului cibernetic asupra spitalelor din România
DIICOT a comunicat marți că a inițiat o anchetă în urma atacului cibernetic care a avut loc în noaptea de duminică spre luni, determinând blocarea sistemului care monitorizează și înregistrează toate intervențiile medicale ale pacienților.
Autoritățile au declarat că în acest caz se desfășoară cercetări, în rem, cu privire la săvârșirea unor infracțiuni precum: accesul ilegal la un sistem informatic, perturbarea funcționării sistemelor informatice și activități ilegale legate de programe sau dispozitive informatice.
Extinderea atacurilor cibernetice în România: de la instituțiile publice la spitale
În România, instituțiile publice, inclusiv Guvernul, Ministerul Apărării, Ministerul Educației și Ministerul Dezvoltării, nu sunt singurele ținte ale atacurilor informatice. Site-urile acestor instituții au fost adesea vizate de hackeri care exploatează vulnerabilitățile sistemelor informatice pentru a accesa și sustrage date sensibile. Aceste date pot fi ulterior utilizate în scopuri politice, sociale sau ideologice, sau pentru a obține informații personale. Autoritățile au deschis numeroase anchete pentru a identifica și trage la răspundere penală pe cei responsabili pentru astfel de acțiuni.
Atacurile de tip ransomware împotriva spitalelor sunt considerate printre cele mai dăunătoare, deoarece pot paraliza complet activitatea acestora prin blocarea accesului la datele medicale ale pacienților. Această situație limitează grav accesul la serviciile medicale și poate crește semnificativ timpii de așteptare pentru intervențiile de urgență. De-a lungul timpului, atacatorii au vizat în repetate rânduri infrastructurile medicale cu astfel de atacuri ransomware, solicitând apoi o recompensă pentru a debloca accesul la date.
Consolidarea securității cibernetice în sistemul românesc
Atacul cibernetic asupra sistemului medical românesc reprezintă o amenințare serioasă la adresa securității spitalelor și a pacienților. Pentru a face față acestei situații, instituțiile trebuie să implementeze măsuri de securitate avansate, să ofere informații detaliate personalului și pacienților cu privire la riscurile cibernetice, și să investească în tehnologii și programe de protecție împotriva amenințărilor digitale.
Este important ca personalul din domeniul sănătății să fie conștientizat și pregătit continuu pentru a gestiona și reduce impactul potențialelor atacuri cibernetice, asigurând astfel continuitatea furnizării serviciilor medicale. Utilizatorii trebuie să fie vigilenti și să-și protejeze datele personale, evitând să devină victime ale atacurilor de tip phishing și ransomware. Adoptarea unor practici de securitate precum actualizarea regulată a software-ului și utilizarea de parole robuste este esențială pentru prevenirea incidentelor cibernetice.
Platforma noastră, sigurantapenet.ro oferă soluții de instruire și consultanță pentru consolidarea nivelului de conștientizare în domeniul securității IT. Ajutam organizațiile sa gestioneze eficient amenintarile cibernetice, inclusiv atacurile de tip phishing si ransomware, prin intermediul unor campanii specializate de phishing care are rolul de a evalua si imbunătăți abilitatile angajatilor de a identifica e-mailurile malițioase. De asemenea, prin abonarea la newsletterul nostru, veți fi mereu la curent cu cele mai recente știri și sfaturi din domeniul securității cibernetice.