Πώς 100 νοσοκομεία της Ρουμανίας λειτουργούσαν για τέσσερις ημέρες με χαρτί και στυλό

Ήταν Φεβρουάριος του 2024 όταν μέσα σε λίγες ώρες, περισσότερα από 100 νοσοκομεία στη Ρουμανία βρέθηκαν αντιμέτωπα με μια πρωτοφανή κυβερνοεπίθεση που παρέλυσε κρίσιμα ψηφιακά συστήματα και απείλησε τη λειτουργία του εθνικού συστήματος υγείας.

Με τους χάκερ να εξαπλώνουν κακόβουλο λογισμικό στα νοσοκομειακά δίκτυα της Ρουμανίας, οι αρχές έδωσαν μια δραστική εντολή: πλήρης αποσύνδεση από το διαδίκτυο. Γιατροί και νοσηλευτές αναγκάστηκαν να επιστρέψουν σε χαρτί και στυλό, δίνοντας αγώνα δρόμου για να συνεχίσουν να φροντίζουν τους ασθενείς χωρίς τα ψηφιακά εργαλεία στα οποία βασίζεται πλέον η σύγχρονη ιατρική.

Η κυβερνοεπίθεση αυτή συγκαταλέγεται στις σοβαρότερες επιθέσεις που έχουν καταγραφεί ποτέ σε συστήματα υγείας παγκοσμίως. Ωστόσο, τέτοια περιστατικά γίνονται ολοένα και συχνότερα.

Σύμφωνα με το FBI, ο τομέας της υγείας αποτελεί πλέον τον συχνότερο στόχο επιθέσεων εναντίον κρίσιμων εθνικών υποδομών.

Πώς ξεκίνησε η κυβερνοεπίθεση που παρέλυσε τα νοσοκομεία

Η απόφαση να αποκοπούν περισσότερα από 100 νοσοκομεία από το διαδίκτυο σταμάτησε προσωρινά την εξάπλωση των χάκερ και έδωσε χρόνο στις αρχές να αξιολογήσουν την έκταση της ζημιάς.

Το τίμημα, όμως, ήταν μεγάλο: καμία συνδεδεμένη συσκευή, κανένα email.

Οι γιατροί και οι νοσηλευτές αναγκάστηκαν να επιστρέψουν σε χαρτί και στυλό, επινοώντας πρόχειρες λύσεις για να προστατεύσουν τους ασθενείς, ενώ οι ομάδες πληροφορικής έδιναν μάχη με τον χρόνο και το εθνικό κέντρο αντιμετώπισης κυβερνοεπιθέσεων προσπαθούσε να ανακαλύψει πώς είχαν εισβάλει οι δράστες και πώς θα μπορούσαν να σταματήσουν.

Οι ενέργειες των αρχών, αλλά και του ιατρικού προσωπικού κατά τη διάρκεια των τεσσάρων κρίσιμων ημερών που ακολούθησαν, από τις 10 Φεβρουαρίου 2024 και μετά, έχουν επαινεθεί ευρέως.

Ο τρόπος με τον οποίο αντέδρασαν και διαχειρίστηκαν την κρίση θεωρείται πλέον παράδειγμα προς μελέτη διεθνώς, καθώς κυβερνήσεις και οργανισμοί αναζητούν μοντέλα αντιμετώπισης μαζικών κυβερνοεπιθέσεων σε νοσοκομεία.

Η χειρουργός Οάνα Γκοϊντέσκου βρισκόταν σε εφημερία στο νοσοκομείο της πόλης Μπουζάου, περίπου 120 χιλιόμετρα βορειοανατολικά του Βουκουρεστίου, όταν έλαβε την ειδοποίηση ότι οι επιτιθέμενοι είχαν παραβιάσει τα συστήματα της εταιρείας λογισμικού RSC με έδρα το Βουκουρέστι, αποκτώντας πρόσβαση στο ευρέως χρησιμοποιούμενο ιατρικό σύστημα «Hippocrates».

Το σύστημα Hippocrates χρησιμοποιείται από γιατρούς, νοσηλευτές και χειρουργούς για τη διαχείριση σχεδόν κάθε λειτουργίας ενός νοσοκομείου: από τις εισαγωγές ασθενών και τη μισθοδοσία έως τη διαχείριση φαρμακείων, υλικών και αποτελεσμάτων εξετάσεων.

Αθόρυβα, οι κυβερνοεγκληματίες είχαν ήδη αρχίσει να μολύνουν τα νοσοκομεία που χρησιμοποιούσαν το συγκεκριμένο σύστημα με ένα ransomware γνωστό ως «BackMyData».

Τα αρχεία μετατρέπονταν σε ακατανόητο κώδικα και οι δράστες απαιτούσαν λύτρα σε bitcoin.

Το πρώτο νοσοκομείο που αντιλήφθηκε ότι κάτι δεν πήγαινε καλά ήταν το παιδιατρικό νοσοκομείο του Πιτέστι, βορειοδυτικά του Βουκουρεστίου, το πρωί της Κυριακής, μία ημέρα μετά την έναρξη της επίθεσης.

Μέχρι το ξημέρωμα της Δευτέρας, πολλά ακόμη νοσοκομεία είχαν αναφέρει ότι το σύστημα Hippocrates είχε καταρρεύσει.

Με τα νοσοκομεία εκτός σύνδεσης, οι ειδικοί κυβερνοασφάλειας συνεργάστηκαν στενά με την εταιρεία που ανέπτυξε το λογισμικό προκειμένου να διαπιστώσουν πόσα συστήματα είχαν μολυνθεί και να απομακρύνουν τους χάκερ.

Παράλληλα, οι γιατροί αναγκάστηκαν να βρουν εναλλακτικούς τρόπους λειτουργίας.

«Όταν καταλάβαμε ότι το σύστημα δεν θα αποκαθίστατο σύντομα, δημιουργήσαμε μια μέθοδο εκτός σύνδεσης ώστε να καταγράφουμε κάθε ασθενή», δήλωσε ο Βλαντ Πάικ από το νοσοκομείο Carol Davila στο Βουκουρέστι.

«Ζητήσαμε από τα εργαστήρια να μας παραδίδουν τα αποτελέσματα σε χαρτί. Χρησιμοποιήσαμε αρχεία Excel και άλλα εργαλεία εκτός σύνδεσης ώστε να διασφαλίσουμε ότι η περίθαλψη δεν θα επηρεαστεί».

Ορισμένοι γιατροί παρατήρησαν ότι η επιστροφή σε πιο αναλογικές διαδικασίες διευκολύνθηκε από το γεγονός ότι η μετάβαση της Ρουμανίας στα ψηφιακά συστήματα είναι σχετικά πρόσφατη.

Οι ερευνητές της κυβερνοασφάλειας εργάζονταν ολόκληρη τη νύχτα και τελικά διαπίστωσαν ότι 26 νοσοκομεία είχαν μολυνθεί από το BackMyData.

Την επόμενη ημέρα, τα νοσοκομεία που δεν είχαν προσβληθεί επανασυνδέθηκαν στο διαδίκτυο με πρόσθετα μέτρα προστασίας.

Σύμφωνα με το DNSC, σημαντικό ρόλο στην επιτυχία της επιχείρησης έπαιξε και η επικοινωνιακή στρατηγική μέσω των μέσων ενημέρωσης.

Οι πολίτες κλήθηκαν να αποφεύγουν τις επισκέψεις στα νοσοκομεία εκτός εάν ήταν απολύτως απαραίτητο.

Παρόλα αυτά, οι αίθουσες αναμονής συνέχισαν να γεμίζουν και, όπως ανέφερε η Γκοϊντέσκου, αρκετοί ασθενείς ξέσπασαν την οργή τους στο προσωπικό.

«Μας ρωτούσαν: “Κι αν ήταν η μητέρα σας;”. Είχαν δίκιο να είναι θυμωμένοι, αλλά προσπαθούσαμε να τους εξηγήσουμε ότι δεν έφταιγε το προσωπικό», είπε.

Οι χάκερ ζητούσαν λύτρα 160.000 ευρώ

Ένα ακόμη κρίσιμο μήνυμα ήταν ότι τα νοσοκομεία δεν έπρεπε να επικοινωνήσουν με τους χάκερ ούτε να πληρώσουν λύτρα.

Οι δράστες απαιτούσαν περίπου 160.000 ευρώ σε bitcoin.

Ωστόσο, σε εθνικό επίπεδο ελήφθη η απόφαση να μην καταβληθεί κανένα ποσό.

Στα νοσοκομεία που παρέμεναν εκτός λειτουργίας, οι ομάδες πληροφορικής εργάζονταν πυρετωδώς για να αποκαταστήσουν τα συστήματα από εφεδρικά αντίγραφα ασφαλείας.

Τα περισσότερα διέθεταν σχετικά πρόσφατα αντίγραφα δεδομένων — ένα κρίσιμο μάθημα που αναδείχθηκε από την κρίση.

Τα τακτικά αντίγραφα ασφαλείας επιτρέπουν στους οργανισμούς να ανακτούν τα δεδομένα τους πολύ ταχύτερα μετά από μια επίθεση.

Μέσα σε πέντε ημέρες, τα περισσότερα νοσοκομεία είχαν επανέλθει σχεδόν πλήρως στην κανονική λειτουργία τους, χωρίς να έχουν αναφερθεί θάνατοι ή σοβαρές βλάβες σε ασθενείς.

Ωστόσο, χρειάστηκαν εβδομάδες για να καταχωριστούν στα συστήματα όλα τα στοιχεία που είχαν καταγραφεί χειρόγραφα κατά τη διάρκεια της διακοπής λειτουργίας, ενώ μέρος των δεδομένων χάθηκε οριστικά.

Πέρυσι, ο ιστότοπος ransomware που συνδεόταν με το BackMyData κατασχέθηκε στο πλαίσιο διεθνούς επιχείρησης.

Τέσσερις Ρώσοι συνελήφθησαν εκτός Ρωσίας, καθώς οι ρωσικές αρχές δεν συνεργάζονται με τις δυτικές υπηρεσίες επιβολής του νόμου.

Ο Νταν Τσιμπεάν υπογράμμισε ότι μια τέτοια επίθεση θα μπορούσε να συμβεί οπουδήποτε.

«Όσο περισσότερη τεχνολογία χρησιμοποιείς και όσο πιο ψηφιοποιημένος είσαι, τόσο μεγαλύτερος είναι ο κίνδυνος», δήλωσε.

Η Αλίνα Μπιζγκά από την εταιρεία κυβερνοασφάλειας Bitdefender, με έδρα το Βουκουρέστι, εξηγεί ότι τα νοσοκομεία αποτελούν ελκυστικό στόχο για τους κυβερνοεγκληματίες.

«Τα νοσοκομεία παρέχουν κρίσιμες υπηρεσίες και οι εγκληματίες πιστεύουν ότι όσο μεγαλύτερη αναστάτωση προκαλέσουν, τόσο πιο πιθανό είναι να πληρωθούν τα λύτρα», ανέφερε.

Πηγή: BBC