Így váltott 100 román kórház papírra és ceruzára egy országos kibertámadás során

Egymás után érkeztek a hívások a kórházakból: bűnözők fertőzték meg a számítógépes hálózatokat egy országos kibertámadás során, ezzel számtalan ember életét veszélybe sodorva.

A bukaresti Nemzeti Kiberbiztonsági Igazgatóságnál (DNSC) tehetetlenül figyelték, ahogy a hackerek egy népszerű egészségügyi szoftveren keresztül villámgyorsan teret hódítottak Romániában.

A kiberbiztonságért felelős vezető, Dan Cîmpean nehéz döntés előtt állt, de nem volt más választásuk.

Több mint száz kórház kapta meg az utasítást: azonnal szakítsák meg az internetkapcsolatukat.

A romániai kórházak elleni, 2024 februárjában történt kibertámadás volt a világ egyik legsúlyosabb egészségügyet érintő incidense volt. Ugyanakkor egyre gyakoribbak az ehhez hasonló esetek.

Az FBI nemrég közölte: ma már az egészségügy a legsűrűbben célba vett terület a kritikus nemzeti infrastruktúrán belül.

A több mint száz romániai kórház internetkapcsolatának megszüntetése megállította a hackerek térnyerését, és időt adott annak felmérésére, milyen súlyos a támadás.

Ez azonban azt is jelentette, hogy nem működtek az internetre csatlakozó eszközök, az e-mailek és a webböngészők.

Az egészségügyi dolgozóknak papírra és ceruzára kellett áttérniük, rögtönzött megoldásokkal igyekeztek megvédeni a betegeket. Eközben az informatikusok versenyt futottak az idővel, a nemzeti kiberbiztonsági központ pedig azt próbálta kideríteni, hogyan jutottak be a támadók és miként lehet megállítani őket.

A 2024. február 10-étől számított négy nap alatt hozott intézkedéseiket, csakúgy, mint az orvosok és nővérek helytállását, széles körben elismerték.

A válságkezelésük nemzetközi szinten is esettanulmánnyá vált a kórházakat érő tömeges kibertámadások kezelésével foglalkozó szakembereknek.

Oana Goidescu sebész éppen szolgálatban volt a Bukaresttől 120 kilométerre északkeletre fekvő buzăui kórházban, amikor riasztás érkezett: támadók feltörték a bukaresti székhelyű RSC szoftvercég rendszereit, és behatoltak a széles körben használt Hippocrates nevű egészségügyi rendszerbe.

„Eléggé kellemetlen élmény volt, mert az informatikai nyilvántartás nem pusztán egy beteglista" – mondta. „Minden egyes beteghez laborvizsgálatokat, képalkotó vizsgálatokat, gyógyszereket és eszközöket rendelünk. Mindez eltűnt."

A Hippocratest orvosok, ápolók és sebészek használják mindenre a betegfelvételtől kezdve a bérszámfejtésen, a gyógyszertári logisztikán át egészen a vizsgálati eredményekig.

A támadók észrevétlenül kezdték megfertőzni azokat a kórházakat országszerte, amelyek ezt a rendszert használták, egy BackMyData nevű zsarolóprogrammal. A fájlokat értelmetlen karaktersorokká alakították, és bitcoinban követeltek váltságdíjat.

A Bukaresttől északnyugatra fekvő pitești gyermekkórház dolgozói vették észre először a hibákat vasárnap reggel, egy nappal a támadás kezdete után.

Hétfő hajnalra számos más kórház is jelezte, hogy a Hippocrates rendszer nem működik.

Miután a kórházak lekapcsolódtak, a kiberbiztonsági szakemberek szorosan együttműködtek a Hippocrates fejlesztőjével, hogy megállapítsák, hány rendszert fertőztek meg, és hogy eltávolítsák a támadókat.

Az orvosok közben rögtönzött megoldásokat vezettek be, hogy a betegek ellátása biztosított maradjon, amíg a rendszerek helyre nem állnak.

„Amikor láttuk, hogy a rendszert nem lehet gyorsan helyrehozni, kialakítottunk egy offline módszert a betegek nyilvántartásba vételére" – mondta Vlad Paic, a bukaresti Carol Davila Kórház munkatársa.

„Azt kértük a laboratóriumtól, hogy papíron adják ki az eredményeket. Excelt és más offline eszközöket használtunk, hogy az ellátás ne szenvedjen kárt."

Egyes orvosok szerint az analóg megoldásokhoz való visszatérést megkönnyítette, hogy Romániában csak nemrég álltak át digitális rendszerekre.

A kibernyomozók egész éjjel dolgoztak, és megállapították, hogy 26 kórház fertőződött meg a BackMyData zsarolóprogrammal.

Másnap a fertőzés által nem érintett kórházakat megerősített védelemmel újracsatlakoztatták a hálózathoz.

A DNSC szerint a művelet sikerének egyik kulcsa abban rejlett, ahogy a médiát használták a kórházakkal és a nyilvánossággal való kommunikációra.

Arra kérték a betegeket, hogy csak indokolt esetben menjenek kórházba.

A várótermek ennek ellenére továbbra is tele voltak, és Dr. Goidescu szerint néhány feldühödött beteg a személyzeten vezette le a feszültséget.

„Azt kérdezték: 'Mi lenne, ha az ön édesanyjáról lenne szó?' Joggal voltak dühösek, de igyekeztünk elmagyarázni, hogy nem mi vagyunk a hibásak" – mondta.

Egy másik kulcsüzenet az volt, hogy a kórházak ne lépjenek kapcsolatba a támadókkal, és ne fizessenek váltságdíjat.

A támadók 160 ezer euró (kb. 56,4 millió forint) értékű bitcoint követeltek, de országos szinten az a döntés született, hogy nem fizetnek.

Azoknál a kórházaknál, amelyek továbbra sem működtek online, az informatikai csapatok versenyt futottak az idővel, hogy biztonsági mentésekből állítsák helyre a rendszereket.

A legtöbb intézmény rendelkezett viszonylag friss adatmentéssel – ez kulcsfontosságú tanulság. A rendszeres mentések lehetővé teszik, hogy a szervezetek gyorsabban helyreálljanak.

Öt napon belül a legtöbb kórház újra csatlakozott a hálózathoz, és a normálishoz közeli működésre állt vissza, miközben nem érkezett jelentés halálesetekről vagy súlyos károkról a betegek között.

A leállás idején papíron rögzített minden új adat bevitele hetekig tartott. Egyes adatok végleg elvesztek.

A rendőrség nem kommentálta, hogy kik állhattak a támadás mögött.

Tavaly ugyanakkor lekapcsolták egy, a BackMyData zsarolóprogramhoz köthető csoport weboldalát egy nemzetközi művelet során.

Őrizetbe vettek négy orosz állampolgárt Oroszországon kívül. Az orosz hatóságok nem működnek együtt a nyugati rendvédelmi szervekkel.

Cîmpean szerint a támadás bárhol megtörténhetett volna.

„Minél több technológiát használunk, minél inkább digitalizáltak vagyunk, annál nagyobb a kockázat" – fogalmazott.

Tavaly az Egyesült Királyság állami egészségügyi szolgálata, az NHS megerősítette, hogy egy vérvizsgálatokat végző céget ért kibertámadás, amely Londonban mintegy tucatnyi egészségügyi intézményt érintett, hozzájárult egy beteg halálához.

Ez volt az első, hogy halálesetet hivatalosan is kibertámadáshoz kötöttek.

Nagyjából ugyanebben az időszakban az Egyesült Államokban a Change Healthcare rendszereit is feltörték, ami széles körű fennakadásokat okozott. A vállalat 22 millió dollár (kb. 6,7 milliárd forint) váltságdíjat fizetett a támadóknak.

Az év későbbi részében hackerek egy másik amerikai egészségügyi szolgáltató, az Ascension elleni támadással is komoly káoszt idéztek elő.

Alina Bîzgă, a bukaresti székhelyű Bitdefender kiberbiztonsági cég szakértője szerint a kórházak vonzó célpontot jelentenek a bűnözők számára, akik pénzért igyekeznek minél nagyobb zavart okozni.

„A kórházak létfontosságú szolgáltatásokat nyújtanak, és a támadók úgy vélik, minél nagyobb fennakadást tudnak előidézni, annál nagyobb az esélye annak, hogy váltságdíjat kapjanak" – mondta.

Június 23-án a BBC World Service román nyelvű szolgáltatást indít BBC News România néven, hogy megbízható újságírással szolgálja ki a romániai, moldovai és a szélesebb európai közönséget. A BBC News România elérhető lesz a honlapon, valamint a Facebookon és az Instagramon.

Ezt a cikket újságíróink írták és lektorálták, a fordításhoz mesterséges intelligencia által támogatott eszközök segítségét használták, egy kísérleti projekt részeként.

Szerkesztette: Kárász Palkó