Spitalul de Recuperare Sfântul Gheorghe din Botoşani a fost ținta unui atac informatic de tip ransomware, în urma căruia i-a fost cerută o răscumpărare pentru decriptarea datelor de pe servere.
Atacul este similar celui din vara anului 2019, când alte patru spitale din România au fost afectate de PHOBOS. Printre acele spitale a fost şi Spitalul Municipal Dorohoi, în contextul lipsei unor soluții antivirus la nivelul infrastructurii IT&C utilizate de acestea.
Ransomware-ul PHOBOS prezintă un nivel de complexitate medie, utilizând ca metodă de infecție, preponderent, conexiunile de tip Remote Desktop Protocol (RDP).
De altfel, ceea ce este interesant este şi cum au reuşit să pătrundă hackerii în sistemul infrmatic al unităţii sanitare. Potrivit reprezentanţilor spitalului, unitatea are contracte de mentenanţă atât cu o firmă care asigură partea de soft, cât şi cu una specific pe securitatea cibernetică.
Din câte se pare, însă, chiar aşa s-a produs atacul. Poarta de intrare în sistemul informatic a fost o conexiune de la distanţă folosită de una dintre cele două firme de mentenanţă. Prin intermediul unei conexiuni RDP, hackerii au intrat în sistem şi au criptat baza de date de pe luna decembrie. Ulterior, aceştia au lăsat şi un mesaj, în limba engleză, în care cer o o răscumpărare de trei bitcoin. Aceştia echivalează cu aproape 50.000 de euro
Atac informatic în atenţia DIICOT
În acest caz, însă, complexitatea atacului a fost una foarte mare. Drept dovadă, nici informaticienii din structurile DIICOT de la nivel central, dar nici o serie de analişti de la BitDefender nu au reuşit să decripteze fişierele.
Reprezentanţii unităţii sanitare spun că atacul a fost totuşi lansat într-o perioadă bună. Asta pentru că la finalul anului şi începutul noului an, activitatea medicală este aproape de zero în Spitalul de Recurpare. „Noi am anunţat deja Direcţia Naţională de Securitate Cibernetică şi DIICOT. A fost începută o anchetă şi aşteptăm să vedem ce se va întâmpla. Mai multe nu pot preciza momentan. Cert este că de luni sperăm să reluăm activitatea medicală la capacitatea normală”, a precizat medicul Cătălin Dăscălescu, managerul Spitalului de Recuperare.
Situaţia este una problematică şi din cauza raportărilor către Casa de Sănătate. Pentru că au fost criptate bazele de date de pe luna decembrie, unitatea sanitară nu poate raporta serviciile efectuate în ultima lună din 2022. Din acest motiv nici nu poate primi banii pe aceste servicii. Reprezentanţii CAS spun însă că încearcă să găsească soluţii, pentru ca unitatea sanitară să poată plăti salariile.
„Aşteptăm ca cei de la spital să facă un memoriu şi să ne solicite ajutorul. Ei ne-au informat chiar în ziua atacului şi noi am informat şi noi Casa Naţională de Sănătate pentru lămuriri. De acum vom face demersuri pentru a-i putea ajuta să facă raportarea pe decembrie şi să primească banii aferenţi. Vom găsi soluţii cu siguranţă, pentru a nu fi probleme cu banii. Totuşi vorbim despre activitatea unei luni întregi”, a precizat juristul Alina Mustiaţă, reşedinte director general al CAS Botoşani.
Cel mai mare spital pediatric din Canada a fost ținta unui atac similar
SickKids din Toronto, cel mai mare spital pediatric din Canada, a fost ținta unui atac ransomware început pe 18 decembrie 2022.
Declarat inițial ca o ”defecțiune a sistemului”, atacul cibernetic de tip ransomware a fost confirmat ulterior de spital, care a și notificat agențiile guvernamentale și a angajat experți în securitate cibernetică pentru a se ocupa de răspunsul la incident.
Atacul a provocat întârzieri în accesarea rezultatelor imagistice și de laborator, a afectat mai multe linii telefonice și pagini web, precum și procesele de trimitere a rețetelor, oficialii spitalului declarând că ”va dura săptămâni până când toate sistemele vor funcționa normal”.
Recomandări SRI pentru prevenirea unui atac informatic
În vederea prevenirii unor atacuri de tip ransomware, experții Centrului Național CYBERINT și CERT-RO recomandă implementarea unor politici și măsuri de securitate precum:
* Utilizarea unei soluții antivirus actualizate;
* Dezactivarea serviciului RDP de pe toate stațiile și serverele din rețea;
* Actualizarea sistemelor de operare și a tuturor aplicațiilor utilizate;
* Schimbarea frecventă a parolelor tuturor utilizatorilor, respectând recomandările de complexitate;
* Verificarea periodică a tuturor utilizatorilor înregistrați, pentru a identifica utilizatorii noi, adăugați în mod nelegitim;
* Realizarea unor copii de siguranță a datelor critice pe suporți de date offline;
* Păstrarea datelor criptate în eventualitatea în care ar putea apărea o aplicație de decriptare în mediul online