Peste 100 de spitale din România au fost lovite de un atac cibernetic în februarie 2024.
Peste 100 de spitale din România au fost vizate în februarie 2024 de un atac cibernetic care a forțat deconectarea de la internet și revenirea la hârtii, într-un moment în care activitatea medicală depindea de sisteme informatice pentru analize, radiologie, medicație și internări. Breșa a fost exploatată prin software-ul medical Hippocrate, iar atacatorii au criptat fișierele cu ransomware-ul BackMyData și au cerut 160.000 de euro în Bitcoin.
In practica, impactul nu s-a măsurat doar în calculatoare blocate, ci în spitale care nu mai puteau vedea rapid datele pacienților și au fost nevoite să reia proceduri manuale săptămâni întregi. După patru zile de lucru, experții au constatat că 26 dintre cele peste 100 de spitale fuseseră infectate efectiv, în timp ce restul au fost repuse treptat în funcțiune, ceea ce arată că numărul unităților afectate operațional a fost de aproape patru ori mai mare decât cel al spitalelor compromise tehnic.
Pentru pacienți, miza a fost simplă: întârzieri și improvizație controlată într-un serviciu public care nu își poate permite pauze. Iar pentru sistemul sanitar, episodul a arătat cât de repede o platformă folosită pe scară largă poate transforma o problemă informatică într-un blocaj național.
Ordinul de deconectare a oprit extinderea atacului, dar a mutat spitalele înapoi la hârtie
Dan Cimpean (șeful Direcției Naționale de Securitate Cibernetică, DNSC) a emis atunci un ordin fără precedent: toate cele 100 de spitale afectate au fost deconectate imediat de la internet. Decizia a întrerupt răspândirea atacului, dar a tăiat și accesul la instrumentele digitale de lucru pe care personalul medical le folosea zilnic.
Majoritatea spitalelor aveau copii recente ale datelor, ceea ce a permis o recuperare mai rapidă a sistemelor. Numai că refacerea activității nu s-a încheiat când serverele au pornit din nou. Introducerea manuală a datelor și reconstrucția fluxurilor au durat săptămâni, într-un sector unde timpul administrativ se transformă repede în timp pierdut pentru îngrijire.
Oana Goidescu (chirurg la Spitalul din Buzău, județul Buzău) a descris concret ce a însemnat blocajul pentru medici:
„A fost o experiență destul de neplăcută, pentru că o fișă IT nu este doar o listă de pacienți. Pentru fiecare pacient, solicităm analize de laborator, radiologie, medicamente și consumabile. Toate acestea dispăruseră.”
În aceeași perioadă, presiunea s-a mutat și asupra relației cu bolnavii și familiile lor. Aceeași Oana Goidescu a relatat că reacțiile au fost directe, într-un moment în care explicațiile tehnice nu ajutau prea mult la ghișeu sau pe holurile spitalului.
„Am fost întrebați: «Dacă ar fi mama voastră?» Au avut dreptate să fie supărați, dar am încercat să le explicăm că nu este vina noastră.”
-46%Mini Drujba Electrica cu 2 acumulatori 48V, Lamă + 2 Lanțuri, 200mm, 8", ungere automata Edon MX294Cumpără-45%
8.5CP *PACHET* Motoburghiu foreza pamant 8.5CP, 58cc, 9200rpm Professional, 3 burghie incluse (100, 150, 200) GT4350 CAMPION CMP4350Cumpără
Aer conditionat 24000 BTU - kit instalare inclus + console CADOU 5 mCumpără
Un software folosit pe scară largă a devenit poarta de intrare pentru un atac național
Faptul că breșa a fost exploatată prin Hippocrate explică de ce incidentul a depășit rapid nivelul unui spital sau al unui județ. Când aceeași aplicație este folosită pe scară largă, vulnerabilitatea nu mai produce o avarie locală, ci poate lovi simultan zeci de unități. Aici apare și costul real pentru stat: nu doar recuperarea IT, ci continuitatea unui serviciu esențial.
Vlad Paic (de la Spitalul Carol Davila din București) a explicat cum a fost organizată munca după ce a devenit clar că sistemul nu va reveni rapid:
„Când am văzut că sistemul nu va fi reparat rapid, am dezvoltat o metodă offline, astfel încât să putem înregistra fiecare pacient. Am cerut laboratorului să ne ofere rezultatele pe hârtie.”
Potrivit Libertatea, atacul din România a ajuns ulterior studiu de caz pentru specialiștii în securitate cibernetică din afara țării, tocmai pentru că a lovit infrastructură medicală critică printr-un produs utilizat pe scară largă și a obligat spitalele să mențină tratamentele în condiții de avarie digitală.
Răscumpărarea cerută a fost de 160.000 de euro, mult sub cele 22 de milioane de dolari plătite în SUA
Atacatorii au cerut 160.000 de euro în Bitcoin pentru deblocarea fișierelor. Față de cele 22 de milioane de dolari pe care hackerii le-au cerut și primit de la compania americană Change Healthcare, suma este incomparabil mai mică, dar asta nu reduce miza pentru spitalele românești: aici ținta nu a fost o companie, ci funcționarea unor unități medicale publice.
Nu a fost anunțat dacă vreo parte din cei 160.000 de euro a fost plătită. Nici poliția nu a făcut publice detalii despre autorii atacului sau despre eventuale arestări în România. Există speculații că în spatele operațiunii s-ar afla o grupare de ransomware asociată cu BackMyData, iar patru dintre membrii acesteia au fost arestați în afara Rusiei în 2023. Numai că o implicare rusească directă nu este confirmată oficial în datele publicate până acum.
Dan Cimpean a rezumat paradoxul care apasă acum asupra sistemului medical: digitalizarea aduce viteză și trasabilitate, dar extinde și suprafața de atac.
„Cu cât ai mai multă tehnologie, cu cât ești mai digitalizat, cu atât riscul este mai mare”, a spus șeful DNSC.
România nu este o excepție, iar incidentele din Marea Britanie și SUA arată costul uman și financiar
Atacul asupra spitalelor românești se înscrie într-o tendință mai largă. În 2023, un atac cibernetic asupra unei companii de analize de sânge din Marea Britanie a fost legat de moartea unui pacient. În Statele Unite, aceeași categorie de criminalitate a produs o plată de 22 de milioane de dolari. Comparativ, cazul din România a avut o răscumpărare cerută mult mai mică, dar a afectat direct peste 100 de spitale, ceea ce îl plasează printre cele mai grave episoade la nivel global care au lovit infrastructura de sănătate.
Alina Bîzgă (expert în securitate cibernetică la Bitdefender) a explicat de ce spitalele sunt o țintă atât de atractivă pentru rețelele de ransomware:
„Spitalele gestionează servicii esențiale, iar infractorii cred că, cu cât pot fi cauzate mai multe perturbări, cu atât sunt mai mari șansele să primească o răscumpărare.”
Nu au fost anunțate încă public măsuri concrete ale Ministerului Sănătății după incident, nici nivelul investițiilor viitoare în securitatea cibernetică a sistemului medical. La fel, informațiile disponibile până acum nu precizează câte date au fost irecuperabile și ce consecințe directe au avut aceste pierderi pentru pacienți. Cert este că, după patru zile de intervenție și săptămâni de lucru manual, 26 de spitale fuseseră confirmate ca infectate efectiv, iar peste 100 au trecut prin deconectarea de urgență ordonată de DNSC.
