Оригинал этого материала на английском языке можно прочитать здесь.
Звонки из больниц поступали один за другим: преступники поразили компьютерные сети в ходе массированной хакерской атаки, поставившей под угрозу бесчисленное количество жизней.
В Национальном центре кибербезопасности (DNSC) в Бухаресте беспомощно наблюдали, как хакеры получили доступ к системам по всей Румынии, используя популярное медицинское программное обеспечение.
Руководителю отдела кибербезопасности Дану Чимпеану пришлось принять трудное решение, но это был единственный вариант, который у них был.
Приказ поступил в более чем 100 больниц: немедленно отключитесь от интернета.
Кибератака на румынские больницы в феврале 2024 года стала одной из самых серьезных на системы здравоохранения во всем мире, однако подобные инциденты становятся все более частыми.
ФБР недавно заявило, что здравоохранение в настоящее время стало наиболее уязвимой областью критически важной национальной инфраструктуры.
Отключение 100 румынских больниц от интернета остановило хакеров, что дало время для оценки масштабов атаки.
Однако это означало отсутствие подключенных устройств, электронной почты и веб-браузеров.
Медицинскому персоналу пришлось перейти на ручки и бумагу, импровизируя в поисках обходных путей для защиты пациентов, пока ИТ-специалисты пытались что-то сделать, а национальный центр реагирования на кибератаки пытался выяснить, как хакеры проникли в систему — и как их остановить.
Действия специалистов по кибербезопасности в те четыре дня, начиная с 10 февраля 2024 года, а также действия врачей и медсестер получили широкое признание.
То, как они отреагировали и справились с ситуацией, стало примером для специалистов по планированию действий в чрезвычайных ситуациях по всему миру: официальные лица разрабатывают рекомендации по реагированию на массовый хакерский взлом больниц.
Хирург Оана Гойдеску была на дежурстве в больнице Бузэу, расположенной в 120 км к северо-востоку от Бухареста, когда поступило предупреждение о том, что злоумышленники взломали бухарестскую компанию-разработчика программного обеспечения RSC и проникли в широко используемую медицинскую систему «Гиппократ».
«Это был довольно неприятный опыт, ведь медицинская документация — это не просто список пациентов, — сказала она. — Для каждого пациента мы запрашиваем лабораторные анализы, рентгенограммы, лекарства и расходные материалы. Все это исчезло».
Система «Гиппократ» используется врачами и медсестрами для управления всем: от госпитализации до начисления заработной платы, логистики аптечного обеспечения и результатов анализов.
Киберпреступники незаметно начали заражать больницы по всей стране, использующие эту систему, штаммом вымогательского программного обеспечения под названием BackMyData. Файлы превращались в бессмысленный набор символов, а за их восстановление требовали выкуп в биткойнах.
Сотрудники детской больницы в Питешти, к северо-западу от Бухареста, первыми заметили сбои в воскресенье утром, на следующий день после начала атаки.
К утру понедельника многие другие больницы сообщили о выходе системы «Гиппократ» из строя.
Пока больницы находились в автономном режиме, эксперты по кибербезопасности вместе с разработчиком «Гиппократа» пытались определить, сколько систем заражено, и отключить хакеров.
Врачи больниц отреагировали на ситуацию, разработав временные решения для защиты пациентов до восстановления работы системы.
«Когда мы поняли, что систему не удастся быстро восстановить, мы разработали офлайн-метод, чтобы иметь возможность зарегистрировать каждого пациента, — сказал Влад Паич из больницы имени Кароля Давилы в Бухаресте. — Мы попросили лабораторию предоставлять нам результаты на бумаге. Мы использовали Excel и другие офлайн-инструменты, чтобы не допустить ухудшения качества медицинской помощи».
Некоторые врачи отметили, что переход к более аналоговым процессам облегчился благодаря тому, что Румыния перешла на цифровые системы относительно недавно.
Эксперты работали всю ночь и обнаружили, что вирусом BackMyData были заражены 26 больниц.
На следующий день незараженные больницы были вновь подключены к сети с дополнительными мерами защиты.
DNSC отмечает, что отчасти успех операции обеспечило сотрудничество со СМИ для общения с больницами и общественностью.
В публичных сообщениях власти призывали пациентов избегать посещения больниц, если в этом нет необходимости.
Однако залы ожидания по-прежнему переполнялись, и доктор Гойдеску рассказала, что некоторые огорченные пациенты вымещали свое недовольство на персонале.
«Нас спрашивали: „А что, если бы это была ваша мать?“ Они имели право злиться, но мы пытались объяснить, что мы не виноваты», — сказала она.
Еще одним ключевым сообщением было то, что больницам не следует вступать в переговоры с хакерами или платить выкуп.
Злоумышленники потребовали 160 000 евро в биткойнах, но на национальном уровне было принято решение им не платить.
В больницах, которые по-прежнему оставались отключенными от сети, ИТ-специалисты спешили восстановить системы из резервных копий.
У большинства из них были относительно свежие копии данных — это важный урок. Регулярное резервное копирование позволяет организациям восстанавливаться быстрее.
В течение пяти дней большинство больниц вернулось в сеть и работало практически в обычном режиме; о случаях смерти или серьезного вреда для пациентов не сообщалось.
На ввод всей новой информации, записанной на бумаге во время сбоя, ушло еще несколько недель. Некоторые данные были утрачены навсегда.
Полиция не комментирует ход расследования, занимающегося поиском лиц, стоящих за атакой.
Однако в прошлом году в ходе международной операции был закрыт сайт преступной группировки, занимавшейся вымогательством и связанной с BackMyData.
Четверо россиян были арестованы за пределами России — Москва не сотрудничает с западными правоохранительными органами.
Чимпеан заявил, что атака могла произойти где угодно.
«Чем больше вы полагаетесь на технологии, чем больше вы оцифрованы, тем выше риск», — сказал он.
Подписывайтесь на наши соцсети и рассылку
В прошлом году британская Национальная служба здравоохранения (NHS) подтвердила, что взлом компании, занимающейся анализом крови, затронувший около дюжины медицинских центров в Лондоне, привел к смерти одного из пациентов.
Это был первый случай смерти, официально связанной с кибератакой.
Примерно в то же время была взломана компания Change Healthcare в США, что привело к масштабным сбоям в ее работе. Компания заплатила хакерам выкуп в размере 22 млн долларов.
Позже в том же году хакеры вызвали хаос, совершив атаку на другого американского поставщика медицинских услуг, компанию Ascension.
Алина Бизга из бухарестской компании Bitdefender, специализирующейся на кибербезопасности, отмечает, что атаки на больницы привлекают хакеров, стремящихся вызвать хаос ради денег.
«Больницы предоставляют жизненно важные услуги, и преступники считают, что чем больше сбоев они смогут вызвать, тем выше вероятность того, что им заплатят выкуп», — сказала она.
