Un al 27-lea spital a anunțat, pe 14 februarie, că a fost afectat de un atac cibernetic, la două zile după ce primele unități medicale au spus că au probleme cu platforma informatică.
Spitalul de Boli Cronice Smeeni, din județul Buzău, a raportat miercuri că are datele blocate de același virus care a atacat întreaga rețea de servere legate în platforma Hipocrate.
„Norocul” spitalului a fost că nu a avut energie electrică. În felul acesta, nimeni nu a știut că și Smeeni e pe listă până când au fost repornite calculatoarele.
Autoritățile analizează deja incidentul care a afectat activitatea tuturor spitalelor legate în rețea și trebuie să răspundă la mai multe întrebări:
- cum au pătruns atacatorii în sistemul informatic al platformei Hipocrate?
- de ce a fost atât de simplu ca virusul să se răspândească?
- și, mai ales, cine sunt atacatorii?
Luni, pe 12 februarie, 26 de spitale au anunțat că sunt victime ale unor atacuri cibernetice. Europa Liberă a scris aici despre subiect:
Cum s-a produs atacul? Primul semnal, pe 10 februarie
„Cel mai probabil, atacul a plecat de la unul dintre clienții noștri”, explică, pentru Europa Liberă, Alexandru Silviu Cârstea, administratorul Genius IT Solutions, una dintre firmele care gestionează platforma Hipocrate.
„Analizăm cronologic cum s-au întâmplat lucrurile și avem în atenție două spitale”. mai spune el.
Primul semnal al unui posibil atac cibernetic a venit pe 10 februarie, de la Pitești. Serverul Spitalului de Pediatrie, pe care funcționa platforma Hipocrate, fusese virusat. A fost informat Departamentul Național de Securitate Cibernetică (DNSC), spune Silviu Alexandru Cârstea.
Alarma generală s-a dat, însă, pe 12 februarie dimineața, după ce prezența virusului a fost semnalată în întreaga rețea.
De ce nu pe 10 ianuarie?
„Pentru că a fost un eveniment izolat, fără efecte asupra întregii rețele”, explică Silviu Alexandru Cârstea pentru Europa Liberă.
Au urmat măsuri rapide de limitare a propagării virusului și de limitare a efectelor sale. „Faptul că am intervenit rapid a făcut ca doar aproximativ 15% din clienții (spitale, clinici și policlinici - n.r.) noștri să fie afectați”, spune Silviu Cârstea.
Limitarea s-a făcut prin scoaterea din rețea a serverelor locale, de la fiecare spital, și trecerea lor în modul de lucru intranet, adică doar cu resursele locale.
În total, serverele locale de la 27 de spitale din cele peste 100 legate în rețeaua Hipocrate au fost virusate.
Cum s-a manifestat „virusarea”?
Odată pătruns într-un sistem, virusul a logat toți utilizatorii și a criptat fișierele.
„Virusul BackMyData criptează fișierele, redenumește fișierele și oferă două note de răscumpărare ("info.hta" și "info.txt").
BackMyData redenumește fișierele atacate adăugând ID-ul victimei, o adresă de e-mail (backmydata@skiff.com) și extensia „.backmydata”.
De exemplu, se schimbă:
- „1.jpg” în 1.jpg.id[9ECFA84E-3511].[backmydata@skiff.com].backmydata”,
- „2.png” în „2.png.id[9ECFA84E-3511”.].[backmydata@skiff.com].backmydata”,
și așa mai departe”, explică modul de acțiune specialiștii de la PCrisk.com.
Prin urmare, utilizatorii nu mai pot accesa niciunul din aceste fișiere criptate. În fișierul info.txt apare mesajul atacatorilor.
Nota de răscumpărare scrisă automat de virus informează victima că rețeaua ei a fost piratată și fișierele criptate.
Evidențiază gravitatea situației prin menționarea furtului de date confidențiale, inclusiv informații despre angajați, clienți, parteneri și documentația internă a companiei.
Nota afirmă că toate datele vor rămâne stocate până când se plătește o răscumpărare, scriu specialiștii de la pcrisk.com.
Atacatorul amenință că va vinde datele în cazul în care negocierile eșuează și subliniază consecințele potențiale: pot fi urmări juridice, pierderi financiare și daune ireversibile aduse reputației victimei.
Nu au fost țintite spitalele pur și simplu a fost un virus care s-a lipit pe o aplicație informatică.
Atacatorii spun că răscumpărarea va fi mai mică dacă sunt contactați în intervalul de timp specificat și oferă instrucțiuni de comunicare prin intermediul unei anumite platforme de mesagerie și a unei adrese de e-mail.
„În momentul în care se finalizează blocarea datelor, este trimisă o parolă către cel care a generat aplicația malware, iar acea persoană poate cere o recompensă ca să dea parola înapoi”, explică specialistul în securitate cibernetică Mircea Bogdan Gagniuc, ce se întâmplă după virusare.
Atacatorul nu are acces la date, nu le primește, nu le vede, ci doar le blochează. Speranța lui este că datele blocate sunt atât de importante, încât răscumpărarea va fi plătită, adaugă specialistul.
„Nu au fost țintite spitalele pur și simplu a fost un virus care s-a lipit pe o aplicație informatică”, crede Mircea Bogdan Gagniuc.
„Există o cerere de ransom (răscumpărare) de 3,5 bitcoins (aproximativ 157.000 de euro). În mesajul atacatorilor nu se specifică numele grupării care revendică acest atac, ci doar o adresă de e-mail”, a comunicat Directoratul Național de Securitate Cibernetică.
Autoritățile statului le-au cerut celor afectați să nu ia legătura cu atacatorii și să nu plătească răscumpărarea.
Fișierele au fost doar criptate, nu s-au extras date
Administratorul firmei care gestionează Hipocrate, Silviu Alexandru Cârstea, dă asigurări că nu au fost sustrase datele criptate.
„Am verificat log-urile echipamentelor de rețea și nu au existat transferuri de volume de date”, afirmă el.
Directoratul Național de Securitate Cibernetică (DNSC) confirmă că nu au fost furate date în urma acestui atac.
Și, chiar dacă reușeau să le sustragă, datele erau inutilizabile, adaugă Silviu Alexandru Cârstea.
„Datele din serverele noastre sunt criptate. E nevoie de chei de decriptare. Chiar și copiile de rezervă sunt criptate. E o politică pe care am implementat-o demult”, explică el.
Volumul de date este foarte mare și nu poate fi transferat instantaneu, susține și specialistul în securitate cibernetică Mircea Gagniuc: „Dacă s-ar fi și obținut datele complete, recompensa cerută era mult mai mare”.
Iar problema recuperării datelor blocate de atacatori nu e una de nerezolvat. Există mai multe copii de siguranță ale acestora.
„Majoritatea spitalelor afectate au copii de siguranță a datelor de pe serverele afectate, cu date salvate relativ recent (1-2-3 zile în urmă) cu excepția unuia, ale cărui date au fost salvate cu 12 zile în urmă. Aceasta ar putea permite restaurarea mai facilă a serviciilor și a datelor”, a comunicat Directoratul Național de Securitate Cibernetică.
Și totuși, cum a fost posibil?
Specialiștii în IT consultați de Europa Liberă România au descris modul în care s-a petrecut atacul, de ce nu toate spitalele au fost afectate, cine a greșit și ce trebuie făcut ca astfel de incidente să nu mai apară.
Lecția nr. 1: Eroarea umană
Atacatorii au pătruns în sistemul Hipocrate cel mai probabil printr-o greșeală a unui angajat, explică David Burcovschi, specialist în securitate IT.
E posibil ca acest angajat să fi accesat un link creat și trimis de atacatori. Apoi, și-a introdus numele de utilizator și parola și a deschis, astfel, ușa atacatorilor la serverul central al platformei.
„Cineva a accesat un link de phishing care imita o pagină de administrare și, practic, prin accesarea acelui link și introducerea unui username și a parolei, au oferit pe tavă celor direct interesați/atacatorilor acele credențiale.”
Nu există un antivirus capabil să recunoască toate aceste pagini false create de atacatori, explică specialistul. Doar ceea ce e învățat deja să recunoască. Rămâne, din păcate, strict la latitudinea utilizatorului să evalueze potențialul risc al accesării unui link extern.
„Este o problemă pe zona umană: cât de des se fac training-uri cu angajații vizavi de atacuri și dacă acele training-uri sunt făcute de formă sau sunt făcute real”, adaugă David Burcovschi.
Lecția nr. 2: Arhiectură „zero-trust”
Infectarea serverului central al platformei Hipocrate de la un server periferic n-ar fi fost posibilă într-o arhitectură care separa complet rețelele, explică David Burcovschi.
„Trebuie gândită o arhitectură de tip zero-trust (încredere zero - n. r.), care să nu le permită decât celor dintr-o anumită rețea sau o anumită zonă de rețea să se autentifice în zona de administrare. Trebuie separate foarte lucrurile pe căprării”, spune acesta.
Pentru administratorul platformei Hipocrate, ideea unei astfe de arhitecturi pare greu de gestionat. „Ai nevoie de operativitate. Iar acest lucru însemnă o arhitectură flexibilǎ”, spune acesta.
El dă exemplul unei simple logări în email, care, dacă se face cu mai multe chei de siguranță, durează câteva minute.
Dar recunoaște că atacul de la începutul săptămânii va duce la o regândire a arhitecturii rețelei pe care o administrează.
Lecția nr. 3: Reacția rapidă
Odată intrat într-o rețea, virusul se propagă cu viteza cu care i se permite. Mai simplu acolo unde sistemele de securitate nu sunt puse la punct, mai greu acolo unde există protecții.
Modul în care s-a propagat virusul și viteza cu care au fost repuse în funcțiune serverele au depins mult și de infrastructura locală a fiecarui spital, explică Silviu Cârstea.
Specialistul se referă la sistemele antivirus instalate și la alte protecții ridicate împotriva atacurilor de acest tip. „Din păcate, nu există nicio metodă de protecție completă la astfel de atacuri”, explică acesta.
„E posibil ca un virus să intre într-un calculator, însă anumite porturi de comunicație să fie blocate, pentru că sunt implementate niște măsuri de protecție. Cât timp virusul nu poate să-și îndeplinească condiția de activare, stă acolo în latență, în server”, explică Mircea Gagniuc felul în care virusul poate rămâne inactiv în cazul unei infectări.
„Noi am fost informați pe 12 februarie dimineața, dar am stat linistiți. La noi totul este într-o rețea internă la care spitalul are acces cu un dispozitiv de conectare numit VPN (Virtual Private Newtork), la care folosim niște metode de autentificare foarte sigure. Practic, în felul acesta nimeni nu poate să acceseze acea platformă”, spune David Burcovschi, specialist IT.
El se ocupă de securitatea cibernetică a mai multor spitale, din rețeaua Hipocrate, și care au scăpat cu bine de atacul hackerilor.
Lecția nr. 4: Un sistem național de alarmare
„România stă destul de bine (spre deosebire de alte state) în materie de reglementare legală a domeniului protecției informațiilor sensibile sau cu caracter personal”, spune Mircea Gagniuc, specialist în securitate cibernetică.
De asemenea, România are o lege, 362/2018, privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Care nu se și aplică, susține el.
Ce prevede această lege? Că în domeniile esențiale ale statului, așa cum este și Sănătatea, firmele care oferă servicii să se supună unor reguli și proceduri stricte de securitate. Și să fie legate într-un sistem național de alertare, gestionat de DNSC. Astfel, orice incident apărut la o instituție esențială poate fi semnalat imediat.
Firmele care gestionează platforma Hipocrate nu sunt operatori de servicii esențiale, pentru că nu se înscriu în cazurile prevăzute de lege. Așa că nu sunt legați în sistemul de alertare. Spitalele, însă, da.
Ce concluzii se trag după acest incident?
„Concluzia este că ar trebui să se investească mai mulți bani în partea de securitate, și e vorba aici de specialiști”, spune David Burcovshi, specialist IT.
El descrie două aspecte care vizează securitatea cibernetică: „E vorba și de guvernare și de securitate.”
„Pe de o parte, securitatea asigură modul de păstrare a datelor, iar guvernarea asigură procedurile prin care se fac accesele și păstrarea datelor. Practic, foarte multe instituții și organizații nu pun accent deloc pe partea de guvernare”, explică acesta.
Pentru Mircea Gagniuc, respectarea legii ar fi suficientă pentru ca astfel de incidente să nu mai apară.
„Dacă Legea 362 era respectată de firma în cauză și de DNSC, incidentul ori nu mai avea loc, ori se manifesta mult diminuat”, crede el.
Administratorul platformei Hipocrate așteaptă ca ancheta autorităților să se finalizeze ca să știe exact ce s-a întâmplat și unde au fost breșe de securitate. „Cu siguranță că vor urma o analiză și o serie de măsuri”, dă asigurări Silviu Alexandru Cârstea.
Directoratul Național de Securitate Cibernetică a publicat, deja, o serie de măsuri care ar trebui aplicate în cazul unor astfel de atacuri.
Sfaturile DNSC
- Identificarea sistemelor afectate și izolarea lor imediată de restul rețelei, cât și de la internet.
- Păstrarea unei copii a mesajului de răscumpărare și a oricărei alte comunicări de la atacatori. Aceste informații sunt utile pentru autorități sau pentru analiza ulterioară a atacului.
- Echipamentul afectat nu trebuie oprit - această operațiune ar elimina dovezile păstrate în memoria volatilă (RAM).
- Colectarea și păstrarea tuturor informațiilor de tip jurnal relevante, de pe echipamentele afectate, dar și de la echipamente de rețea, firewall.
- Examinarea jurnalelor de sistem, pentru a identifica mecanismul prin care a fost compromisă infrastructura IT.
- Informarea imediată a angajaților & notificarea clienților și partenerilor de afaceri afectați cu privire la incident și amploarea acestuia.
- Restaurarea sistemelor afectate, pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curățare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate și sigure împotriva atacurilor.
- Cei atacați trebuie să se asigure că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și că toate vulnerabilitățile cunoscute sunt corectate.