Atacul ransomware care a paralizat peste 100 de spitale românești în februarie 2024, decizia DNSC de a le deconecta de la internet în câteva ore și revenirea personalului medical la pix, hârtie și foi de calcul pentru a continua îngrijirea pacienților au devenit, doi ani mai târziu, un caz de studiu pentru planificatorii de criză din alte sisteme medicale, scrie BBC într-un reportaj despre cum a fost oprit cel mai grav atac informatic asupra sectorului sanitar din istoria recentă a României.
Ordinul DNSC: deconectați-vă imediat de internet
Atacul a început pe 10 februarie 2024, când atacatorii au compromis firma bucureșteană de software RSC și au pătruns prin Hippocrates, sistemul medical folosit de doctori, asistente și chirurgi pentru administrarea internărilor, salarizare, logistică farmaceutică și rezultate de laborator. Dimineața următoare, Spitalul de Copii din Pitești a fost primul în care personalul a observat că ceva nu mai funcționează. În câteva ore, rapoarte similare veneau din toată țara.
Dan Cimpean, șeful Directoratului Național de Securitate Cibernetică (DNSC), a luat decizia drastică ce avea să fie ulterior creditată cu oprirea atacului: ordin către peste 100 de spitale să-și deconecteze imediat sistemele de la internet. Decizia însemna „fără dispozitive conectate, fără e-mail, fără browsere”, dar cumpăra timpul de care echipele tehnice aveau nevoie pentru a stabili amploarea. Atacatorii cripta fișierele cu o variantă de ransomware numită BackMyData și cereau o răscumpărare în bitcoin de 160.000 de euro. Anchetele DNSC au confirmat în zilele următoare că 26 de spitale fuseseră deja infectate.
„Pentru fiecare pacient, totul dispăruse”
Oana Goidescu, chirurg la Spitalul Județean Buzău, a fost de gardă când a venit alerta. „Pentru fiecare pacient solicităm analize, radiologie, medicamente și consumabile — toate dispăruseră”, a spus chirurgul pentru postul britanic. La Spitalul Carol Davila din București, medicul Vlad Paic a improvizat o procedură offline: laboratorul livra rezultatele pe hârtie, iar registrul pacienților era ținut într-o foaie de calcul Excel pe stații locale, fără rețea.
Frustrarea pacienților s-a manifestat în sălile de așteptare. Mesaje publice transmise prin presă au cerut amânarea consultațiilor neurgente, iar personalul medical a explicat repetat că nu este responsabil de blocaj. Episoade similare în care politica de securitate digitală întâlnește brutal logica operațională au început să se înmulțească în SUA și Europa, dar în România scara — peste 100 de unități medicale lovite simultan — a fost fără precedent.
Cinci zile până la revenire, fără răscumpărare plătită
Decizia națională a fost să nu se plătească răscumpărarea. Echipele tehnice au reconstituit datele din copiile de siguranță, iar majoritatea spitalelor au revenit la funcționare aproape normală în cinci zile. Săptămâni întregi au fost necesare însă pentru transferul în sistem a informațiilor consemnate manual în perioada de blocaj. O parte a datelor s-a pierdut definitiv.
Poliția nu comentează ancheta despre autorii atacului. Anul trecut, o grupare de ransomware asociată cu BackMyData și-a pierdut infrastructura digitală într-o operațiune internațională, iar patru ruși au fost arestați în afara Rusiei — autoritățile de la Moscova nu cooperează cu agențiile occidentale de aplicare a legii.
Spitalele, ținta cea mai expusă a criminalității cibernetice
Sectorul medical este astăzi cea mai vizată zonă a infrastructurii critice, potrivit unei evaluări recente a FBI citate de BBC. Alina Bîzgă, analist la firma bucureșteană de securitate informatică Bitdefender, explică raționamentul atacatorilor: spitalele administrează servicii vitale, iar criminalii presupun că presiunea de a relua activitatea în câteva ore îi împinge pe responsabili să plătească. Tot mai des, presupunerea se confirmă. În Statele Unite, compania Change Healthcare a plătit 22 de milioane de dolari pentru a recupera acces la sisteme. În Marea Britanie, NHS a confirmat că un atac asupra unui laborator de analize a contribuit anul trecut la decesul unui pacient — primul caz oficial de moarte legată de un incident de securitate cibernetică.
Dan Cimpean concluzionează că episodul românesc nu este o particularitate locală. „Cu cât ai mai multă tehnologie, cu atât e mai mare riscul”, a spus șeful DNSC pentru jurnalistul britanic. Lecția operațională rămasă din cele cinci zile de februarie 2024 nu este una despre superioritatea pixului, ci despre disciplina copiilor de siguranță, despre comunicare publică ordonată în criză și despre faptul că deconectarea rapidă, oricât de drastică, poate fi singura soluție atunci când un sistem critic este compromis simultan în zeci de locuri.