Atacul ransomware asupra mai multor spitale din România

Știrile din România vuiesc despre atacul tip ransomware asupra unor instituții medicale din România. S-a scris mult despre acest subiect, s-a vorbit și mai mult, așa că ne-am hotărât să spunem lucrurilor pe nume și să explicăm ce s-a întamplat de fapt în data de 12 februarie.

Contextul faptic

În 12 februarie, peste 20 de spitale din România care foloseau aplicația HIPOCRATE, au fost afectate de un atac tip ransomware. Datele legate de pacienți, tratamente și alte informații sensibile au fost criptate, astfel că personalul medical din cadrul spitalelor nu a mai avut acces la acestea. În plus, mecanismele electronice de raportare către Casa Națională de Asigurări de Sănătate au fost întrerupte, asemenea situației din pandemie. În urma investigațiilor efectuate, DNSC a concluzionat că în cadrul atacului a fost folosită aplicația ransomware Backmydata, care face parte din familia malware Phobos. Pentru a evita propagarea atacului la alte 79 de instituții care foloseau aplicația HIPOCRATE, acestea au fost deconectate de la internet.

Ce prezintă canalele de știri?

Majoritatea canalelor de știri care au acoperit acest subiect, au ales să evidențieze următoarele aspecte:

• Atacul s-a derulat asupra sistemului românesc de sănătate, iar repercusiunile sunt devastatoare.
• A fost notificat Directoratul Național de Securitate Cibernetică pentru a evalua situația și a oferi asistență pentru remediere.
• Cuantumul sumei de răscumpărare – 157.000 euro.
• Implicarea Direcției de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism în identificarea și tragerea la răspundere penală a persoanelor care au executat atacul.
• Istoricul detaliat al companiei care furnizează aplicația Hipocrate: Romanian Soft Company (RSC), prin conducerea căreia s-au perindat foști miniștri, politicieni, oameni aflați în legătură cu persoane importante din Romania – Mugur Isărescu, Sebastian Ghiță.

Cum evaluăm noi situația, în calitate de specialiști în domeniu?

• Ținta atacului nu a fost sistemul medical românesc, ci aplicația HIPOCRATE. Contrar informațiilor apărute în presă, nimeni nu și-a propus în mod direct și nemijlocit să paralizeze sectorul serviciilor medicale din România.
• Atacul nu a fost premeditat, ci pur și simplu o vulnerabilitate a rețelei de date sau a unui angajat al furnizorului de aplicație a fost exploatată pentru a obține acces la date valoroase, indiferent de natura acestora.
• Căutarea sistemelor vulnerabile se întamplă de milioane de ori zilnic. De data aceasta sistemul vulnerabil în cauză a fost a unui furnizor de servicii medicale. Maine poate fi orice organizație, din orice domeniu.
• În privința sumei de răscumpărare, s-a punctat în repetate rânduri faptul că atacatorii au solicitat echivalentul a 3.5 Bitcoin (157.000 euro), în vederea decriptării datelor din aplicația HIPOCRATE. Spre comparație, spitalul de copii din Chicago, care a fost ținta unui atac ransomware anul trecut, a primit o cerere de răscumpărare de aproape 1 milion de dolari americani. Rămâne la latitudinea fiecăruia să decidă dacă suma cerută în cadrul atacului din România este mare sau nu, însă trebuie menționat că Directoratul Național de Securitate Cibernetică a sfătuit unitățile impactate să NU plătească suma de răscumpărare.
• În ceea ce privește tragerea la răspundere a pesoanelor care au săvârșitul atacul, în condițiile în care singurele date deținute cu privire la acestea sunt o adresa de e-mail, rezultatul anchetei pare să indice o singură soluție evidentă: clasarea dosarului penal.

Cu toate acestea, suntem tentați să credem că gradul de afectare al sistemului medical românesc în urma acestui atac este direct proporțional cu măsurile tehnice și organizatorice pe care instituțiile medicale, direct vizate de Legea 362/2018, le-au implementat.

Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice – denumită Legea NIS – este în vigoare de aproape cinci ani de zile și trasează o serie de măsuri obligatorii destinate reducerii riscului asociat exploatării rețelelor și sistemelor informatice, una din aceste măsuri fiind obligarea periodică a entităților vizate la un audit de securitate cibernetică.

Scopul acestui audit este de a depista deficiențele în postura de securitate cibernetică a entităților vizate, elaborarea unor recomandări de remediere și urmărirea implementării efective a acestora în timp – ceea ce justifică periodicitatea auditului.

Câte din aceste spitale au implementat măsurile de securitate din lege, au făcut auditul obligatoriu și l-au depus la DNSC?

În măsura în care acest audit ar fi fost efectuat în parametrii legii, ceea ce implică inclusiv efectuarea de teste de penetrare cu privire la aplicațiile folosite în vederea prestării serviciilor medicale, cu siguranță că acesta ar fi relevat vulnerabilitățile aplicației HIPOCRATE și alte puncte slabe în rețelele și sistemele informatice exploatate de unitățile medicale.

În acest context, se conturează o concluzie sumbră: prea puține din entitățile vizate de Legea NIS au luat în serios obligațiile trasate de aceasta și au înțeles să ia măsuri de conformare. Iar faptul că au ales să ignore obligațiile legale, nu le-au atras nici un fel de pedeapsă.

Concluzia noastră este întărită și de către DNSC, care a constatat că “o parte” din entitățile afectate aveau copii de siguranță a datelor din aplicația HIPOCRATE.

Situația este cu atât mai tristă cu cât implicațiile atacului despre care vorbim se întind până la destinatarul serviciului medical, pacientul, a cărui stare de sănătate poate fi serios periclitată prin indisponibilitatea datelor legate de afecțiunile acestuia, tratamentele care i-au fost sau trebuie administrate, etc.

Nu ne rămâne decât să sperăm că acest atac a fost o lecție usturătoare despre ce înseamnă neglijarea sau ignorarea obligațiilor legate de diminuarea riscurilor asociate exploatării rețelelor și sistemelor informatice și că entitățile care prestează servicii esențiale către populație vor începe să le trateze cu seriozitatea cuvenită.