Spitalele din România, vulnerabile în faţa unor atacuri cibernetice

Radu Stănescu, fondatorul grupului de voluntari Cyber Volunteers 19, a explicat într-un interviu acordat News.ro cât de vulnerabile sunt spitalele din România în faţa unor atacuri cibernetice. Expertul spune că în martie anul trecut a început un proiect împreună cu CERT.RO ( Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică), prin care datele informatice din cadrul spitalelor urmau să fie mai bine securizate, din punctul de vedere al atacurilor cibernetice de pe internet. Expertul în securitate cibernetică atrage atenţia asupra faptului că majoritatea spitalelor din România nu au nici cel mai elementar nivel de securitate a informaţiilor şi că cei mai mulţi dintre manageri nu au fost interesaţi să obţină sprijin prin acest program. Radu Stănescu afirmă că sunt trei riscuri majore, dintre care cel mai grav este legat de controlul funcţionării echipamentelor medicale din spital. Pacienţi ucişi cu bună ştiinţă, istoric medical şters, blocarea activităţii unui spital – sunt scenarii posibile.

„Proiectul se numeşte Cyber Volunteer 19, este un proiect pe care l-am preluat ca idee după ce l-am văzut pornit şi în alte ţări, în Australia, în Marea Britanie, am preluat iniţiativa de a face acest proiect pe România , cu voluntari din zona de cyber security , în care să ajutăm în mod gratuit spitalele din România care ne cer sprijinul. A fost un proiect făcut în parteneriat făcut în parteneriat cu cert.ro, l-am demarat anul trecut în martie, la început de pandemie. De atunci am monitorizat din informaţii publice, din surse de pe internet, undeva în jur de 370 de spitale, pentru diverse vulnerabilităţi pe care le puteam descoperi din surse publice, deoarece prin cadrul legal din România nu avem voie să testăm fără acordul spitalului, nu avem voie să intrăm în nişte teste mai avansate. S-au făcut două sesiuni de comunicare şi conştientizare cu spitalele în parteneriat cu CERT.RO, una în octombrie, una în decembrie, în care le-am explicat care este situaţia din ce am descoperit eu până acum. Să aibă o protecţie mai bună la atacurile care vin dinspre internet, evident nu înseamnă că această protecţie este o protecţie totală a spitalului, pentru că şi în partea de reţea internă trebuie făcute diferite proceduri instalate, software-uri şi alte metode de protecţie, dar măcar la atacuri din exterior , de pe internet să fie mai bine securizate, de a preveni sau măcar detecta atacurile care vin din internet”, a precizat specialistul pentru News.ro.
Cele mai multe dintre spitalele din ţară sunt descoperite în faţa atacurilor cibernetice. Radu Stănescu spune că, din 370 de spitale doar o mică parte s-au arătat interesate să aibă o protecţie mai bună a datelor. Ultimul atac cibernetic a avut loc săptămâna trecută, asupra bazelor de date de la Spitalul CF Witting din Capitală.
„Din 370 de spitale, s-au arătat interesate să facă acest lucru undeva la 8-9 spitale, ultimul dintre ele a făcut acest lucru chiar săptămâna trecută, ne-a cerut sprijinul, l-am oferit, astăzi tocmai am calibrat raportul cu recomandările pentru spital, şi, ulterior, dacă ne vor cere sprijinul pentru implementarea acelor recomandări , o să-i ajutăm şi în partea a doua, în pasul doi. Este vorba despre Spitalul Judeţean Craiova. Această cerere nu a venit în urma atacului de la Witting, s-a întâmplat înainte de asta, nu sunt corelate.
Toate spitalele din România sunt sub directiva NIS care cere un set minim de măsuri de securitate implementate, este o directivă europeană, transpusă în România prin Legea 362/2018, şi care prevede un anumit set de acţiuni, de măsuri, de tot felul de procese care trebuie implementate în fiecare spital sau clinică şi în această idee, cei de la Spitalul Judeţean din Craiova ne-au cerut sprijinul.
Atacul de la Witting a fost unul de tip ransomware, este practic ultimul pas al atacului, în momentul în care deja se are deja acces în infrastructura spitalului, în serverele spitalului, şi atunci se porneşte acest atac ransomware care criptează, codează toate datele , ele nemaiputând fi folosite de către cei din spital, şi se cere o răscumpărare în vederea furnizării unei key de decriptare pentru a putea avea acces din nou la aceste date. Evident, absolut nimic nu garantează faptul că dacă se plăteşte acea răscumpărare se va primi acea cheie şi dacă acea cheie chiar va decripta datele sau va cripta şi mai tare, nu se ştie niciodată acest lucru.
Din punctul nostru de vedere, este o lipsă acută de conştientizare a fenomenului securităţii cibernetice. De aici derivă nişte acţiuni care ajung să se concretizeze printr-un atac. La nivelul managementului este lipsa unei acţiuni de implementare a unui program de securitate cibernetică. Întotdeauna, ei (n.red managerii de spitale) vor găsi altceva  mult mai important, merg pe ideea că ”nu mi se întâmplă mie”, sau merg pe ideea greşit înţeleasă că anumitor instituţii sau autorităţi din România le cade în responsabilitate implementarea acestui program, însă este un program care trebuie implementat la nivelul fiecărui spital, evident că există nişte instituţii care pot ajuta cu recomandări în cazul unui incident, dar ideal este să nu se ajungă la acel punct şi să se ceară în avans unor instituţii un sprijin sau către noi să vină cu o cerere de sprijin prin care să le dăm nişte recomandări, să le spunem ce trebuie să implementeze, să bugeteze, evident, pentru că nu se poate rezolva absolut tot fără niciun fel de buget alocat.  Nu există această conştientizare, nu resimt asupra lor ceea ce se poate întâmpla în cazul unui atac”, spune Radu Stănescu.
Cum anume poate avea loc un atac cibernetic şi ce înseamnă accesul la datele unui spital? Radu Stănescu spune că sunt trei riscuri majore, dintre care cel mai grav este legat de controlul funcţionării echipamentelor medicale din spital. Pacienţi ucişi cu bună ştiinţă, istoric medical şters, blocarea activităţii unui spital – sunt scenarii posibile. 
„Se dă un mesaj un mesaj cu un format foarte veridic în care i se spune ori că a câştigat ceva, ori că i-a venit o notificare de la un curier, ori de la bancă a venit ceva, care seamănă foarte bine cu un mesaj oficial din partea acelei entităţi, şi îi roagă să acceseze un anumit link. În momentul acela în care s-a accesat acel link se declanşează atacul.
Ce înseamnă de fapt un atac la datele dintr-o unitate sanitară?
Sunt trei riscuri majore. Primul risc major este cel legat nu neapărat de datele pacienţilor, aceasta ar fi un al doilea nivel de risc, primul şi cel mai important este faptul că anumite echipamente din spital sunt conectate direct la reţeaua informatică. De exemplu, există injectomate, care împing printr-o branulă către pacient o anumită cantitate de medicament. În momentul în care cineva preia controlul acestor echipamente, fiind în interfaţa spitalului, atunci poate foarte uşor să-l omoare. Vine la un moment dat o supradoză, l-a omorât instant. Acesta este cel mai mare risc care se poate întâmpla.
În general, interesul este unul financiar al unui atacator, mai rar se întâmplă să îşi dorească să îl ucidă pe un pacient.
Al doilea risc este cel de a cripta datele şi de a se pierde cu totul istoricul unui pacient, ce alergii are, ce a mai păţit înainte, şi atunci iar se pot administra nişte medicamente care să pericliteze viaţa pacientului. Mai departe este elementul în care se merge pe obţinerea unor date sensibile şi confidenţiale despre pacienţi în vederea şantajului lor. Au fost cazuri în alte ţări.
În ultimă instanţă, este blocarea activităţii unui spital, prin prisma faptului că nu se mai poate accesa niciun sistem şi trebuie să se facă totul offline, pe hârtie, cum s-a întâmplat la Spitalul Witting. În cazul de la Witting, fiind un atac cunoscut, s-a putut decripta fără a plăti acea răscumpărare, pentru că, dacă era ceva necunoscut, nu se puteau recupera datele şi era o problemă mult mai mare”, spune expertul.
Un program de management al vulnerabilităţilor din punctul de vedere al securităţii datelor pacienţilor, esenţial în România. Radu Stănescu spune că marea majoritate a spitalelor nu au nici măcar cel mai elementar nivel de securitate a informaţiilor. Stănescu: „Am găsit spitale care aveau serverele de e-mail ţinute prin Rusia”. Spitalele care nu se pun la punct din acest punct de vedere pot fi amendate cu 5% din bugetul pe care îl au
„Trebuie să existe un program de management al vulnerabilităţilor. Există spitale care au o infrastructură mult mai bine pusă la punct şi există şi un personal calificat în această direcţie, în general spitalele mai mari, cele municipale, cele judeţene, şi există marea majoritate a spitalelor care nu au nici cel mai elementar nivel de securitate a informaţiilor, am găsit la momentul evaluării noastre iniţiale spitale care aveau serverele de e-mail, pe care cu toţii ştim că se duc şi reţete, şi tot felul de alte date ale pacienţilor, ţinute prin Rusia. Situaţia este din punctul nostru de vedere la limita criticului, cred că pot să număr pe degetele de la o mână spitalele care au cât de cât o situaţie decentă în momentul de faţă. În Bucureşti, Cluj, Mureş sunt cel mai bine întreţinute.
Este o situaţie care nu are cum să se mai amâne, există şi legislaţie care îi obligă în momentul de faţă, amenda fiind de 5% din bugetul spitalului, în cazul unor incidente repetate, ceea ce din bugetul unui spital este enorm, şi cu toate acestea foarte puţine spitale apelează la noi ca un prim pas.
Este o lipsă foarte mare de conştientizare a cadrului legal. O spune oficial Uniunea Europeană printr-o directivă transpusă printr-o lege în România şi pe care ei nu o respectă, este de doi ani şi jumătate.
Cert.ro are atribuţia de a verifica şi chiar şi de a amenda, dar nu acesta este ţelul CERT.RO ci acela de a securiza spitale, ne şi sprijină pe noi cu grupul de voluntari în vederea securizării acestor spitale. Încercăm să ridicăm nivelul de conştientizare la nivelul Ministerului Sănătăţii, pentru că din partea aceea se pot transmite nişte semnale mai puternice, cu o rezonanţă mai bună în cadrul managementului din spitale. Suntem în discuţii prin intermediul cert.ro şi Ministerul Sănătăţii. Din păcate, acum prioritatea pe care toată lumea din Ministerul Sănătăţii o are este către zona de COVID şi atunci asta trece în planul 2, 3, 4, sau Dumnezeu ştie cât. Genul de evenimente cum a fost acum la Spitalul Witting ridică un pic prioritatea, pentru că este clar că ceea ce s-a întâmplat acolo se poate întâmpla la Spitalul de Urgenţă Floreasca, de exemplu. Nu cred că în momentul de faţă există în România măcar un spital care să aibă un grad de securitate decent”, a explicat Radu Stănescu.
Cel mai recent atac cibernetic asupra unei unităţi sanitare a fost la Spitalul CF Witting din Capitală, în urmă cu o săptămână. SRI a anunţat joia trecută că s-a înregistrat un atac cibernetic cu aplicaţia ransomware Phobos la acest spital. Datele din sistemul informatic au fost criptate, iar atacatorii au cerut răscumpărare pentru acestea. Unitatea sanitară nu a plătit vreo sumă de bani, iar în acest caz activitatea spitalului nu a fost întreruptă, aceasta fiind continuată pe hârtie, în registre offline. SRI a explicat şi că atacul de la CF Witting este asemănător celui din vara anului trecut, când alte patru spitale au fost atacate cu ajutorul aplicaţiei Phobos. Unităţile sanitare respective nu aveau soluţii antivirus.
news.ro

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *