"Najgroźniejszy typ ataku". Hakerzy żądali kilku milionów dolarów okupu

Pracownicy szpitala wojewódzkiego w Szczecinie od prawie dwóch tygodni mierzą się z nową rzeczywistością. Hakerzy zainfekowali system informatyczny placówki i zaszyfrowali część danych. Domagali się od władz szpitala kilku milionów dolarów okupu. Śledztwo w tej sprawie wszczęła szczecińska Prokuratura Okręgowa.

- Atak doprowadził do paraliżu elektronicznej infrastruktury medycznej. Dlatego też musieliśmy przejść na papierowy tryb pracy, a to spowolniło wiele procedur medycznych i administracyjnych w szpitalu. Jednak uspokajamy – przyjęcia się odbywają, pacjenci przebywają w szpitalu, nie wstrzymujemy naszej działalności – wyjaśnia rzecznik placówki Tomasz Owsik-Kozłowski.

- Jednak należy zaznaczyć, że wszystko trwa zdecydowanie dłużej. Wyniki badań nie pojawiają się na ekranie komputerów, od ręki nie mamy dostępu do historii choroby pacjentów i tak wymieniać można długo. Jednocześnie zaznaczamy, że robimy wszystko, by postawić system informatyczny na nogi. Normalnie takie prace trwałyby wiele miesięcy. My staramy się, żeby zakończyły się jak najszybciej – dodaje.

Karolina Lisicka, która zajmuje się komunikacją cyberbezpieczeństwa w Centrum e-Zdrowia, przyznaje, że liczba podobnych cyberataków z roku na rok rośnie i możemy spodziewać się, że w najbliższych latach będzie ich jeszcze więcej.

- W zeszłym roku CSIRT CeZ zarejestrował 1441 różnego rodzaju incydentów związanych z cyberbezpieczeństwem w sektorze ochrony zdrowia. To o około 40 proc. więcej niż w 2024 roku. Trend jest wyraźnie rosnący i musimy się też przygotować na to, że tych incydentów będzie więcej. Warto zaznaczyć, że ataki typu ransomware to tylko część z zarejestrowanych incydentów, jednak są to ataki najgroźniejsze. CSIRT CeZ we współpracy z innymi zaangażowanymi instytucjami analizuje przyczyny zdarzenia. Jednak ważne jest to, że w tym przypadku władze szpitala zareagowały bardzo szybko, zgłaszając incydent i wdrażając procedury. Dzięki temu CSIRT CeZ mógł natychmiast zadziałać – mówi ekspertka.

CSIRT CeZ (Cyber Security Incident Response Team) został powołany 1 grudnia 2023 roku przez Ministerstwo Zdrowia. To drugi sektorowy CSIRT w Polsce i jedyny w sektorze ochrony zdrowia. Jego zadaniem jest między innymi wspieranie podmiotów ochrony zdrowia w wykrywaniu i reagowaniu na cyberataki. Zespół koordynuje także działania w zakresie cyberbezpieczeństwa.

- Obecnie część naszego zespołu działa na miejscu w szczecińskim szpitalu. Nasza praca polega głównie na wsparciu kompetencyjnym i konsultacjach w zakresie cyberbezpieczeństwa. Kolokwialnie mówiąc, robimy wszystko, by wspomóc jak najszybszy powrót do pełnej sprawności systemów – tłumaczy kierownik CSIRT CeZ, Jeremi Olechnowicz.

W szpitalu czasowo zawieszono możliwość skorzystania z komercyjnej oferty laboratorium. Obywają się tam jedynie badania pacjentów szpitalnych. Na wizyty w poradniach mogą się rejestrować tylko pacjenci onkologiczni z kartami DiLO. Przedstawiciele placówki cały czas apelują do pacjentów, pracowników i kontrahentów o rozważenie na przykład zastrzeżenia numerów PESEL czy skorzystania z alertów BIK.

- Od pierwszego dnia po wystąpieniu incydentu wspieramy szpital w Szczecinie i jest to współpraca wzorowa. Działania CSIRT CeZ związane z tą sprawą trwają praktycznie dzień i noc. Jest to wsparcie kompetencyjne. Pomagamy podejmować decyzje na etapie obsługi incydentu, jeżeli chodzi o kwestie techniczne, dowodowe czy analityczne. W takich sytuacjach trzeba dokładnie sprawdzić, jakie były przyczyny ataku i jak można im zapobiec w przyszłości. Działań przy tak dużym i poważnym incydencie jest bardzo wiele i wszyscy zaangażowani dążą do tego, aby jak najszybciej rozwiązać sytuację – tłumaczy Jeremi Olechnowicz.

Niestety nadal nie wiadomo, ile może potrwać odzyskanie wszystkich danych i powrót do tzw. stanu zero.

- Zależy to od wielu czynników. Prace idą bardzo dobrze, ale nie jesteśmy w stanie oszacować, jak szybko wszystko wróci do normy. Wszystko zależy od tego, jak szybko uda nam się odzyskać dane. Atak ransomware, do którego doszło właśnie w tym szpitalu, to najgroźniejszy typ ataku. Polega na zaszyfrowaniu danych i jest zazwyczaj wykorzystywany po to, by unieruchomić systemy lub żądać okupu. Tak stało się właśnie w przypadku szpitala wojewódzkiego w Szczecinie. Trzeba też podkreślić, że szpitale są łakomym kąskiem dla cyberprzestępców, bo takie placówki po prostu muszą działać – wyjaśnia Jeremi Olechnowicz.

Eksperci podkreślają także, że cyberatak na szczeciński szpital może być doskonałą lekcją nie tylko dla władz, ale także dla pacjentów. Ci drudzy przyznają, że obecny tryb pracy szpitala przysparza im wiele trudności.

Pacjenci szpitala, z którymi rozmawialiśmy, mówią, że czas oczekiwania na wizytę u lekarza czy na przyjęcie na szpitalny oddział ratunkowy jest znacznie dłuższy. Dodają, że są proszeni o przyniesienie ze sobą historii swojej choroby i leczenia oraz nie mogą skorzystać z Centralnej Rejestracji Telefonicznej (jest ona dostępna tylko dla pacjentów onkologicznych, którzy mają kartę DiLO). Mają nadzieję, że placówce uda się jak najszybciej wrócić do standardowego trybu pracy. Przyznają także, że boją się wycieku swoich danych.

- Każdy powinien zabezpieczać swoje dane i takie zdarzenia powinny nam o tym przypominać. Zastrzeżenie numeru PESEL oraz włączenie wieloskładnikowego uwierzytelniania wszędzie, gdzie to możliwe, to podstawa i rekomendujemy, by każdy to zrobił – mówi Karolina Lisicka.

- Trzeba również podnosić świadomość, że do takich ataków będzie dochodzić coraz częściej. Możemy zainwestować nawet w najlepszą technologię, ale zawsze najsłabszym ogniwem będzie człowiek. Dlatego też z tym cyberbezpieczeństwem trzeba się po prostu zaznajomić. W CSIRT CeZ wydajemy także zalecenia dla szpitali, w których są informacje między innymi, jak się bronić przed tego typu atakami. Można je znaleźć na naszej stronie: cez.gov.pl - podsumowuje Jeremi Olechnowicz.