Spitalul de Boli Cronice Smeeni, o nouă victimă a HACKERILOR. Lista revizuită a atacurilor cibenetice la sistemul de sănătate

Directoratul Național de Securitate Cibernetică confirmă că serverul pe care rula aplicația HIPOCRATE pentru Spitalul de Boli Cronice Smeeni a fost criptat cu aceeași variantă de ransomware. Infectarea s-a produs în aceeași perioadă (12.02.2024) în care au fost afectate servere similare din alte entități din sectorul de sănătate. Coincidența face ca spitalul a suferit o pană de curent care a împiedicat constatarea faptului că acel server era afectat. În acest caz se iau măsuri de remediere a problemei și de restaurare a datelor din backup, anunță instituția.

DNSC a fost notificat miercuri cu privire la un atac cibernetic de tip ransomware asupra unui furnizor de servicii pentru mai multe spitale din România. În prezent, o echipă de specialiști ai DNSC s-a deplasat la fața locului, pentru investigarea incidentului cibernetic. Mai multe spitale sunt afectate de atac. DNSC desfășoară o investigație asupra unui atac cibernetic executat cu aplicația ransomware Backmydata, un virus din familia ransomware Phobos, care a criptat datele din serverele mai multor spitale din România care folosesc platforma informatică HIPOCRATE.

Obligațiile furnizorilor de servicii IT

Directoratul reamintește faptul că, în conformitate cu Legea 362/2018, Operatorii de servicii esențiale au obligația de a implementa măsuri adecvate pentru a preveni și minimiza impactul incidentelor care afectează securitatea rețelelor și a sistemelor informatice utilizate pentru furnizarea acestor servicii esențiale, cu scopul de a asigura continuitatea serviciilor respective și de a notifica de îndată DNSC, în calitate de CSIRT național, incidentele care au un impact semnificativ asupra continuității serviciilor esențiale.

Ne aflăm exact în scenariul incidentului cu ransomware Backmydata/Phobos care a afectat zeci de spitale din România. Furnizorul de servicii care gestionează aplicația HIPOCRATE a notificat DNSC după ce a sesizat incidentul, înaintea oricărei notificări formale din partea spitalelor.

Fișa postului DNSC

Conform Legii 362/2018, Articolul 27, după primirea notificării, DNSC, în calitate de CSIRT național:

1. a) evaluează preliminar impactul incidentului la nivel național și alertează, sesizează ori notifică sau, după caz, poate solicita operatorului sau furnizorului să alerteze alte entități afectate precum și autoritățile cu responsabilități în prevenirea, limitarea și combaterea efectelor incidentului, precum și autoritățile prevăzute la art. 16, potrivit legii;
2. b) poate solicita informații suplimentare operatorului sau furnizorului care a făcut notificarea în vederea îndeplinirii obligațiilor ce îi revin, menționând termenul de furnizare a acestora;
3. c) oferă operatorului sau furnizorului care a făcut notificarea, atunci când circumstanțele o permit, informații care ar putea sprijini administrarea incidentului;
4. d) în calitate de punct unic de contact, informează celelalte state membre sau partenere afectate dacă incidentul are un impact semnificativ asupra continuității serviciilor esențiale ori a serviciilor digitale în statele respective;
5. e) în urma analizei incidentelor, poate, după caz, declanșa acțiune de control pentru verificarea respectării cerințelor prezentei legi;
6. f) poate lua măsurile prevăzute la art. 41;
7. g) coordonează la nivel național răspunsul la incident în colaborare cu celelalte autorități și entități publice sau private, conform domeniului de activitate și responsabilitate.

Toate aceste activități au fost efectuate de către DNSC conform competențelor legale.

Lista completată a spitalelor atacate

La încă patru spitale se confirmă incidentul de securitate cibernetică, dar nu există până acum niciun indiciu referitor la exfiltrarea datelor.

Atacurile de miercuri

• Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București
• Sanatoriul de Pneumoftiziologie Brad, Hunedoara
• Spitalul de Pneumoftiziologie Roșiorii de Vede
• Centrul Medical Santa Clinic Mitreni

Atacurile de marți

• Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București;
• Sanatoriul de Pneumoftiziologie Brad, Hunedoara;
• Spitalul de Pneumoftiziologie Roșiorii de Vede;
• Spitalul Orășenesc Băicoi;
• Santa Clinic Mitreni (Călărași)

Atacurile de luni

21 de spitale au fost afectate în urma atacului cibernetic de ieri.

• Spitalul de Pediatrie Pitești a fost afectat începând cu data de sâmbătă 10 februarie 2024;
• Spitalul Județean de Urgență Buzău;
• Spitalul Județean de Urgență Slobozia;
• Spitalul Clinic Județean de Urgență „Sf. Apostol Andrei” Constanța;
• Spitalul Județean de Urgență Pitești;
• Spitalul Militar de Urgență „Dr. Alexandru Gafencu” Constanța;
• Institutul de Boli Cardiovasculare Timișoara;
• Spitalul Județean de Urgență „Dr. Constantin Opriș” Baia Mare;
• Spitalul Municipal Sighetu Marmației;
• Spitalul Județean de Urgență Târgoviște;
• Spitalul Clinic Colțea;
• Spitalul Municipal Medgidia;
• Institutul Clinic Fundeni;
• Institutul Oncologic „Prof. Dr. Al. Trestioreanu” București (IOB);
• Institutul Regional de Oncologie Iași (IRO Iași);
• Spitalul de Ortopedie și Traumatologie Azuga;
• Spitalul orășenesc Băicoi;
• Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București;
• Spitalul de Boli Cronice Sf. Luca;
• Spitalul Clinic C.F. nr. 2 București;
• Centrul medical MALP SRL Moinești.

Spitalele care folosesc platforma Hipocrate, indiferent dacă au fost afectate sau nu, au primit încă de luni din partea DNSC o serie de recomandări pentru gestionarea corectă a situației:

• Identificare sistemelor afectate și izolarea lor imediată de restul rețelei, cât și de la internet;
• Păstrarea unei copii a mesajului de răscumpărare și orice alte comunicări de la atacatori. Aceste informații sunt utile pentru autorități sau pentru analiza ulterioară a atacului;
• Să nu oprească echipamentul afectat. Oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM);
• Să colecteze și să păstreze toate informațiile de tip jurnal relevante, de pe echipamentele afectate, dar și de la echipamente de rețea, firewall;
• Să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT;
• Să informeze imediat toți angajații și să notifice clienții și partenerii de afaceri afectați cu privire la incident și amploarea acestuia;
• Să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curățare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate și sigure împotriva atacurilor;
• Să se asigure că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și că toate vulnerabilitățile cunoscute sunt corectate.

Citiți și: Atacuri cibernetice în cascadă. Spitale deconectate de la internet, vieți în pericol. Hackerii au cerut RECOMPENSE în Bitcoin. DIICOT intră pe fir

LISTA spitalelor din România afectate de atacul cibernetic. Au fost vizate peste 20 de unități sanitare