Spitalul Municipal din Oradea a devenit ţinta hackerilor. În cadrul unui atac de tip ransomware, sâmbătă, 4 iulie, toată baza de date a unităţii a fost compromisă, fiind codificată şi neaccesibilă, riscând să "viruseze" şi activitatea spitalului.

"A fost criptată şi blocată întreaga bază de date, respectiv toate informaţiile şi fişierele existente în serverele unităţii sanitare", anunţa, câteva zile mai târziu, un comunicat al Spitalului. "Datele pacienţilor nu au fost compromise", preciza managerul Maria Silaghi.

Vezi mai jos cine şi cum a dus la deblocarea situaţiei!

Fişiere codificate

Atacurile de tip ransomware presupun, în esenţă, codificarea documentelor, cel mai frecvent prin accesarea unui link aparent în regulă, care însă porneşte dezastrul. Hackerii cer recompensă pentru recuperarea fişierelor, dar nici măcar plata nu este o garanţie că fişierele vor fi deblocate. Aceste atacuri sunt tot mai frecvente în ultima vreme, vizând inclusiv instituţii sau mari companii.

În dimineaţa de 4 iulie, şi angajaţii Spitalului Clinic Municipal Gavril Curteanu au constatat că fişierele stocate pe server nu mai puteau fi accesate. Pentru a evita propagarea virusului, IT-iştii au deconectat sistemele virusate de la reţea, iar conducerea spitalului a alertat autorităţile.

"În jurul orei 8 ne-au sunat de la spital să ne informeze că serverele au fost infectate cu virus ransomware. Nefiind în atribuţiile noastre contractuale, le-am spus că, după ce anunţă instituţiile abilitate (n.r. - Poliţia, DIICOT, BCCO şi SRI, care fac o expertiză a sistemelor, pentru a încerca să descopere cine este atacatorul şi cum a acţionat), dacă au nevoie de ajutor din partea noastră, să ne anunţe, pentru că îi vom ajuta fară costuri", spune Florin Jurjiu, director IT al companiei Helion, angajată pentru mai multe servicii informatice prestate/efectuate în cadrul spitalului.

Date restabilite...

Recuperarea datelor cu ajutorul informaticienilor municipalităţii s-a dovedit dificilă, dat fiind că şi sistemul de back-up a fost compromis, astfel că reprezentanții unităţii au cerut ajutor. Doi angajaţi ai Helion, specialişti în securitate cibernetică - Florin Jurjiu (inginer CISCO) şi Ciprian Ifrim (col. (r), inginer în telecomunicaţii) - au fost angrenaţi în remedierea situaţiei. "După ce instituţiile abilitate cu cercetarea şi protecţia cibernetică au efectuat activităţile specifice, Florin Jurjiu a reuşit să extragă în siguranţă, din serverul virusat, baza de date până la 30 aprilie 2020, o bază de date de aproximativ 100 Gb", explică Rareş Codrean, proprietarul companiei Helion.

Folosind metode specifice, IT-istul a extras informaţiile şi le-a inserat într-un nou server, pus la dispoziţie de spital. "Florin Jurjiu a instalat şi configurat acel server, după care a restaurat baza de date şi Active Directory (aplicaţia de maşini virtuale şi arborele reţelei de date). La ora 18.30 i-am comunicat doamnei manager faptul că am reuşit aceste restaurări, care reprezintă rezolvarea a peste 80% din probleme", mai spune reprezentantul Helion.

... fără recompense

Până la urmă, cu efortul angajaţilor firmei, dar şi ai altor instituţii, inclusiv angajaţi ai spitalului şi DSP, aproape toată baza de date a unităţii a fost restabilită. Iar informaţiile pacienţilor au fost în siguranţă, neînregistrându-se scurgeri de date.

Informaţiile au fost recuperate fară a fi plătită vreo răscumpărare către hackeri şi fără ca firma să ceară bani în plus pentru intervenţie.

Serverele au fost reconectate la reţea după câteva zile, după efectuarea unor teste complete de securitate, aşa încât să fie asigurat faptul că dacă serverele vor fi reconectate, acestea nu vor fi virusate din nou.

"Pe viitor e clar că trebuie să facem investiţii foarte serioase în sistemele informatice, chiar dacă vor fi costisitoare", declara jurnaliştilor managerul Spitalului Municipal, Maria Silaghi.

Ce este ransomware?

Ransomware este un software rău intenţionat care, după ce se instalează într-un dispozitiv (calculator, smartphone), criptează datele victimei, codificându-le aşa încât să nu poată fi accesate, hackerii cerând sume de bani pentru oferirea accesului la aceste informaţii. În unele cazuri, aceştia chiar îşi şantajează victimele, ameninţându-le că le publică informaţiile dacă nu plătesc o "răscumpărare" în bitcoin.

Infectarea este foarte uşoară, fie printr-o vulnerabilitate a sistemului de securitate sau a antivirusului, fie pur şi simplu accesând link-uri sau documente primite prin e-mail sau chiar prin reţelele de socializare. Fiţi atenţi, aşadar, când navigaţi online. Nu apăsaţi la întâmplare pe link-uri, reclame şi actualizări de software de care nu aveţi nevoie! Virusul troian se poate ascunde şi în spatele unor reclame aparent inofensive.

De asemenea, încercaţi să vă descărcaţi programele doar din surse demne de încredere şi verificaţi mereu dacă aplicaţia descărcată nu conţine software-uri adiţionale ce aşteaptă să fie instalate în dispozitivele dumneavoastră.

Cum se recuperează datele?

Industria viruşilor este în continuă perfecţionare. În timp ce pentru versiunile mai vechi de ransomware există deja programe de decriptare puse la dispoziţie gratuit de Europol pe site-ul www.nomoreransom.org, pentru variantele mai noi, decriptarea (recuperarea datelor) este foarte dificilă.

Plata deblocării fişierelor este ilegală, atrage atenţia managerul Helion, Rareş Codrean, deoarece organizaţiile de hacking sunt considerate organizaţii teroriste. În anii trecuţi, de pildă, Al-Qaida folosea atacuri de tip ransomware pentru strângere de finanţări. Astfel, dacă faci plata poţi să finanţezi involuntar o organizaţie teroristă, acţiune ce constituie o infracţiune.

Care sunt structurile abilitate?

Parchetul specializat pentru infracţiuni cyber în Romania este DIICOT. Cercetările se fac cu poliţiştii judiciari ai BCCO, cu sprijinul SRI. Instituţia responsabilă de securitatea cibernetică a ţării este SRI.

Cum te protejezi?

În primul rând nu utilizezi Sisteme de Operare care nu mai au suport tehnic şi nu mai primesc update (ex. Windows XP), care sunt "ţinte sigure". 8 din 10 sisteme de acest tip atacate devin victime.

O altă vulnerabilitate mare o reprezintă utilizarea aplicaţiilor de tip Remote Desktop folosite fără Firewall, pe porturile standard şi cu parole simple de tipul "12345" sau "123a". Hackerii scanează cu softuri specializate porturile de comunicare standard ale aplicaţiilor de tip Remote Desktop şi încearcă parole uşoare pentru conectare utilizând softuri de tip "brute force". "Recomandarea noastră este de a utiliza un Sistem de Operare Licenţiat, updatat la zi, suplimentat de un Antivirus puternic updatat la zi şi de minim un software de tip firewall", spune managerul Helion, Rareş Codrean.

Pentru reţele de date mari se recomandă protecţia prin echipamente firewall hardware profesionale şi aplicaţii de securtate de reţea profesionale (CISCO, SonicWALL, Fotinet, etc.). De asemenea, este esenţial ca administratorul de sistem să fie un profesionist. De multe ori este mai rentabilă o externalizare a serviciilor pentru un cost care, în cazul companiei Helion, poate porni de la 500 euro / lună şi ajunge până la 1.500-2.000 euro/lună, decât un administrator de sistem profesionist angajat al instituţiei, al cărui salariu poate depăşi 2.500 euro lunar sau chiar 3.500-4.000 euro în centrele mari.

(advertorial)