”Este crucial să se acorde o atenție sporită securității cibernetice în infrastructurile critice”

Colegiul Medicilor din România (CMR) își exprimă îngrijorarea cu privire la atacul cibernetic care a avut loc asupra sistemului informatic HIS. Evenimentul reprezintă o problemă de securitate națională și poate avea repercusiuni grave asupra actului medical și, implicit, asupra pacienților, prin blocarea accesului la informațiile medicale ale acestora, programări, istoricul tratamentelor și alte aspecte importante ale îngrijirii medicale.

”Ceea ce putem să facem este să sprijinim casele de asigurări de sănătate şi am făcut-o în ultima perioadă, încât noul PIAS, platforma informatică a asigurărilor de sănătate, care este finanţată cu bani europeni, să fie realizată într-un termen cât mai scurt, pentru că actuala platformă informatică este subdimensionată, iar atunci când a fost făcută cheltuielile de mentenanţă şi cele de upgrade a acestei platforme nu au fost prevăzute. Este vorba despre o altă platformă, nu este vorba de actualizarea acestei platforme“, a afirmat astăzi ministrul Sănătății, Alexandru Rafila .

În cursul nopții de 11 spre 12 februarie 2024 a avut loc un atac cibernetic de tip ransomware asupra companiei Romanian Soft Company (RSC) care dezvoltă, administrează și comercializează sistemul informatic Hipocrate (alias HIS).

Conform datelor DNSC, atacul a perturbat activitatea a 26 spitale din România care utilizează sistemul informatic Hipocrate:

1. Spitalul de Pediatrie Pitești
2. Spitalul Județean de Urgență Buzău
3. Spitalul Județean de Urgență Slobozia
4. Spitalul Județean de Urgență Pitești
5. Spitalul Județean de Urgență Târgoviște
6. Spitalul Județean de Urgență “Dr. Constantin Opriș” Baia Mare
7. Spitalul Clinic Județean de Urgență “Sf. Apostol Andrei” Constanța
8. Spitalul Clinic Colțea, București
9. Spitalul Militar de Urgență “Dr. Alexandru Gafencu” Constanța
10. Spitalul Municipal Sighetu Marmației
11. Spitalul Municipal Medgidia
12. Spitalul de Ortopedie și Traumatologie Azuga
13. Spitalul Orășenesc Băicoi
14. Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București
15. Spitalul Clinic C.F. nr. 2 București
16. Spitalul de Boli Cronice Sf. Luca
17. Spitalul de Pneumoftiziologie Roșiorii de Vede
18. Institutul Clinic Fundeni
19. Institutul de Boli Cardiovasculare Timișoara
20. Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București
21. Institutul Oncologic “Prof. Dr. Al. Trestioreanu” București (IOB)
22. Institutul Regional de Oncologie Iași (IRO Iași)
23. Sanatoriul de Pneumoftiziologie Brad, Hunedoara
24. Centrul medical MALP SRL Moinești
25. Centrul Medical Santa Clinic Mitreni (jud. Călărași)
26. Spitalul de Boli Cronice Smeeni, Buzău

Malware-ul utilizat în cadrul atacului este aplicația ransomware Backmydata care face parte din familia de malware Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol (RDP).

Backmydata este conceput pentru a cripta fișierele țintei vizate utilizând un algoritm complex. Fișierele criptate sunt redenumite cu extensia .backmydata. După criptare, malware-ul furnizează două note de răscumpărare (info.hta și info.txt) cu detalii despre pașii ce trebuie urmați pentru contactarea atacatorilor și stabilirea detaliilor pentru plata răscumpărării.

Familia de ransomware Phobos a evoluat din ransomware-ul Dharma/Crysis și de când a fost observat prima dată, în 2019, a suferit modificări minime în ciuda popularității sale în rândul grupurilor de atacatori cibernetici.

Phobos este un Ransomware-as-a-Service (RaaS), unde dezvoltatorii și afiliații nu sunt strâns legați, dar colaborează pentru a distribui malware-ul pe scară largă, vizând diverse organizații și indivizi. Phobos este remarcat pentru tehnicile sale de evaziune și utilizarea de mecanisme simple dar eficace pentru atingerea obiectivelor operaționale. Structura sa descentralizată complică eforturile de a contracara operațiunile sale și de a identifica atacatorii.

Variantele comune de Phobos (precum Eking, Eight, Elbie, Devos și Faust) demonstrează adaptabilitatea și diversitatea acestei familii de ransomware. Afiliații folosesc Tactici, Tehnici și Proceduri (TTPs) similare pentru a implementa Phobos, ce vizează în mod obișnuit infectarea serverelor cu rol important în infrastructurile țintă pentru a exercita presiune asupra victimelor să plătească răscumpărarea.

RECOMANDĂRI:  Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea către atacatori!

                       Plata răscumpărării nu garantează că datele vor fi recuperate și încurajează atacatorii!!!!!!!!!!!!

Recomandăm implementarea următoarelor măsuri de securitate cibernetică cu caracter specific:

• Limitarea utilizării serviciului RDP pe stațiile și serverele din rețea și adoptarea de măsuri suplimentare de securizare a acestui tip de serviciu;
• Utilizarea unor parole complexe și schimbarea periodică a acestora;
• Realizarea unor copii de siguranță a datelor critice și stocarea acestora fie offline, fie pe un segment diferit al rețelei;
• Izolarea și păstrarea datelor criptate în eventualitatea în care ar putea apărea o aplicație de decriptare în mediul online.

Recomandăm implementarea următoarelor măsuri de securitate cibernetică cu caracter general:

• Sporirea vigilenței, care este principalul atu avut oricând la dispoziție de către un utilizator obișnuit. Trebuie manifestată atenție la verificarea e-mailurilor primite, în special a celor care conțin atașamente sau link-uri suspecte!
• Scanarea cu o soluție de securitate instalată pe dispozitiv, sau cu una disponibilă gratis online, pentru link-urile sau atașamentele suspecte din căsuța dvs. de mail. Nu uitați să aplicați la timp update-urile pentru aceste soluții de securitate!
• E-mailurile suspecte trebuie raportate departamentului IT pentru izolare și investigare. Verificați periodic regulile contului de e-mail, ce pot fi setate pentru redirecționarea automată a tuturor mesajelor, ceea ce ar putea duce la o scurgere de date, dacă există o infecție.
• Actualizarea de urgență a sistemelor de operare, programelor antivirus, browserelor web, clienților de e-mail și a programelor de tip Office.
• Accesul la rețea ar trebui monitorizat continuu de către cei responsabili din departamentele IT, putând-se astfel determina în timp util dacă a apărut o infecție cu un program malițios.
• Instalarea unei soluții de control al aplicațiilor.Administratorii de sistem pot lua în considerare instalarea unui astfel de software care oferă listă albă de aplicații și/sau directoare. Astfel, se permite rularea exclusiv a programelor aprobate, în timp ce se restricționează altele, fiind o practică bună de securitate în protejarea unui sistem informatic.
• Crearea unor puncte de restaurare a sistemului și realizarea de back-up pentru fișiere. Este recomandată realizarea periodică de astfel de puncte de restaurare și de back-up pentru fișierele importante, utilizând un mediu de stocare portabil sau de tip cloud. Astfel, există posibilitatea de a reveni la o stare neinfectată a sistemului sau de a recupera rapid fișierele în cazul unei infecții reușite sau disfuncționalități ale sistemului.
• Realizarea periodică de sesiuni de training cu personalul. Acestea sunt necesare atât pentru conștientizare/prevenire cât și pentru a ști ce este de făcut în cazurile în care incidentele de securitate cibernetică se întâmplă, astfel încât să fie gestionate eficient.
• Nu ezitați să contactați Directoratul, în cazul în care suspectați că dispozitivele din cadrul entității dumneavoastră au fost compromise sau sunteți subiectul unui atac cibernetic. Telefon 1911!!!!!!!!

Compania românească de securitate Bitdefender a contactat Directoratul Național de Securitate Cibernetică (DNSC)
pentru a oferi gratuit soluții de securitate pentru a ajuta sistemul sanitar și buna desfășurare a actului medical în contextul recentului atac cu ransomware care a afectat activitatea din zeci de spitale din România. Aceasta va oferi acces gratuit la soluții de securitate informatică destinate mediului de business tuturor instituțiilor sanitare publice din România, ca parte a unui demers de a le întări reziliența în fața recentelor atacuri informatice.

Instituțiile sanitare publice de toate dimensiunile, de la cabinete medicale, la spitale județene de mari dimensiuni, pot solicita acces gratuit timp de 12 luni la soluția Bitdefender MDR Foundations prin https://www.bitdefender.ro/business/campaign/healthcare.html

Angella Dumitrascu

Distribuie acest articol Oficial Media