Atacul cibernetic care a lovit ieri 18 unitati medicale din România a afectat puternic activitatea a doua spitale din Iasi: Institutul Regional de Oncologie si Institutul de Psihiatrie „Socola”. Sursele noastre spun ca în momentul de fata doar la IRO exista confirmare ca un virus de tip „ransomware” a reusit sa patrunda si în reteaua locala a spitalului, în timp ce la Socola s-a lucrat ieri complet deconectat de la retea, pentru a evita o posibila contaminare.
„Ziarul de Iasi” a discutat ieri cu mai multi actori implicati, inclusiv cu personal din ambele spitale, si a pus cap la cap cronologia evenimentelor. Întrebarea la care asteapta toata lumea raspunsul vine începând de zilele urmatoare: daca si cât s-a pierdut.
Primele semne: reteaua încetinita, acces restrictionat la server
La prima ora a diminetii de ieri, luni, 12 februarie, personalul medical de la IRO a remarcat ca sistemul informatic functioneaza cu dificultate. Acestia au si una dintre cele mai digitalizate sisteme de înregistrare si gestionare a pacientilor. Cei internati, de zi sau pe durata mai lunga, primesc o bratara care, scanata, ofera acces la întregul istoric al pacientilor; mai mult, fiecare aparat de imagistica mai performant are si el istoricul tuturor pacientilor analizati.
Însa problema nu a fost cu sistemul intern, ci cu accesul la sistemul informatic cu numele Hipocrate, creat de compania Romanian Soft Company. Prin intermediul sistemului erau prelucrate toate datele pacientilor, stocate, si transmise ulterior catre Casa de Asigurari de Sanatate pentru determinarea serviciilor medicale efectuate si decontarea acestora. Angajatii au observat întâi ca nu pot transmite datele catre CNAS, ulterior ca si unele echipamente functionau cu dificultate.
Managerul unitatii, ec. Mirela Grosu, spune ca sistemul pur si simplu s-a oprit la un moment dat.
„De la firma ne-au spus: este un atac cibernetic în desfasurare”
„Nu am mai putut accesa serverele, am luat legatura cu informaticianul, care a vorbit cu reprezentantii firmei Hipocrate, cei care au sistemul informatic la noi. Este un soft integrat, medical, economic, care urmareste pacientul din momentul în care intra în spital si pâna la externare. Cei de la firma ne-au comunicat ca este un atac cibernetic în desfasurare, ca baza de date nu poate fi accesata si au precizat ca vor reveni cu amanunte”, a declarat managerul.
În momentul de fata, sunt 400 de echipamente digitale ale IRO aflate în retea la toate punctele de lucru, fie ca e vorba de terminale, de calculatoare, laptopuri sau chiar echipamente medicale performante conectate direct la internet. Primul pas a fost deconectarea întregii retele de la Internet, iar în cursul zilei de ieri, la IRO nu a fost internet pe niciun terminal. Iar situatia pare ca va fi la fel macar pentru cel putin înca o zi.
„Am luat legatura cu firma Orange, cu care avem contract încheiat de asistenta tehnica pe securitatea retelei. Au realizat o verificare a bazei de date si au observat ca exista deja ceva în sistemul informatic care începe sa se extinda. Au venit cu recomandarea sa se deconecteze toate serverele de la Internet, astfel ca am luat legatura cu cei de la Hipocrate, dar si cu Directoratul National pentru Securitate Cibernetica – am fost în videoconferinte toata ziua cu ei. Bresa de securitate a fost la firma care are programul Hipocrate, nu la noi”, a precizat managerul.
Cum functioneaza sistemele spitalelor
Din informatiile coroborate din mai multe surse de „Ziarul de Iasi”, spitalele din municipiu folosesc în principal doua sisteme informatice. Doar „Socola” si IRO folosesc Hipocrate, în timp ce restul folosesc un sistem care este considerat mai clasic, dar în cazul atacurilor cibernetice, si mai sigur. Daca Hipocrate este un sistem „web-based”, care este centralizat, cu o interfata de control comuna, celalalt sistem – Infoworld, foloseste o stocare clasica, pe hard-disk-uri, compatibila si cu unele computere de generatie mai veche, ce necesita softuri si licenta pentru a functiona, ca sistemele de operare.
Hipocrate este un sistem care lucreaza online, în cloud, iar fiecare spital are un server dedicat, la sediul firmei, unde sunt transmise toate datele si de acolo pleaca catre CJAS sau alti furnizori de servicii medicale conectati la sistem. Atacul cibernetic s-a facut la sediul firmei care gestioneaza platforma Hipocrate, iar de acolo a „coborît” catre calculatoarele interne ale spitalelor. Chiar daca doar 18 spitale au fost afectate în toata tara, sursele noastre ne-au spus ca activitatea tuturor spitalelor care au bazele de date stocate la Hipocrate a fost sistata în cursul zilei de ieri. Practic, s-a lucrat offline.
IRO a apelat la o firma, ieri, sa le scaneze manual toate cele 400 de terminale
Asta s-a întâmplat si la Institutul de Psihiatrie „Socola” din Iasi, unde alarma nu s-a dat la ora 07.30, ca la IRO, ci a venit mai greu. Însa recomandarea companiei a fost ca spitalul sa taie orice legatura cu internetul, astfel ca au fost deconectate din retea toate calculatoarele si serverele au fost închise. Reprezentantii spitalului spun ca au backup la toate datele pe hard-disk-uri la nivelul unitatii medicale si, din primele cercetari, nu a trecut nimic de sistemele locale de protectie. Daca cumva vor fi pierdute bazele de date stocate la sediul central al firmei, prin Hipocrate, atunci se poate face o reactualizare din bazele de date locale. Însa, în momentul de fata, cei de la Socola nu stiu cât sau daca au pierdut date în serverul din sediul companiei.
Aceeasi situatie este si la IRO, doar ca riscul este mai mare. Dincolo de pierderea informatiilor din serverul aflat la sediul companiei care gestioneaza programul Hipocrate, exista confirmat faptul ca virusul de timp ransomware a intrat si în reteaua locala. Momentan, serverele sunt oprite, dar daca la momentul opririi virusul va bloca accesul la informatiile din sursele de back-up, atunci o parte dintre informatiile despre pacienti risca sa fie pierdute.
Astfel ca IRO a decis sa contracteze serviciile unei firme de cybersecurity, ai carei angajati au ajuns ieri seara în Iasi, ca sa vina si sa scaneze individual fiecare dintre cele 400 de echipamente pentru a vedea daca au fost compromise. Speranta acestora este ca pot opri raspândirea virusului si nu vor fi pierdute deloc date.
„Vor fi scanate toate echipamentele din spital: calculatoare, laptopuri, servere, echipamente medicale. Sa fim siguri ca nu e ceva în stare latenta care sa ne provoace probleme mai târziu. Vor lua fiecare server în parte si le vor deschide, pentru ca noi avem servere de backup, dar ne este frica sa le dam drumul fiindca atunci s-ar putea cripta si datele si informatiile de acolo. Cel de pe care lucram efectiv putem spune ca este virusat, dar nu stim cât de mult ca l-am închis înainte de a fi criptate datele, dar nu stiu ce se va întâmpla când îl vom deschide”, a explicat ec. Mirela Grosu.
Exista însa mai multe redundante
Tocmai lipsa de digitalizare a unor spitale poate fi salvarea în acest caz, explica specialistii cu care am discutat. Compania care are sistemul Hipocrate are doua back-up-uri facute la nivel national, pentru toate spitalele din retea. Acum, compania lucreaza cu Directia Nationale de Securitate Cibernetica pentru a le recupera pe acestea. Prima salvare ar cuprinde datele de pe 10 februarie inclusiv, în timp ce a doua salvare contine toate datele pâna la finalul lunii ianuarie. Aceasta ar fi cea mai sigura, fiindca este facuta, conform informatiilor noastre, confirmate si de managerul IRO, pe CD-uri.
„Deci în cel mai rau caz avem de recuperat datele din 12 zile, ceea ce nu va fi deloc usor”, a explicat ec. Mirela Grosu.
La IRO va fi mai greu, pentru ca sistemul este puternic digitalizat. Majoritatea spitalelor din tara înca mai au foi de observatie tiparite, care sunt centralizate din saloane si ulterior datele sunt introduse, de la terminale, în sistemul centralizat. „Urma de hârtie” în acest caz reprezinta salvarea pentru decontarea fara probleme a tuturor serviciilor medicale.
Înapoi la pix si foaie
Dar la spitalele afectate, ziua de ieri a fost una foarte complicata: pacientii au asteptat mult mai mult sa fie preluati, iar reprezentantii unitatilor medicale spun ca s-a trecut la pix si foaie pentru tot spitalul. Singurul lucru care nu s-a putut face concret este eliberarea de retete compensate, care se face doar din sistemul centralizat al CNAS, care nu a putut fi accesat fara internet.
„Miza foarte mare de ieri a fost sa încercam sa dam drumul la activitatea medicala, sa nu fie blocata în totalitate. Iar la noi lunea este mereu aglomerat, pacientii vin, au încredere în noi. Asa ca am avut o sedinta rapida cu toti asistentii sefi si cu sefii de departamente, si ne-am întors la pix pe hârtie. Recomandarile de analize medicale s-au facut pe foaie, s-au tiparit rezultatele de pe calculator ca sa fie prescrise tratamente, s-au facut internari pe foi, ca atunci când nu aveam la dispozitie calculatoare”, a spus managerul de la IRO.
56 de sedinte de chimioterapie în regim de internare de zi au fost la unul dintre centrele IRO, în timp ce la sediul principal s-au facut 85 de internari de zi si 45 de internari continue. Au fost reprogramati sau rugati sa revina zilele urmatoare pacientii din Iasi, care nu erau urgente, în timp ce persoanele venite din alta localitate au asteptat pâna au beneficiat toti de servicii medicale.
De zece ani, a spus una dintre asistentele sefe de la IRO, nu s-a mai lucrat integral pe sistem de hârtie, în contextul în care institutul a fost deschis în 2012 si are 12 ani. Iar situatia este posibil sa se perpetueze pentru macar înca o zi, înainte sa fie facute verificarile finale, pentru a vedea daca s-au pierdut date în vreun fel.