Romanya’daki 100 hastane siber saldırıyı püskürtmek için kalem kağıda döndü

Hastanelerden ardı ardına gelen telefonlar, siber suçluların bilgisayar ağlarına sızarak kitlesel bir hack operasyonu başlattığını ve sayısız hayatı tehlikeye attığını gösteriyordu.

Bükreş’teki Ulusal Siber Güvenlik Merkezi (DNSC), korsanların popüler bir tıbbi yazılım aracılığıyla Romanya genelinde yayılmasını çaresizce izledi.

Siber Güvenlik Direktörü Dan Cimpean zor ama tek seçenek olan kararı vererek, 100’den fazla hastaneye derhal internet bağlantısını kesme talimatı gönderdi.

Şubat 2024’te Romanya’daki hastanelere düzenlenen bu siber saldırı, dünya genelinde sağlık sistemlerini hedef alan en ciddi eylemlerden biri olarak kayıtlara geçti.

Federal Soruşturma Bürosu (FBI) tarafından yapılan son açıklamada, sağlık sektörünün artık kritik ulusal altyapılar arasında en çok hedef alınan alan olduğu belirtildi. Romanya’da 100 hastanenin internetle bağının koparılması, korsanları durdurarak saldırının boyutunu anlamak için zaman kazandırdı.

Ancak bu karar, bağlantılı cihazların, e-postaların ve web tarayıcılarının devre dışı kalması anlamına geliyordu.

Sağlık personeli hastaları korumak için kalem ve kağıda dönerek geçici çözümler üretirken, bilişim ekipleri ve ulusal siber müdahale merkezi korsanların içeri nasıl sızdığını belirlemek için çalıştı.

10 Şubat 2024’ten itibaren dört gün boyunca yürütülen bu mücadele, kitlesel bir hastane hırsızlığına karşı uluslararası afet planlamacıları için bir test vaka niteliği kazandı.

Tıbbi veri sistemi “Hippocrates” kilitlendi

Bükreş’in 120 kilometre kuzeydoğusundaki Buzau Hastanesi’nde görevli cerrah Oana Goidescu, saldırganların Bükreş merkezli yazılım firması RSC’ye sızarak “Hippocrates” adlı yaygın tıbbi sisteme ulaştığı uyarısı geldiğinde nöbetteydi.

Goidescu, “Dijital kayıt sadece bir hasta listesi değildir; her hasta için laboratuvar testleri, radyoloji, ilaç ve malzeme talep ederiz. Hepsi bir anda yok oldu” ifadesini kullandı.

Hekimlerin, hemşirelerin ve cerrahların kabullerden maaş bordrolarına, eczane lojistiğinden test sonuçlarına kadar her şeyi yönetmek için kullandığı bu sisteme, siber saldırganlar “BackMyData” adlı bir fidye yazılımı bulaştırdı. Dosyalar şifrelenerek okunamaz hale getirildi ve bitcoin cinsinden fidye talep edildi.

Saldırının ertesi günü silsile halinde diğer hastanelerden de sistemin çöktüğü raporları geldi. Uzmanlar, yazılım üreticisiyle birlikte çalışarak korsanları sistemden çıkarmaya çalışırken, doktorlar da hastaları kaydetmek için Excel ve diğer çevrimdışı araçları devre dışı bırakıp kağıt üzerinde sonuç almaya başladı. Siber incelemeler sonucunda 26 hastanenin doğrudan bu yazılımla enfekte olduğu belirlendi.

160 bin euroluk fidye talebi reddedildi

Saldırganlar verileri serbest bırakmak için 160 bin avro değerinde bitcoin talep etti ancak ülke yönetimince fidyenin ödenmemesi yönünde kesin bir karar alındı.

Çevrimdışı kalan hastanelerdeki bilişim ekipleri, sistemleri yedeklerden geri yüklemek için zamanla yarıştı. Çoğu hastanenin verilerinin güncel kopyalarına sahip olması, organizasyonların daha hızlı toparlanmasını sağladı.

Beş gün içinde hastanelerin büyük kısmı yeniden çevrimiçi oldu ve normal işleyişine döndü. Olay nedeniyle herhangi bir ölüm veya ciddi hasta zararı rapor edilmedi.

Ancak kesinti sırasında kağıda kaydedilen tüm yeni bilgilerin sisteme girilmesi haftalar sürdü ve bazı veriler kalıcı olarak kayboldu.

Polis, saldırının arkasında kimin olduğuna dair soruşturma hakkında açıklama yapmazken, geçen yıl BackMyData ile bağlantılı bir fidye yazılımı çetesinin internet sitesinin uluslararası bir operasyonla çökertildiği ve Rusya dışında dört Rus vatandaşının tutuklandığı biliniyor.

Uzmanlar, hastanelerin kritik hizmetler yürütmesi ve aksamaların büyük olması nedeniyle siber suçlular için cazip bir hedef haline geldiğini, dijitalleşme arttıkça bu risklerin de beraberinde büyüdüğünü belirtiyor.