Śmierć następstwem ataku ransomware

0
984

O tym, że szkody w cyberprzestrzeni oddziałują na świat rzeczywisty, nie trzeba już chyba nikogo przekonywać. Wraz ze wzrostem liczby szpitalnych urządzeń podłączonych do sieci eksperci przewidywali, że cyberatak, w którym ucierpią pacjenci, będzie tylko kwestią czasu. Niestety tak się właśnie stało.

Do tej pory skutki ataków ransomware (oprogramowanie szyfrujące dane, wymagające od ofiary zapłaty okupu za udostępnienie klucza deszyfrującego) przeliczaliśmy na pieniądze. Tym razem jednak została przekroczona granica, ponieważ mieliśmy do czynienia z prawdopodobnie pierwszym atakiem hakerskim, którego pośrednim skutkiem była śmierć człowieka.

Pomoc o godzinę za późno

Policja wszczęła śledztwo w sprawie nieumyślnego spowodowania śmierci, po tym jak 9 września br. atak ransomware dotknął 30 serwerów Szpitala Uniwersyteckiego w Düsseldorfie, paraliżując szpitalne systemy, w tym oddział intensywnej terapii, oraz zmuszając personel szpitala do odsyłania pacjentów wymagających pilnej pomocy lekarskiej do innych placówek medycznych.

W tym celu hakerzy wykorzystali lukę CVE-2019-19781 w oprogramowaniu Citrix, dostawcy rozwiązań VPN. Mimo że o luce wiedziano od stycznia br. (stosowna aktualizacja oprogramowania była dostępna dla administratorów IT), szpital nie podjął starań, by ją wyeliminować.

Według raportu niemieckiego serwisu RTL, to jednak nie placówka miała paść ofiarą ataku, ale uniwersytet, przy którym szpital działał i do którego zostało wystosowane żądanie okupu. Ustalono, że policja skontaktowała się z hakerami i przekonała ich do przekazania klucza deszyfrującego, który odszyfrowałby zainfekowane serwery.

Przestępcy rzekomo nie wiedzieli, że zaatakowali placówkę zdrowia. Po otrzymaniu informacji od władz napastnicy wstrzymali atak.

Jak ustalili śledczy, 10 września br. 78-letnia pacjentka z tętniakiem miała zostać przyjęta na oddział intensywnej terapii tegoż szpitala w czasie trwania ataku. Placówka nie mogła zapewniać chorej właściwej opieki, podjęto więc decyzję o przekierowaniu zbliżającej się karetki do innego szpitala, oddalonego o ok. 30 km.

Kobieta, w stanie bezpośrednio zagrażającym życiu, została przetransportowana do szpitala w Wuppertalu, gdzie zmarła na skutek zbyt późnego udzielenia pomocy. Szacuje się, że zmiana placówki wydłużyła czas oczekiwania na pomoc o godzinę.

Szpitale zawsze zapłacą

Skutki ataku ransomware wykraczają daleko poza unieruchomienie szpitalnych systemów. Sprawcy twierdzili również, że wykradli dane pacjentów. Jakby awaria systemu i utrata życia nie wystarczyły, szpital nadal musi ustalić, jak rozwiązać próbę wymuszenia.

Szpitale często stają się obiektem ataku, zwłaszcza ataku ransomware, ponieważ wymagają stałego dostępu do dokumentacji medycznej i systemów komputerowych, co zwiększa prawdopodobieństwo, że zapłacą swoim szantażystom.

Do tej pory najboleśniej odczuły to w 2017 r. brytyjskie placówki (WannaCry) zmuszone do odwołania zaplanowanych operacji i odesłania pacjentów oraz szpitale w Wirginii i Pensylwanii (NotPetya), które utraciły dostęp do danych.

W USA, gdzie szpitale należą do najłatwiejszych celów, w 2019 r. 764 z nich padło ofiarą oprogramowania ransomware. Pacjenci w nagłych wypadkach byli odsyłani do domów, dokumentacja medyczna była niedostępna, a w niektórych sytuacjach została trwale utracona. Odwołano zaplanowane zabiegi chirurgiczne, odroczono badania i zawieszono działanie numeru 911 (odpowiednik numeru 999 w Polsce).

Eksperci w zakresie cyberbezpieczeństwa od lat ostrzegają, że większość szpitali nie jest przygotowana na atak cyber. Zależne są one w dużej mierze od sprzętu, często podłączonego do internetu. Bez tego dostępu nie są w stanie udzielić stosownej pomocy medycznej swoim pacjentom.

Walka o bezpieczną cyberprzestrzeń trwa każdego dnia. Niestety hakerzy wydają się być wciąż o krok przez twórcami rozwiązań dotyczących ochrony tej sfery funkcjonowania podmiotów.

Nie jesteśmy jednak z góry skazani na porażkę. Wielu incydentów można uniknąć dzięki zdrowemu rozsądkowi i zachowaniu podstawowych zasad bezpieczeństwa.

Na stronie www.gov.pl/web/baza-wiedzy możemy znaleźć poradnik Rekomendacje cyberbezpieczeństwa dla podmiotów sektora ochrony zdrowia (kwiecień 2020). Jeśli naszymi klientami są placówki służby zdrowia, z pewnością warto im polecić ich lekturę.

Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland