Один за другим поступали звонки из больниц; преступники заражали компьютерные сети в результате массовой хакерской атаки, которая ставила под угрозу бесчисленные жизни.
В Бухарестском национальном центре кибербезопасности (DNSC) они беспомощно наблюдали, как хакеры распространяли свою деятельность по всей Румынии через популярное медицинское программное обеспечение.
Руководителю отдела кибербезопасности Дэну Симпеану предстояло принять непростое решение, но это был единственный оставшийся у них вариант.
Приказ был разослан более чем в 100 больниц. Немедленно отключитесь от интернета.
Кибератака на румынские больницы в феврале 2024 года является одной из самых масштабных атак на системы здравоохранения в мире, но подобные инциденты становятся все более частыми.
Как недавно заявило ФБР, здравоохранение в настоящее время является наиболее уязвимой областью для атак на объекты важнейшей национальной инфраструктуры.
Отключение 100 больниц в Румынии от интернета остановило хакеров, дав им время оценить масштабы атаки.
Но это означало отсутствие подключенных устройств, электронной почты и веб-браузеров.
Медицинскому персоналу пришлось перейти на ручку и бумагу, импровизируя обходные пути для защиты пациентов, пока IT-отдел в панике пытался выяснить, как хакеры проникли в систему и как их остановить.
Действия врачей и медсестер в течение четырех дней, начиная с 10 февраля 2024 года, получили широкое признание.
То, как они отреагировали и как справились с ситуацией, стало показательным примером для специалистов по планированию действий в чрезвычайных ситуациях по всему миру, поскольку официальные лица ищут рекомендации по реагированию на массовую хакерскую атаку на больницу.
Хирург Оана Гойдеску дежурила в больнице Бузэу, расположенной в 120 км к северо-востоку от Бухареста, когда поступило сообщение о том, что злоумышленники взломали принадлежащую бухарестской компании-разработчику программного обеспечения RSC, проникнув в широко используемую медицинскую систему Hippocrates.
«Это был довольно неприятный опыт, потому что медицинская карта — это не просто список пациентов, — сказала она. — Для каждого пациента мы запрашиваем результаты лабораторных анализов, рентгеновские снимки, лекарства и расходные материалы. Все это пропало».
Гиппократ используется врачами, медсестрами и хирургами для управления всем, от приема пациентов до расчета заработной платы, логистики в аптеке и результатов анализов.
Киберпреступники незаметно начали заражать больницы по всей стране, использующие эту систему, вирусом-вымогателем под названием BackMyData. Файлы шифровались, превращаясь в бессмысленный набор символов, а требованием выкупа были биткоины.
Сотрудники детской больницы в Питешти, расположенной к северо-западу от Бухареста, первыми заметили ошибки в воскресенье утром, на следующий день после начала нападения.
К рассвету понедельника многие другие больницы сообщили о сбое в работе системы Hippocrates.
В условиях отключения больниц от сети эксперты по кибербезопасности тесно сотрудничали с создателем игры «Гиппократ», чтобы выяснить, сколько систем было заражено, и вывести хакеров из строя.
В ответ врачи больницы разработали обходные пути для защиты пациентов до тех пор, пока ситуация не нормализуется.
«Когда мы поняли, что систему не удастся быстро восстановить, мы разработали автономный метод, позволяющий регистрировать каждого пациента», — сказал Влад Паич из больницы имени Кароля Давилы в Бухаресте.
«Мы попросили лабораторию предоставить нам результаты в бумажном виде. Мы использовали Excel и другие инструменты для работы в автономном режиме, чтобы гарантировать, что качество оказания медицинской помощи не пострадает».
Некоторые врачи отметили, что возвращению к более аналоговым процессам способствовал относительно недавний переход Румынии на цифровые системы.
Специалисты по кибербезопасности работали всю ночь и обнаружили, что 26 больниц были заражены вирусом BackMyData.
На следующий день незаражённые больницы возобновили работу с дополнительными мерами защиты.
В DNSC заявляют, что отчасти успех операции объясняется тем, как они использовали средства массовой информации для общения с больницами и общественностью.
В информационных сообщениях пациентам настоятельно рекомендовалось избегать посещения больниц, если в этом нет необходимости.
Однако очередь продолжала заполняться, и, по словам Гойдеску, некоторые расстроенные пациенты вымещали свой гнев на персонале.
«Нас спросили: „А что, если бы это была ваша мать?“ Они были правы, злясь, но мы попытались объяснить, что мы не виноваты», — сказала она.
Ещё одним важным моментом было то, что больницам не следует связываться с хакерами или платить выкуп.
Нападавшие требовали 160 000 евро (138 000 фунтов стерлингов; 183 000 долларов США) в биткоинах, но на национальном уровне было принято решение не платить.
В больницах, которые до сих пор не подключены к сети, ИТ-специалисты бросились восстанавливать системы из резервных копий.
У большинства были относительно свежие копии данных — это важный урок. Регулярное резервное копирование позволяет организациям быстрее восстанавливаться.
В течение пяти дней большинство больниц возобновили работу в практически нормальном режиме, при этом не было зарегистрировано ни одного случая смерти или серьезного вреда для пациентов.
Ввод всей новой информации, записанной на бумаге во время отключения электроэнергии, занял бы еще несколько недель. Часть данных была безвозвратно утеряна.
Полиция не комментирует ход расследования, касающегося личности нападавшего.
Однако в прошлом году в ходе международной операции группа злоумышленников, занимавшаяся распространением программ-вымогателей и связанная с BackMyData, лишилась своего веб-сайта.
За пределами россии были арестованы четверо россиян, власти которых не сотрудничают с западными правоохранительными органами.
Симпеан заявил, что нападение могло произойти где угодно.
«Чем больше у вас технологий, чем выше уровень цифровизации, тем выше риск», — сказал он.
В прошлом году Национальная служба здравоохранения Великобритании подтвердила, что взлом компании, занимающейся анализом крови, затронувший около десятка медицинских центров в Лондоне, стал причиной смерти пациента.
Это был первый случай смерти, официально связанный с кибератакой.
Примерно в то же время американская компания Change Healthcare подверглась хакерской атаке, что привело к масштабным сбоям. Компания заплатила хакерам выкуп в размере 22 миллионов долларов (16 миллионов фунтов стерлингов).
Позже в том же году хакеры также вызвали хаос, совершив атаку на другую американскую медицинскую организацию под названием Ascension.
Алина Бызгэ из бухарестской компании Bitdefender, специализирующейся на кибербезопасности, говорит, что нападения на больницы привлекательны для преступников, которые пытаются устроить хаос ради денег.
«Больницы оказывают жизненно важные услуги, и преступники считают, что чем больше сбоев они вызовут, тем больше вероятность получить выкуп», — сказала она.
23 июня BBC World Service запускает румыноязычный проект BBC News România, призванный предоставлять аудитории в Румынии, Молдове и Европе достоверные журналистские материалы. BBC News România будет доступен на веб-сайте, в Facebook и Instagram.