Hoe 100 Roemeense ziekenhuizen cyberaanval versloegen met pen en papier

Telefoontje na telefoontje kwam binnen van ziekenhuizen; criminelen infecteerden computernetwerken in een massale hack die talloze levens in gevaar bracht.

In het nationaal cyberbeveiliging centrum (DNSC) van Boekarest keken zij machteloos toe hoe de hackers zich via populaire medische software door Roemenië verspreidden.

Cyberchef Dan Cimpean stond voor een moeilijk besluit, maar het was de enige optie die zij hadden.

Het bevel ging uit naar meer dan 100 ziekenhuizen. Ontkoppel nu van het internet.

De cyberaanval op Roemeense ziekenhuizen in februari 2024 is een van de ergste die ziekenhuissystemen wereldwijd hebben getroffen, maar dergelijke incidenten worden steeds vaker.

Gezondheidszorg is nu het meest doelwit van kritieke nationale infrastructuur, zei de FBI onlangs.

Het offline halen van 100 Roemeense ziekenhuizen stopte de hackers in hun sporen en gaf tijd om uit te zoeken hoe erg de aanval was.

Maar het betekende geen verbonden apparaten, geen e-mails en geen webbrowsers.

Medisch personeel moest terugvallen op pen en papier en improviseerde oplossingen om patiënten te beschermen terwijl IT-teams zich uitslooofden en het nationale cyberreactiecentrum probeerde uit te zoeken hoe de hackers naar binnen waren gekomen - en hoe zij hen konden stoppen.

Hun acties gedurende vier dagen vanaf 10 februari 2024, en die van artsen en verpleegkundigen, werden wijd en zijd geprezen.

Hoe zij reageerden en hoe zij het hebben gered is inmiddels een testgeval voor rampenplanners internationaal, nu functionarissen advies zoeken over reacties op massale ziekenhuishacks.

Chirurg Oana Goidescu was in dienst in het ziekenhuis van Buzău, 120 kilometer ten noordoosten van Boekarest, toen het bericht kwam dat aanvallers het Boekarest-gevestigde softwarebedrijf RSC waren binnengedrongen en diep waren ingedrongen in een veelgebruikt medisch systeem genaamd Hippocrates.

"Het was behoorlijk vervelend, want een IT-record is niet zomaar een patiëntenlijst," zei zij. "Voor elke patiënt vragen wij laboratoriumtesten, radiologie, medicijnen en voorraden aan. Al dat was weg."

Hippocrates wordt gebruikt door artsen, verpleegkundigen en chirurgen om alles te beheren van opnames tot salarisbetaling, apotheekclogistiek en testresultaten.

Stil hebben de cyberaanvallers ziekenhuizen in het hele land die het systeem gebruikten beginnen te infecteren met een ransomwarestam genaamd BackMyData. Bestanden werden in wirwar veranderd en de eis was een losgeld in bitcoin.

Personeel van het kinderziekenhuis Pitești, noordwestelijk van Boekarest, was het eerste dat op zondagochtend fouten opmerkte, de dag nadat de aanval was begonnen.

Bij zonsopgang op maandag hadden veel andere ziekenhuizen gemeld dat het Hippocrates-systeem uitgevallen was.

Met ziekenhuizen offline werkten de cyberexperts nauw samen met de maker van Hippocrates om uit te zoeken hoeveel systemen waren besmet en de hackers eruit te gooien.

Ziekenhuisartsen reageerden door workarounds te maken om patiënten tot de online te beschermen.

"Toen we zagen dat het systeem niet snel zou worden gerepareerd, ontwikkelden we een offlinemethode zodat we elke patiënt konden registreren," zei Vlad Paic van het ziekenhuis Carol Davila in Boekarest.

"We vroegen het laboratorium resultaten op papier te geven. We gebruikten Excel en andere offlinetools om ervoor te zorgen dat de zorg niet werd beïnvloed."

Sommige artsen zeiden dat het terugvallen op meer analoge processen werd geholpen door Roemenië's relatief recente overstap naar digitale systemen.

Cyberinvestigators werkten de nacht door en vonden dat 26 ziekenhuizen met BackMyData waren besmet.

De volgende dag werden niet-besmette ziekenhuizen weer online gebracht met extra beveiligingsmaatregelen.

De DNSC zegt dat onderdeel van het succes van de operatie was hoe zij de media gebruikten om met ziekenhuizen en het publiek te communiceren.

Openbare berichten drong patiënten aan ziekenhuizen te vermijden tenzij noodzakelijk.