Po ataku hakerów na szpital straty idą w miliony

Ponad dwa tygodnie temu (8 marca) hakerzy zaatakowali Szpital MSWiA w Krakowie. Czy dane pacjentów są bezpieczne?

Jestem ostrożnym optymistą i wierzę, że żadne dane pacjentów nie wyciekły. Współpracujemy ze służbami, z Urzędem Ochrony Danych Osobowych i wyjaśniamy to zdarzenie. Obecnie nie mam żadnych informacji o tym, aby jakiekolwiek dane z naszego szpitala wyciekły.

Jaki był cel ataku? Hakerzy chcieli wykraść dane pacjentów, czy doprowadzić do zablokowania infrastruktury szpitala?

W tej chwili nie potrafię odpowiedzieć na to pytanie. W dzisiejszych czasach, żyjąc w Polsce tu i teraz, mamy świadomość tego, co powtarzają nam wszyscy, czyli że na cyberwojnie jesteśmy już od dawna. Uważam, że obie te możliwości są równoprawne, czyli że był to atak inspirowany politycznie albo że był to po prostu działanie grupy hakerskiej. Jakkolwiek paradoksalnie by to zabrzmiało, część z grup hakerskich kieruje się jednak pewną etyką i nie atakuje szpitali, więc być może przesuwa nas to w kierunku którejś hipotezy.

Czytaj więcej

Ochrona zdrowia

Dyrektor szpitala zaatakowanego przez hakerów: „To był tylko ostatni akord”

W sobotę 8 marca hakerzy zaatakowali szpital MSWiA w Krakowie. W rezultacie placówka była zmuszon...

Od czego zaczął się atak?

W sobotę, 8 marca, jedna z lekarek – której serdecznie dziękuję za trzeźwość umysłu i szybkie zorientowanie się w sytuacji – próbowała uruchomić nasz system elektronicznej dokumentacji medycznej (EDM). Po kilku nieudanych próbach poinformowała mnie, że system nie działa. Natychmiast skontaktowałem się z informatykiem, który już po 20 minutach był w szpitalu i kiedy zalogował się do komputera, zobaczył komunikat jednoznacznie wskazujący na atak hakerski. W przestrzeni publicznej wielokrotnie pojawiało się już określenie „ransomware”, czyli sytuacja, w której ktoś zaszyfrował lub ograniczył nam dostęp do danych w określonym celu. W komunikacie znajdowały się również instrukcje dotyczące sposobu kontaktu z osobami stojącymi za atakiem. Wszystkie te informacje zostały niezwłocznie przekazane odpowiednim służbom i zabezpieczone przez policję.

Szpital stracił dostęp do systemu elektronicznego. Co trzeba było zrobić w tej sytuacji?

Mieliśmy w tej sytuacji o tyle szczęście, że jesteśmy szpitalem MSWiA, a dodatkowo placówką akredytowaną. Zarówno nasz organ założycielski, jak i standardy akredytacyjne wymagają posiadania procedur zapewniających ciągłość działania, w tym również w sytuacjach nagłych, takich jak cyberataki. Gdy stało się jasne, że awaria nie potrwa kilka godzin, lecz raczej tydzień, naszym priorytetem było zapewnienie bezpieczeństwa pacjentów. Chciałbym podkreślić, że w żadnym momencie ich zdrowie i życie nie były zagrożone. Staraliśmy się nie wywoływać niepotrzebnego niepokoju.

Bardzo pozytywnie zaskoczył mnie odzew ze strony personelu, którego członkowie mówili: „nie ma problemu, tutaj mamy segregatory na półce z odpowiednimi procedurami, tutaj mamy odpowiednią dokumentację, tu mamy skierowania”. W przypadku szpitala przepięliśmy się naprawdę nad wyraz sprawnie. Nieco trudniejsza była miejsce w poradniach specjalistycznych. O ile na oddziałach wiele rzeczy funkcjonowało jeszcze z niewielkim zabezpieczeniem papierowym, to w poradniach opieraliśmy się już na rejestracji elektronicznej i na cyfrowych bazach danych, dlatego przejście na normalny tryb pracy jest bardzo utrudnione. Na szczęście mamy dostęp do centralnych usług, takich jak gabinet.gov.pl, dzięki czemu możemy nadal wystawiać e-zwolnienia, e-skierowania i e-recepty. Trzeba jednak ręcznie wprowadzać dane, np. numer PESEL pacjenta i choć trwa to tylko kilka sekund dłużej, to w skali dnia przy kilkudziesięciu pacjentach przekłada się już na znaczące opóźnienia. Podsumowując, pracujemy w pełnym zakresie, ale szczególnie w przypadku lecznictwa ambulatoryjnego to funkcjonowanie jest trochę utrudnione.

Czytaj więcej

Innowacje w medycynie

Dr hab. Katarzyna Kolasa: „Teleporady to za mało, żeby scyfryzować ochronę zdrowia”

Żeby wkroczyć w świat cyfrowy niezbędne są zmiany systemowe, które pozwolą na większą współpracę...

Co stoi na przeszkodzie, żeby już teraz przywrócić w szpitalu pełny dostęp do usług cyfrowych?

To jest proces. Gdyby była to zwykła awaria sprzętu, bylibyśmy w stanie odtworzyć system w ciągu kilkunastu, maksymalnie kilkudziesięciu godzin. Dysponujemy systemem kopii, więc nawet gdyby ktoś wylał kawę na serwer i doszłoby do jego uszkodzenia – choć jest to niemożliwe, bo do serwerowni nikt nie ma dostępu – to w krótkim czasie moglibyśmy przywrócić pełną funkcjonalność systemu. Ze względu na specyfikę tego zdarzenia oraz fakt, że jego wyjaśnianie wciąż trwa, nie możemy jednak z całą pewnością stwierdzić, że nasze kopie zapasowe są bezpieczne. Z rozmów ze specjalistami od cyberbezpieczeństwa wynika, że nikt nie jest w stanie dać nam 100-procentowej gwarancji, że nasze kopie nie zostały naruszone. Moglibyśmy cofnąć się do starszych wersji kopii zapasowych, ale te mogłyby okazać się nieprzydatne. Wiemy, że manifestacja cyberataku była jedynie ostatnim akordem. Na podstawie analiz podobnych incydentów z przeszłości możemy przypuszczać, że cyberatak rozpoczął się dzień, tydzień, a może nawet miesiąc wcześniej. W związku z tym nie wiemy, których kopii zapasowych możemy użyć, aby uniknąć ponownego incydentu.

Istnieje ryzyko, że cyberprzestępcy ukryli „coś” w zakamarkach naszego systemu. Jeśli go odbudujemy i uruchomimy ponownie, może się okazać, że za tydzień czy dwa wszystko znów przestanie działać. Dlatego musimy mieć absolutną pewność, że odtworzony system będzie bezpieczny i nie będzie narażony na ponowny atak. Wiemy, że nie istnieje system, który byłby na tysiąc procent bezpieczny, jednak jeśli jest zabezpieczony na tyle skutecznie, że koszty jego złamania – w tym nakłady pracy i wynagrodzenia dla osób próbujących się do niego dostać – przewyższają potencjalne korzyści, jakie można z tego uzyskać, to rozsądny atakujący zrezygnuje.

Jeśli mówimy o cyberwojnie, to być może niekoniecznie trzeba doszukiwać się w sprawie elementów rozsądku, co nie zmienia tego, że proces odbudowy musi trwać. Nasza praca nad przywróceniem funkcjonalności systemów teleinformatycznych w szpitalu to nie sprint, lecz sztafeta. Wchodzi jeden zespół specjalistów i zaopatruje pewien poziom, który jest niezbędny do tego, żeby pracowali kolejni specjaliści. Dopóki następna grupa nie rozpocznie swojej pracy, trudno określić dokładny czas zakończenia całego procesu. I ja też nie mogę tego zrobić na „łapu capu”, tylko porządnie, z pełną dokumentacją, tak, żeby za dwa lata mój dział informatyczny mógł się do niej cofnąć i dowiedzieć się, co i w jaki sposób zostało wykonane.

Ile to wszystko będzie kosztować? I skąd weźmiecie pieniądze?

Na początku nie myśleliśmy o pieniądzach, tylko po prostu działaliśmy. Dzisiaj wiemy, że te środki będą potrzebne. Z niecierpliwością czekamy na ogłoszenie postępowań w trybie konkurencyjnym z zakresu informatyzacji i cyberbezpieczeństwa z KPO, które, z tego co wiem, mają być ogłoszone najpóźniej 31 marca. Mam nadzieję, że część wydatków, które ponosimy, uda nam się zrefinansować z KPO. Mam także deklarację organu założycielskiego szpitala, czyli Ministerstwa Spraw Wewnętrznych i Administracji, że niezbędne środki w tym zakresie zostaną pozyskane i będziemy mogli z nich korzystać, stosując odpowiednie procedury. Bardzo istotne jest, że mimo nadzwyczajnej sytuacji musimy przestrzegać procedur, takich jak prawo zamówień publicznych. Ministerstwo zapewniło nas o wsparciu finansowym w tym zakresie, który jest uzasadniony siłą wyższą.

Jeżeli chodzi o koszty, to w tym momencie nie jestem w stanie powiedzieć, jaka to będzie kwota, ponieważ trwają jeszcze negocjacje cenowe. Mój dział zamówień publicznych spotyka się z dostawcami i przeprowadza te negocjacje. Musimy na każdym kroku wykazywać się absolutną dbałością o środki publiczne i mieć pewność, że będą one wydatkowane w sposób racjonalny.

Czytaj więcej

Opinie Prawne

Michalak, Sanek: Czy sektor zdrowia przetrwa cyfrową rewolucję?

Ochrona danych medycznych to już nie tylko kwestia regulacji, ale „być albo nie być” dla sektora...

Te koszty szacuje pan jednak w setkach tysięcy czy w milionach?

W milionach.

Jak dokładnie wyglądała procedura postępowania – krok po kroku – po wystąpieniu ataku?

Po otrzymaniu potwierdzenia, że mamy do czynienia z nagłym zdarzeniem, które wymaga pilnej interwencji, w szpitalu tworzy się sztab kryzysowy. Pierwsza kwestia to ustalenie, kto ma być zawiadomiony i w jakiej kolejności, ponieważ nie wszyscy muszą być powiadomieni od razu.

Sercem każdej placówki jest izba przyjęć i szpitalny oddział ratunkowy, gdzie pacjenci są przyjmowani i wypisywani. Po wykryciu ataku zdawaliśmy sobie sprawę, że diagnostyka obrazowa i laboratoryjna także może być dotknięta tym zdarzeniem, dlatego niezwłocznie skontaktowaliśmy się z wojewódzkim koordynatorem ratownictwa medycznego i poprosiliśmy o czasowe wstrzymanie kierowania do nas pacjentów w stanie zagrożenia życia. Od razu skontaktowaliśmy się również z dyrekcją okolicznych szpitali, informując ich o poważnej awarii systemu EDM i prosząc o wsparcie. Nasza lokalizacja w centrum dużego miasta okazała się tu bardzo pomocna – w promieniu półtora kilometra znajdują się trzy duże szpitale, w tym dwa z SOR-em, które mogły nas odciążyć. Jednocześnie każdy pacjent, który zgłosił się do nas samodzielnie lub został przywieziony przez rodzinę, został zaopatrzony. Jeśli wymagał diagnostyki, której nie mogliśmy przeprowadzić na miejscu w odpowiednim czasie, był przekierowywany do innego szpitala.

Priorytetem było jak najszybsze uruchomienie oddziału udarowego, ponieważ łóżka dla pacjentów po udarach są deficytowe i bardzo potrzebne. W związku z problemami w diagnostyce obrazowej musieliśmy stworzyć obejścia systemowe, by przywrócić możliwość eksportowania wyników badań z tomografu i innych urządzeń. Diagnostyka laboratoryjna przez pewien czas działała w trybie analogowym – analizatory były odłączone od systemu i drukowały wyniki na papierze termicznym, które następnie należało ręcznie uzupełnić i zweryfikować. Korzystaliśmy również z analizatorów parametrów krytycznych, które pozwalały na szybkie uzyskanie podstawowych wyników w nagłych przypadkach. Najwięcej czasu zajęło przywrócenie funkcjonalności systemów rentgenowskich, które służą do opisu oraz przechowywania obrazów radiologicznych w odpowiednim formacie. Na początku robiliśmy zdjęcia rentgenowskie i pozostawialiśmy je w pamięci urządzeń. Wyeksportowaliśmy je dopiero, kiedy udało się zbudować nowy system obok tego zaatakowanego. Dzięki intensywnym działaniom w poniedziałek po południu przywróciliśmy pełne funkcjonowanie oddziału neurologicznego, w tym oddziału udarowego, a następnie izby przyjęć.